암호화폐 투자자를 대상으로 한 사회공학 공격: 사기범들이 Zoom과 Google을 어떻게 이용해 자금을 빼내는가
암호화폐 사기범들은 끊임없이 기술을 진화시키며, 단순한 수법에서 복잡한 사회공학 기반의 공격으로 전환하고 있다. 가장 위험하고 정교한 기법 중 하나는 해킹이나 비밀번호 도용이 필요하지 않다. 대신 사용자를 직접 조작하여 계정에 접근하게 만든다. 두 번째 인증(2FA)이 활성화된 상태에서도 발생할 수 있는 실제 사례를 통해, 설득력 있는 배경 이야기와 정확한 시점 조절이 금전적 손실로 이어질 수 있음을 알 수 있다.
공격 메커니즘: 첫 접촉부터 탈취까지
공격은 기술적 침입이 아니라 심리적 조작에서 시작된다. 사기범들은 타겟을 세심히 분석하며, 그들의 전문 활동, 공개적인 연락처, 잠재적 약점을 파악한다. 이번 사례에서는 타겟이 코인 채팅방에서 마케팅 관련 활동을 하고 있다는 점을 확인했고, 이를 바탕으로 현실감 있는 배경 스토리를 구성했다.
상호작용 단계:
- 초기 접촉: 사기범은 실제 회사 임원의 보조자라는 신분을 차지하며, 확인 가능한 정보(회사명, 역사가 있는 웹사이트, 지리적 근접성)를 제공한다.
- 신뢰 구축: 장기간의 전문적 소통이 이루어지며, 프로젝트 세부사항, 질문, 음성 메시지 공유 등 표준 계약자 채용 과정을 모방한다.
- '결정적' 미팅으로 전환: 사기범은 '임원'과의 Zoom 미팅을 제안하며, 정시 참석을 강조함으로써 심리적 압박을 가한다.
핵심 순간은 예정된 시간에 정확히 Zoom 미팅 링크가 전송되는 것이다. 이 링크는 정당하나, 회의 참여 전 인증이 필요하도록 설정되어 있다. 이것이 공격의 핵심 메커니즘이다.
기술적 실행: 인증 프로세스 조작
사용자가 회의에 참여하려 할 때, Zoom은 인증을 요청한다. 예를 들어, Google을 통해 인증을 진행한다. 바로 그 순간, 사기범은 자신의 기기에서 알려진 이메일을 사용해 타겟의 Google 계정에 로그인을 시도한다.
Google은 새로운 기기에서의 로그인 시도를 감지하고, 계정 소유자의 휴대폰에 확인 알림을 전송한다. 사용자는 중요한 사업 미팅에 참석해야 한다는 상황에서 Zoom 인증 요청을 보게 되고, 자연스럽게 이를 승인한다. 그러나 이 순간, 동시에 사기범에게 자신의 Google 계정 접근 권한을 부여하고 있는 것이다.
승인 후 발생하는 일:
- 사기범은 타겟의 Google 계정에 완전한 접근 권한을 얻는다.
- 사용자의 기기가 이미 신뢰된 상태이므로, 사기범은 Zoom에도 성공적으로 인증하고 회의에 참여한다.
- 실질적으로 두 명—실제 소유자와 사기범—이 동시에 계정에 존재하지만, 피해자는 이를 전혀 인지하지 못한다.
1시간 동안 진행된 회의 중, 사기범들(보조자와 임원을 위장한 자들)은 사실처럼 들리는 세부적인 사업 논의를 진행하면서, 두 번째 사기범은 Google 계정 접근을 통해 자금을 탈취한다.
두 번째 인증(2FA)이 도움이 되지 않는 이유
이 사례에서 타겟은 Google Authenticator를 통해 암호화폐 거래소에 2FA를 활성화했지만, 이는 공격을 막지 못했다.
중요한 취약점: 기본적으로 Google Authenticator는 사용자의 Google 계정을 통해 비밀 키(시드)를 동기화한다. 사기범이 주 계정에 접근하면, 자동으로 이러한 동기화된 2FA 키에 접근할 수 있게 된다. 결과적으로 Authenticator로 보호되는 모든 토큰이 노출된다.
Google은 일반 사용자에게 이 위험을 명확히 알리지 않는다. 동기화 설정은 종종 기본값으로 켜져 있으며, 문서에서는 위험 요소를 강조하지 않고 설명하기 때문에 사용자는 이를 인지하지 못한다.
기술 전문가를 위한 실용적 보호 조치
암호화폐 작업 또는 중요한 계정을 관리하는 개발자 및 IT 전문가들에게는 특정 기술적 조치가 필수적이다.
필수 설정 및 관행 목록:
- Google Authenticator의 동기화 기능 비활성화: 앱 설정에서 Google 계정을 통한 키 동기화 기능을 명시적으로 끈다. 이렇게 하면 주 계정이 침해되더라도 키가 유출되지 않는다.
- 독립형 하드웨어 또는 소프트웨어 2FA 도구 사용: YubiKey 또는 클라우드 서비스를 통해 데이터를 동기화하지 않는 독립형 도구(예: Authy의 동기화 비활성화, Aegis)를 고려한다.
- 거래소 한도 및 지연 설정 구성: 암호화폐 거래소에서는 항상 다음 설정을 활성화한다:
* 출금은 미리 '화이트리스트'(주소록)에 등록된 주소로만 가능하다.
* 리스트에 새 주소를 추가할 경우 첫 출금에 대해 24시간 지연을 설정한다.
- 푸시 알림의 중요 검증: 특정 서비스에 로그인하려는 상황이 아닐 경우, 로그인 또는 인증 요청을 절대 승인하지 말 것. 의심스러운 알림은 무시하거나 거부해야 한다.
- 계정 분리 운영: 하나의 주 이메일(특히 공개적인 이메일)을 거래소, 은행, 클라우드 저장소 등 모든 중요한 서비스에 사용하지 말 것. 고위험 작업에는 별도의 계정을 생성해야 한다.
사례에서 얻은 핵심 교훈
- 사회공학이 주요 공격 벡터다. 오늘날 가장 위험한 공격은 기술적 결함을 이용하는 것이 아니라 인간의 행동을 조작하는 데 집중한다.
- 2FA 동기화는 숨겨진 위협이다. Google 계정을 통해 동기화된 Google Authenticator 사용은 단일 취약점이 된다.
- 시점은 사기범의 도구다. 링크 전송, 미팅 시작, 인증 요청 트리거 등을 정교하게 조율함으로써 사용자가 모르는 사이에 접근 권한을 부여하게 만든다.
- 혼란은 계획의 일부다. 긴 시간 동안 현실감 있는 상호작용(통화, 메시징)을 통해 계정 소유자가 병렬적으로 발생하는 활동(로그인 알림, 설정 변경)을 인지하지 못하게 한다.
- 공개 정보는 타겟 선정의 원천이다. 사기범들은 전문 네트워크나 채팅방의 공개 프로필을 분석해 타겟을 식별하고 개인화된 스토리를 구성한다.
이 공격은 위협의 진화를 보여준다. 사기범들은 이제 기존의 기술적 방어를 우회할 수 있도록 복잡하고 다단계의 시나리오를 준비하는 데 시간을 투자한다. 대응은 시스템 설정을 넘어서야 한다. 심리적 조작에 대한 경각심을 높이고, 특히 디지털 자산을 다루는 사람들에게는 개인 계정 보안 아키텍처를 재평가해야 한다.
— Editorial Team
아직 댓글이 없습니다.