북한의 ‘클릭페이크’ 캠페인이 암호화폐 기업에 대한 사이버 공격에 다시 주목받으면서, 보안 전문가들은 Web3의 가장 큰 취약점이 스마트 계약이 아닌 사람이라는 점을 강조하고 있다. Oak Security의 관리 이사인 얀 필립 프리트셰는 블록체인 프로젝트 대부분이 가장 기본적인 운영 보안 기준조차 충족하지 못하고 있다고 지적했다. 그는 유럽 중앙은행에서 분석가로 근무한 경력을 가진 전문가로, 현재 여러 프로토콜에 대한 자문 및 감사를 진행하고 있다.
프리트셰에 따르면, 실제 위험 요소는 팀들이 장비, 권한, 그리고 프로덕션 접근을 관리하는 방식에 있다. 그는 “클릭페이크 캠페인은 얼마나 쉽게 팀이 타격을 받을 수 있는지를 보여줍니다”라며, Web3 프로젝트는 직원들이 업무 환경 외부에서 사이버 위협에 노출된다고 가정해야 한다고 말한다. 북한의 라자루스 그룹은 암호화폐 전문가를 겨냥하여 ‘클릭페이크 인터뷰’라는 사이버 캠페인을 펼치고 있으며, 이를 위해 LinkedIn과 X에서 리크루터인 척하면서 피해자를 속여 가짜 인터뷰를 통해 악성코드를 배포하고 있다.
프리트셰는 이러한 사이버 공격의 결과로, 개발자들이 개인 장비를 사용하여 암호화폐 관련 작업을 수행하며, 이로 인해 국가 주도의 공격에 노출될 수 있다고 경고했다. 그는 많은 DAO와 초기 단계 팀들이 개인 장비에 의존하고 있어 보안 기준을 강제할 방법이 없다고 지적하였고, “보안 위생을 강제할 방법이 없습니다. 너무 많은 팀, 특히 작은 팀들은 이를 무시하고 행운을 바라는 경향이 있습니다”라고 덧붙였다.
프리트셰는 높은 가치의 프로젝트의 경우, 개발자가 독단적으로 프로덕션에 변경사항을 반영할 수 있는 권한이 없어야 한다고 강조하며, “제한된 권한의 회사 발급 장치는 좋은 시작이지만, 어떤 단일 사용자도 그런 종류의 통제를 가져서는 안 됩니다”라고 주장했다. 그는 전통 금융의 교훈을 인용하며 “모든 위험은 입증될 때까지 실제로 가정되어야 합니다”라고 추가했다. 그는 전통 금융에서는 이메일을 확인하기 위해 조차도 출입 카드가 필요하다는 점을 강조하며, 이러한 기준이 존재하는 이유를 언급했다. Web3가 이러한 보안 조치를 따라야 한다는 것이다.
결론적으로, 최근의 사이버 공격은 Web3가 처음부터 고려해야 할 보안 체계를 마련하고, 조직 내부에서 안전한 디지털 환경을 구축하는 것이 중요하다는 사실을 다시 한번 상기시킨다. 암호화폐 산업이 빠르게 발전함에 따라, 사이버 보안도 이에 발맞추어 발전해야 하며, 이는 단순히 기술적 측면에서의 문제를 넘어 사람과 조직의 보안 의식과 협력에도 달려 있다.
