글로벌 가상자산 플랫폼 크립토닷컴(Crypto.com)은 최근 발표한 보고서에서 사이버 해킹의 중대한 원인으로 사회공학 기법을 경고하며, 사용자 자산 보호의 필요성을 강조했다. 보고서는 특히 사람의 심리를 조작하여 민감한 정보에 접근하는 사회공학적 수법이, 기술적 보안보다 인간의 약점을 겨냥하고 있다는 점에서 가상자산 업계에서 가장 심각한 리스크로 부각되고 있다고 밝혔다.
사회공학 공격은 단순한 해킹 기술을 넘어, 인간의 신뢰와 두려움을 조작하는 복합적인 방식이다. 보고서에 따르면, 피싱, 사칭, 유혹, 퀴드 프로 쿼(quid pro quo), 베이팅 등 다양한 접근법이 통합적으로 활용되며, 이러한 행위는 대형 보안 사고로 이어지는 주요 원인이 되고 있다. 예를 들어, 2025년 발생한 바이비트 해킹 사건에서는 북한 해커 그룹인 라자루스가 공급망 공격과 사회공학 기법을 결합하여 15억 달러 상당의 이더리움(ETH)을 탈취한 사례가 포함되어 있다. 이 사건은 신뢰받는 제3의 개발자를 심리적으로 위협하여 해당 해킹이 이루어진 것으로 밝혀졌다.
크립토닷컴 리서치는 이와 같은 사건에서 라자루스 그룹이 오픈 소스 기여자를 가장하여 개발자를 속였으며, 악의적인 도커 이미지가 포함된 파이썬 프로젝트를 실행하도록 유도했다고 설명했다. 해커는 개발자의 맥북을 감염시켜 아마존 웹 서비스(AWS) 클라우드 세션을 가로채고, 이는 결국 대규모 자금 유출로 이어졌다. 악성 스크립트는 정식 사용자 인터페이스(UI)처럼 보이는 바이비트 도구에 침입해 정상 사용자로 하여금 자신도 모르게 해커 계좌로 자금을 전송하도록 만들기도 했다.
이와 같은 사회공학 해킹은 단순한 기술적 보안 솔루션으로는 차단하기 어렵다는 점이 크립토닷컴의 핵심 주장이다. 보고서는 이러한 공격을 예방하기 위한 방안으로 ▲상대 신원 정보 이중 확인 ▲예상치 못한 메시지에 주의 ▲다단계 인증 활용 ▲소프트웨어 최신화 ▲하드웨어 월렛으로의 전환을 제안했다. 무엇보다도 사용자 스스로가 정보에 기반한 판단력을 높이고, ‘너무 좋은 제안은 의심하라’는 보안 습관을 가져야 한다고 강조했다.
또한, 현재 사회공학 수법이 점점 더 정교해지고 있으며, 타겟 또한 개인에서 기관의 개발자와 자금 관리자까지 확대되고 있다는 점을 지적했다. 이로 인해 전체 DAO(탈중앙화 자율조직) 및 핫 월렛 시스템이 위협받고 있으며, 특히 사회공학 공격은 피해 회복이 어려운 가상자산 생태계의 특성과 결합하여 피해가 더욱 심각해질 수 있다.
크립토닷컴 리서치는 결론적으로 “사이버 공격의 절반 이상이 인간의 실수에서 비롯되며, 교육과 인식 개선이 가장 강력한 방어 수단”이라고 밝혔다. 가상자산을 안전하게 지키기 위해서는 기술적 방어뿐만 아니라, 사용자의 경계심과 최신 정보에 대한 민감성을 함께 향상시켜야 할 때임을 시사하고 있다.
