웁살라시큐리티, 가상자산 서비스 관련 피싱 보고서 발간
구글, 야후 등 대형 플랫폼 활용…"니모닉키 요구 응하면 안돼"
[파이낸셜뉴스] 비트코인(BTC), 이더리움(ETH) 등 가상자산 투자에 대한 관심이 높아지고 있는 가운데, 초기 투자자들을 대상으로 가상자산 지갑으로 위장한 피싱 사이트들이 구글, 야후 등 대형 포털에서 잇따라 포착되고 있어 사용자 주의가 요구된다.
구글, 야후 등 대형 플랫폼 활용…"니모닉키 요구 응하면 안돼"
해당 사이트들은 대개 광고(AD) 링크가 달려있고 사용자에게 가상자산 지갑 서비스를 초기화하는 비밀번호(니모닉키)를 요구한다는 점이 특징이다.
2일 글로벌 블록체인 보안전문기업 웁살라시큐리티는 가상자산 피해대응 전문 부설기관인 '가상자산 피해대응센터(Global Crypto Incident Response Centre,CIRC)'에서 ‘구글광고를 통한 메타마스크(가상자산 지갑 서비스) 피싱 추적 조사 보고서’를 통해 가상자산 지갑 사칭 피싱 사이트에 대한 주의를 당부했다.
보고서는 “2020년부터 한 사이버보안위협 조직에 의한 메타마스크 피싱사이트 운영이 확인됐고, 피싱 수법이 네 번에 걸친 웹파일의 코드 및 인프라 변화로 교묘하게 진화됐으며 또다른 가상자산 지갑인 렛저와 코이노미 사용자로 공격 범위가 넓어지고 있는 것을 파악했다"며 ”해당 조직은 탈취한 가상자산을 현금화하기 위해 중국 거래소인 픽스트플롯(FixedFloat)과 또다른 중국의 출처를 알 수 없는 탈중앙거래소(DEX)를 사용했다"고 분석했다.
보고서는 가상자산 지갑 피싱 사이트들이 구글애드 같은 공신력 있는 플랫폼을 통해 광고되고 있고, 실제 웹페이지와 분간하기 어려울 정도로 비슷하게 만들어졌기 때문에 사용자 입장에서 피싱 사기인지 분간하기 어렵다고 지적했다.
하지만 이용자에게 직접적으로 비밀번호 생성을 유도하거나 니모닉키를 입력하라고 요구하는 지갑 서비스 공급자가 없다는 점 등을 근거로 특정 웹사이트에서 기존 가상자산 지갑 사용자에게 비밀번호 입력을 유도하는 경우 악의적 행위로 인식하고 유의할 것을 당부했다.
웁살라시큐리티 패트릭 김 대표는 “대표적인 피싱 범죄의 유형에 대해 사용자가 미리 인지하고 있는 것이 중요하다. 일반적으로 검찰, 경찰, 국세청, 금융위 등 정부기관을 사칭하며 자금이체를 요구하거나, 금융권 사이트에서 개인금융정보 입력을 요구하는 사칭 사이트들이 있다"며 "특히 피해자가 보안카드 번호를 입력한 뒤 이체 버튼을 클릭하더라도 더 이상 진행되지 않고 오류가 발생하도록 한 후 거래 재개를 위해 보안카드 번호를 다시 요구하는 경우가 있는데 이것은 100% 피싱 사기라고 생각하면 된다"고 말했다.
그러면서 "정부기관 및 은행 등 그 어떤 기관에서도 절대 개인의 금융 거래정보나 금전을 요구하지 않으며 이것은 가상자산의 모든 서비스 에서도 그대로 적용된다"며 "만약 악의적인 공격자가 개인 키를 탈취하더라도 피해를 최소화할 수 있도록 사용자가 자신의 가상자산을 분산해 서로 다른 가상자산 월렛에 보관하는 것도 적절한 사전 대응 방법"이라 조언했다. =
srk@fnnews.com 김소라 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지