가짜 앱 다운로드, 피싱 사이트, 채굴 풀 사기 주의 필요
가상자산 산업 규모가 커지면서 불법 활동으로 인한 코인 도난 사고도 연이어 발생하고 있다. 특히 개인 키 유출ㆍ피싱ㆍ사기 등이 가상자산 주요 도난 사고 원인으로 나타났다.
5일 블록체인 보안업체 슬로우 미스트가 발간한 '2024년 3분기 가상자산 도난 자금 분석보고서'에 따르면 개인 키 유출 경로는 관리 부실, 가짜 앱 다운로드 등으로 확인됐다. 피싱 공격의 경우 가짜 X(구 트위터) 계정, 구글 검색 상위 노출 등이 많았다. 또한 사기의 경우 가짜 채굴풀 관련 사기까지 3가지 사례의 도난 사고 가장 많은 것으로 분석됐다.
블록체인 기술에는 개인 가상자산을 보관할 수 있는 개인 지갑과 지갑에 접속할 수 있는 개인 키가 있다. 개인 키 유출이 발생하는 주요 경로 중 하나는 부적절한 키 보관방법이다.
코인 보유자들은 계정 구매ㆍ가짜 앱 다운로 개인 키 유출은 주로 부적절한 키 보관으로 발생한다. 슬로우 미스트가 설명한 구체적인 예로는 코인 보유자가 △개인 키를 핸드폰에 사진이나 메모로 저장하는 경우 △암호화 없이 클라우드 플랫폼에 저장하는 경우 등이다.
개인 키 유출의 또 다른 경로는 가짜 지갑 앱 다운로드다. 지난달 가상자산 전문 매체 디크립트에 따르면 구글 플레이스토어에서 판매된 가짜 월렛 앱으로 7만 달러 규모 피해가 발생했다고 보도했다. 가짜 앱으로 가장된 지갑 앱은 ‘월렛 커넥트’로 해당 앱은 총 1만 회 다운로드 되었고, 피해자는 150여 명인 것으로 파악됐다.
슬로우 미스트는 또 다른 주요 가상자산 도난 이유 중 하나인 피싱 공격은 주로 X를 통해 이뤄진다고 설명했다. 슬로우 미스트는 X의 게시물 첫 번째 댓글에 작성된 링크가 피싱 링크로 사용된다고 말했다. 해당 링크는 공식 프로젝트 계정과 매우 유사하게 만들어져 사용자가 클릭하게끔 한다.
3분기 가짜 채굴 풀 사기에 걸린 이용자도 가상자산 도난 대상자로 조사됐다. 사기범들은 텔레그램을 비롯한 SNS를 이용해 투자자를 사기 풀로 유도하고 매일 일정 자산을 입금해야 출금할 수 있다고 설명하며 피해자 자금을 인출하게 한다.
슬로우 미스트에 따르면 사기범들은 많은 회원이 있는 것처럼 둔갑하고 피해자를 모집했다고 설명했다. 슬로우 미스트는 “사기범들은 가짜 플랫폼을 만들고 데이터를 조작해 실제 자산이 아닌 앱 내에서만 자산을 확인할 수 있도록 해 자산이 있는 것처럼 속인다”고 언급했다.
국내에서도 문자를 이용한 스미싱이 기승을 부리고 있다. 국내 코인 커뮤니티서 한 투자자는 “보유 중인 비트코인이 소각 처리된다고 해서 은행 계좌, 연락처, 신분증, 본인 사진 등을 찍어서 보내줬다”며 이후 대처 방법에 대해 묻기도 했다. 해외 가상자산 거래소라고 문자를 보낸 상대는 출금을 위해 몇 가지 확인 절차가 필요하다며 개인정보를 요구했다며 스미싱 사례를 소개했다.
금융감독원에 따르면 코인 사기 유형은 △투자방 참여형(코인 리딩방) △온라인 친분 이용형(로맨스 사기) △유명 거래소 사칭형 등의 가짜 거래소 이용 사기다. 금감원은 “가상자산 투자사기가 의심되는 경우 수사기관에 신고하거나 금융감독원 ‘가상자산 불공정거래 및 투자사기 신고센터를 통해 신고할 수 있다”고 말했다.