글로벌 가상자산 시장이 5월 들어 해킹 위협에 흔들리고 있다. 거래소 내부자 연루 사고부터 스마트 계약 취약점 악용, 사회공학적 접근, 현실 강압까지 다양한 방식의 공격이 잇따르며 보안 경각심이 고조되고 있다.
가장 큰 충격을 안긴 사건은 미국 최대 가상자산 거래소 코인베이스에서 발생했다.
지난 16일 복수의 가상자산 매체 보도에 따르면 코인베이스는 외부 고객지원 업무를 맡은 제3자 직원이 뇌물을 받고 고객 데이터를 외부 해커에게 유출한 사실을 인정했다.
유출된 정보에는 고객 이름, 생년월일, 주소, 전화번호, 이메일, 계좌 잔액, 정부 발급 신분증 이미지 등이 포함됐다. 피해 범위는 전체 사용자 중 약 1%로 추정된다.
해커는 유출한 고객 데이터를 바탕으로 피싱 사기를 시도하고 코인베이스 측에 2천만 달러 상당의 비트코인을 요구하는 협 메시지를 보냈다. 코인베이스는 이를 거부하고 오히려 해커 검거에 협조하는 제보자에게 동일한 금액을 포상금으로 제공하겠다고 밝혔다. 코인베이스 측은 이번 사고로 최대 4억 달러의 손실이 발생할 수 있다고 추산했다.
디파이 생태계도 해커의 공격 대상이 됐다. 지난 13일 BNB 체인 기반 프로젝트 ‘모비우스’는 스마트 계약 내 수학적 계산 오류를 악용한 해커의 공격으로 대량의 가상자산을 탈취당했다.
해커는 0.01 BNB(약 6달러)로 담보를 설정한 뒤 9.73경 개의 MBU 토큰을 불법으로 발행했다. 이후 이 토큰을 스테이블코인으로 전환해 약 215만 달러를 챙긴 뒤 토네이도캐시를 통해 자금을 세탁한 것으로 확인됐다.
보안 분석업체들은 해당 계약의 구조적 허점을 지적하며 유사한 디파이 프로젝트에도 추가 피해가 발생할 수 있다고 경고했다.
이와 함께 바이낸스와 크라켄 등 주요 글로벌 거래소를 상대로 한 사회공학적 공격도 보고됐다.
해커는 고객센터 직원에게 뇌물을 제시하거나 거짓 요청을 통해 내부 시스템 접근을 시도한 것으로 알려졌다. 두 거래소는 모두 내부 보안 시스템을 통해 접근을 차단하고, 고객 피해는 발생하지 않았다고 발표했다.
가상자산 업계 전문가들은 “사회공학 공격은 기술적 해킹보다 탐지하기 어려운 만큼 장기적으로 보안 관리를 강화해야 한다”고 지적했다.
관련기사
- SKT해킹 BPF도어 점검 도구 공개하니···다운로드 잇달아2025.05.17
- 카스퍼스키 "SKT 해킹, 이렇게 하면 막을 수 있었다"2025.05.14
- 명품 '디올', 해킹돼 고객정보 유출…100일 지나 알려2025.05.14
- 개보위, 잇달은 해킹에...대규모 개인정보처리 31곳과 긴급 회의2025.05.02
가상자산 탈취는 온라인 공간이 아닌 현실에서도 발생했다. 프랑스에서는 가상자산 업체 CEO 가족을 대상으로 한 납치 시도가 발생했고 미국과 영국에서도 하드월렛 보유자를 상대로 한 강도 피해 사례가 보고됐다. 랜섬웨어 그룹 ‘LockBit’의 내부 정보가 해킹돼 다크웹에 유출된 사건도 보안 불안을 가중시키고 있다.
업계 한 관계자는 “보안 솔루션 도입만으로는 근본적인 방어가 어려운 상황”이라며 “내부 보안 프로토콜 강화와 함께 이용자 교육, 오프라인 보안 의식 제고까지 전방위적인 대응이 필요하다”고 말했다.
