미국에서 스마트폰의 심(Subscriber Identity Module, SIM)카드을 해킹해 개인 지갑이나 거래소에 보관 중인 암호화폐를 탈취하는 사례가 발견됐다. 국내에서도 암호화폐를 노린 스미싱이나 악성 앱이 늘어나고 있어 주의가 요구된다.
미국 뉴욕에 위치한 암호화폐 대출 플랫폼 블록파이(BlockFi)는 지난 14일 신원을 알 수 없는 해커가 내부 직원의 심카드를 해킹해 고객 계정 정보에 접속, 회원의 이름, 생년월일, 주소 등 민감한 정보를 탈취했다고 20일(현지시각) 밝혔다. 심카드는 휴대전화의 사용자를 식별하기 위한 장치로, 가입자 정보, 네트워크 정보, 개인 인증 정보 등이 저장돼 있다.
블록파이는 사건 보고서를 통해 "해커가 직원의 심카드 정보를 탈취, 블록파이의 내부 시스템 일부에 접근했다"며 "해커는 고객 계정 정보를 탈취했지만, 블록파이에 보관된 고객의 암호화폐는 인출되지 않았다"고 설명했다.
심카드 해킹 사건은 이전에도 빈번히 발생했다. 지난 2018년 1월 미국 최대 통신 업체 AT&T 심카드 해킹 사건이 대표적이다. 암호화폐 펀드사를 창업한바 있는 마이클 터핀은 자신이 가입해서 사용 중인 AT&T가 심카드 관리를 소홀히 해 해커가 심카드 정보를 탈취, 휴대전화에 저장된 주요한 정보에 접근했으며, 개인 암호화폐 지갑에 보관했던 2380만 달러에 달하는 암호화폐를 도난당했다고 주장했다.
국내는 심카드 해킹보다 스미싱, 악성앱을 통한 해킹이 급증
보안업계에 따르면, 국내에서도 최근 들어 암호화폐 해킹 사례가 급증하고 있다. 문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 "최근 비트코인 가격이 회복되면서, 다시금 암호화폐를 노리는 해킹 시도가 늘어나고 있다"고 전했다.
특히 n번방 사건과 코로나19, 긴급재난지원금 등 사회적 이슈로 포장해 자발적인 클릭이나 설치를 유도하는 '사회공학적 해킹(social engineering hacking)' 기법과 스미싱, 악성 앱이 결합해 암호화폐를 노리는 사례가 늘고 있다고 한다. 스미싱(Smishing)은 문자메시지(SMS)와 피싱(Phishing)의 합성어로, 문자메시지에 링크를 삽입해 이를 실행하면, 휴대전화에 악성코드나 백도어 프로그램이 설치되는 해킹 방법이다.
문 센터장은 국내 암호화폐 거래소 이용 및 지갑 관리 환경을 봤을 때, 심카드 해킹보다는 스미싱과 악성 앱을 통한 해킹 시도가 더욱 늘어날 것으로 전망했다. 국내는 거래소 접속 시 일회용 비밀번호(One Time Password, OTP) 서비스 및 기기나, 추가 인증을 하는 2단계 인증(2FA) 방식이 일반적이다. 반면, 미국 등에서는 심카드 정보를 해킹해 거래소의 인증 문자를 가로채거나 심카드 정보를 복제해 인증을 우회하는 형태로 암호화폐 탈취가 이뤄진다.
휴대전화에 비밀번호 기록은 치명적...불편해도 보안 수칙 지켜야
문 센터장은 스미싱이나 악성 앱 등을 이용한 대부분의 해킹 사고는 휴대전화에 거래소 로그인 정보나 지갑 정보, 개인키 등을 저장한 탓에 발생한다고 경고했다.
"스미싱이나 악성 앱 등을 휴대전화에서 클릭하거나 설치한 순간 보관된 모든 정보를 해커가 마음대로 볼 수 있다. 문자 메시지의 인증 정보는 물론이고, 메모장에 기록해둔 것도 예외는 없다. 온라인에 연결되는 장치는 언제든지 해킹이 될 수 있는 만큼 불편하더라도 오프라인에 따로 보관해야 한다."
문 센터장이 강조한 개인정보와 암호화폐를 지키기 위한 보안 수칙은 다음과 같다.
- SMS에 포함된 URL은 절대 클릭하지 않는다.
- 공식 앱 스토어를 통한 앱만 설치한다. 단, 악성 앱이 등록된 경우도 빈번하므로 리뷰나 실 사용자가 많은 앱 위주로 사용한다.
- 모바일 백신 앱을 설치한다.
- 암호화폐 거래소 이용 시 OTP 등을 추가로 사용한다.
- 로그인 정보나 개인키 등은 별도의 USB에 저장 후 필요한 경우에만 연결해서 사용한다.
- 휴대전화와 백신의 보안 패치를 꾸준히 한다.
제보, 보도자료는 contact@coindeskkorea.com