디지털 지갑은 더 이상 안전한 장소가 아닙니다.

카스퍼스키는 중요한 기기에 방화벽이 있는 보안 도구를 항상 사용할 것을 권장합니다.

과거에는 사용자가 실수로 개인 키를 공개해서 디지털 지갑을 잃어버리는 경우가 많았지만, 이제 해커들은 사용자가 자신도 모르게 자산을 기부하도록 "돕는" 도구를 만들었습니다.

이러한 추세를 보여주는 최근의 두 가지 주목할 만한 사건은 블록체인 업계 인력을 표적으로 삼은 악성 확장 프로그램과 APT 캠페인의 등장입니다.

TheHackerNews는 2025년 11월 중순, "Safery: Ethereum Wallet"이라는 크롬 브라우저 확장 프로그램이 발견되어 보안 업계가 큰 충격을 받았다고 보도했습니다. 안전하고 유연한 이더리움 지갑으로 위장한 이 확장 프로그램은 실제로는 정교하게 설계된 "흡혈 기계"입니다.

보안 연구원 "세이퍼리(Safery)"에 따르면, 사이버 공격자들은 블록체인 기술을 사용하여 범죄를 은폐합니다. 구체적으로, 사용자가 이 가짜 지갑에 복구 문구(시드 문구)를 입력하면, 악성코드는 해당 문구를 수이 네트워크(수이 블록체인)의 지갑 주소로 암호화합니다.

공격자는 수신 주소만 추적하고 복호화하면 원래 시드 구문을 복구하고 피해자의 디지털 지갑을 은밀하게 비우게 됩니다. 문제는 전체 데이터 유출 과정이 일반적인 블록체인 거래와 매우 유사하여 보안 모니터링 시스템이 거의 "눈먼" 것처럼 보인다는 것입니다.

카스퍼스키의 조사에 따르면, 악명 높은 사이버범죄 조직인 BlueNoroff(Sapphire Sleet 또는 APT38로도 알려짐)는 일반 사용자만 공격하는 것이 아니라, Web3 분야의 프로그래머와 임원을 직접 표적으로 삼은 GhostCall과 GhostHire라는 두 가지 새로운 표적 공격 캠페인을 전개한 것으로 나타났습니다.

GhostCall 캠페인에서 해커들은 벤처 캐피탈리스트(VC)를 사칭하여 텔레그램을 통해 공격 대상에게 접근했습니다. 가장 두려웠던 것은 정교한 소셜 엔지니어링 기법이었습니다. 그들은 피해자들에게 Zoom이나 Microsoft Teams와 같은 가짜 웹사이트에서 화상 회의에 참여하도록 유도했습니다.

참여 시 피해자는 다른 참여자의 영상을 보게 됩니다. 사실, 이는 많은 사람들이 오해하는 것처럼 딥페이크가 아니라, 해커가 이전 피해자의 실제 오디오/비디오를 훔쳐낸 것입니다.

이러한 "진정성" 때문에 피해자는 경계를 늦추고 악성 AppleScript(macOS용)나 악성 실행 파일(Windows용)이 포함된 가짜 "업데이트"를 쉽게 다운로드하게 됩니다.

카스퍼스키가 발표한 2025년 피싱 기술에 대한 최신 보고서에 따르면, 해커들은 캘린더 피싱 수법을 비즈니스 수준(B2B)에서 "다시 부활"시켰습니다.

대량의 "스팸" 이메일을 발송하는 대신, 이벤트 설명에 악성 링크가 포함된 가짜 회의 초대장을 발송합니다. 사용자가 이메일을 열지 않더라도 휴대폰 캘린더 앱에서 알림을 보내 호기심에 링크를 클릭하도록 유도할 수 있습니다.

또한, QR 코드 사용은 PDF 첨부 파일에 QR 코드를 삽입하는 새로운 형태로 바뀌었습니다. 이러한 PDF는 자동 바이러스 검사 도구를 우회하기 위해 암호로 보호되는 경우가 있습니다(암호는 이메일이나 별도의 이메일로 전송됩니다).

QR 코드를 스캔하면 사용자는 개인용 모바일 기기를 사용해야 하는데, 이러한 기기는 회사용 컴퓨터만큼 강력한 보안 보호 기능이 부족한 경우가 많습니다. 이를 통해 가짜 피싱 사이트에 접속할 수 있습니다.

카스퍼스키의 보안 연구원들은 해커가 API를 통해 실제 서비스와 실시간으로 상호 작용할 수 있는 가짜 로그인 페이지(예: pCloud 스토리지 서비스를 사칭)를 만드는 주목할 만한 기술을 보여주었습니다.

사용자가 가짜 사이트에 로그인 정보와 OTP 코드를 입력하면, 해당 사이트는 즉시 해당 데이터를 실제 서비스로 전송합니다. 만약 정보가 정확하다면, 해커는 사용자가 미처 알아차리기도 전에 로그인 세션을 장악하게 됩니다.

또한, 해커들은 피싱 웹사이트 보안 필터에 탐지 및 분석되는 것을 피하기 위해 "인증 체인"을 구축했습니다. 사용자가 링크를 클릭하면 여러 단계의 CAPTCHA 인증 코드나 가짜 인증 페이지를 거쳐야 최종 페이지(가짜 Google/Microsoft 로그인 페이지)에 도달하게 됩니다. 이는 자동 인증 봇을 걸러내는 동시에 사용자에게 웹사이트가 완벽하게 안전하다는 잘못된 신뢰를 심어줍니다.

피싱의 위험성은 "피싱 서비스" 모델로 인해 더욱 커졌습니다. 이는 최근 Google이 Lighthouse 플랫폼의 해커를 상대로 제기한 소송에서 입증되었습니다.

2025년에는 암호화폐 세계 에서 안전과 위험의 경계가 그 어느 때보다 얇아질 것입니다.

사이버 범죄자들은 더 이상 단순히 모호한 악성 코드 제작자가 아닙니다. 그들은 사용자 행동을 이해하는 "심리학자"이자 블록체인, 2단계 인증과 같은 보안 기술을 활용해 피해자를 공격하는 방법을 아는 "엔지니어"입니다.

투자자들에게 "개인 키를 공유하지 마세요"라는 조언은 더 이상 충분하지 않습니다. 카스퍼스키 전문가들은 확장자 출처를 신중하게 확인하고, 온라인 회의 초대나 예상치 못한 채용 제안에 주의하며, 이메일 로그인 요청(PDF 또는 CAPTCHA 보호 기능이 있는 경우에도)에 주의하는 것이 함정이 가득한 이 디지털 시대에 필수적인 생존 기술이라고 말합니다.

카스퍼스키 전문가에 따르면, 윈도우 노트북부터 맥북까지 중요한 기기에는 항상 방화벽이 있는 보안 도구를 사용하고, 소형 컴퓨터로 여겨지는 스마트폰에도 보호 애플리케이션이 필요하다는 점을 잊지 마세요.

투자 자산을 보관하는 디지털 지갑에는 신뢰를 쌓을 수 있는 "가치 있는" 보호 애플리케이션이 필요합니다.

김탄

출처: https://www.sggp.org.vn/vi-tien-so-khong-con-la-noi-an-toan-post826686.html