2025년 상반기에 전 세계적으로 발생한 암호화폐 해킹 피해 규모가 약 21억 달러, 즉 2조 9,190억 원에 달하는 것으로 나타났다. 이 가운데 80% 이상이 소셜 엔지니어링이나 내부자의 협력으로 이뤄진 것으로 밝혀졌다. 특히, 한 사례에서 피해자는 비트코인(BTC) 783개, 약 9,100만 달러(1,264억 원) 상당의 금액을 단시간 내에 잃은 것으로 보고됐다.
이 사건은 잘 알려진 온체인 분석가인 잭엑스비티(ZachXBT)의 분석을 통해 세상에 공개되었다. 잭엑스비티는 해커들이 거래소와 하드웨어 지갑 공급자의 고객지원 센터를 사칭하여 피해자를 속인 사실을 밝혔으며, 해킹에 사용된 지갑 주소는 프라이버시 보호가 강화된 비트코인 지갑인 ‘와사비(Wasabi)’를 통해 이미 자금 세탁이 이루어진 것으로 확인됐다. 이 사건은 제네시스 채권자 해킹 사건 1주년과 겹쳐 더욱 충격을 안겼다.
ZachXBT는 “이처럼 정교한 사기 수법은 과거의 대형 데이터 유출로 노출된 개인 정보가 범죄자들에게 이용되기 때문”이라며, 불특정 다수의 개인정보가 범죄자들에게 ‘신뢰성 있는 연기’ 역할을 하게 만든다고 지적했다. 그는 또한 한 사용자의 질문에 답하며 “모든 전화와 이메일을 처음부터 사기로 간주하는 태도가 필요하다”는 점을 강조했다.
이런 새로운 해킹 방식은 최근의 전 세계적인 트렌드로 자리잡고 있다. 블록체인 보안 회사 TRM 랩스에 따르면, 2025년 상반기에 보고된 해킹 피해의 대다수는 개인 키 및 시드 구문 유출과 같은 인프라 침해와 관련이 있으며, 이러한 침해는 대부분 소셜 엔지니어링을 통해 이루어졌다고 분석했다. 평균 해킹 피해 규모는 약 3,000만 달러(417억 원)로, 작년보다 두 배 증가했다.
특히, 2월에 발생한 바이비트 사기는 최대 규모의 피싱 사건으로, 북한 국적의 해커 조직이 연루된 것으로 추정되며 국가 차원의 위협 가능성도 제기되고 있다. 이 공격은 전체 피해액의 약 70%를 차지했으며, 1월, 4월, 5월에도 각각 1억 달러를 넘는 피해가 발생했다.
이처럼 생겨난 소셜 엔지니어링 해킹은 단순한 피싱을 넘어 공격자가 심리적 신뢰를 조작하는 전략을 채택하고 있어 기존 보안 시스템을 무너뜨리고 있다. 공격자들은 기술적 결함을 노리기보다는 사람들의 신뢰를 공격하는 방식을 선택하고 있다.
이에 따라 개인 및 기업의 보안 관계자들은 고객지원이나 거래소 직원 등 신원을 요구하는 상대와의 소통을 신중하게 의심할 필요가 있으며, 멀티사인 방식의 콜드월렛, 무차별적 데이터 공유 차단 등 다층적인 방어 기법의 필요성을 강조하고 있다. 암호화폐 사용자들은 이제 ‘기술’뿐만 아니라 ‘심리’적인 방어에도 더욱 많은 주의를 기울여야 할 때이다.
