가상자산 노리는 '또 다른 변종 스미싱' 출현...거래소 몸살

글자 작게 글자 크게 인쇄하기

가상자산 투자자를 노린 스캠 시도에 가상자산거래소업계가 몸살을 앓고 있다. 국내 유명 가상자산거래소를 사칭한 스미싱 시도와 이성의 환심을 악용한 로맨스 스캠 시도가 계속되고 있기 때문이다. 최근에는 변종 수법에 이어 또 다른 진화 변종 스미싱이 등장, 소비자 피해가 예상된다.

본지는 최근 불특정 다수 이용자에게 배포된 변종 스미싱 메시지를 단독 입수했다. 메시지에는 '[Web발신]고객님계정이 해외IP-102.228.210.199에서 로그인되였습니다. 본인이 아닐 경우에는 해외IP 차단해주세요. 코인원은 안전하고 건강한 시장 조성을 위해 다방면으로 노력하고 있습니다.'라는 내용이 담겼다.

대형 거래소인 코인원뿐만 아니라 또 다른 주요 거래소인 고팍스를 사칭한 스미싱 메시지도 등장했다.

수법도 치밀하다. 인터넷 주소(URL), 거래소 이름만 교묘하게 다를 뿐 표현과 형식은 완전히 일치했다. 스미싱 방식도 정교해졌다. 구체적인 IP 주소를 기입했고, 해외 번호가 아닌 국내 번호를 활용해 의심을 피했다.

가상자산 노리는 '또 다른 변종 스미싱' 출현...거래소 몸살
가상자산 노리는 '또 다른 변종 스미싱' 출현...거래소 몸살

가짜 홈페이지에 접속하면 실제 거래소와 유사한 화면이 출력된다. 이용자가 계정과 비밀번호를 입력하도록 해서 정보를 탈취한다.

로맨스 스캠 시도 역시 갈수록 진화 양상을 보였다. 이성 관계를 앞세워 가상자산을 입금하도록 하고 잠적하는 수법이다. 일당이 가상자산 이체를 장기간 지속해서 요구하기 때문에 피해 금액이 수천만원에 이르기도 한다. 고팍스는 지난달 20일부터 이달 20일까지 1개월 동안 6건의 로맨스 스캠 시도를 탐지했고, 그 가운데 5건(3000만원 상당)을 방어했다.

수법은 정교해졌고, 빈도는 늘어났다. 거래소에서 가짜 URL을 차단하더라도 또 다른 가짜 링크가 지속적으로 만들어진다. 최근 비트코인 등 대표 가상자산 가격이 상승하면서 탈취 시도가 늘어날 것으로 업계는 예상했다.

업계 관계자는 29일 “최근 스미싱 기법은 계정과 비밀번호는 물론 1회용 비밀번호(OTP) 정보까지 모두 빼내 간다”면서 “가상자산 가격 상승으로 이러한 시도는 더욱 증가하고 있고, 모든 가상자산거래소가 타깃”이라고 설명했다.

백명훈 스트리미 최고정보보호책임자(CISO)는 “가짜 홈페이지에 들어가 아이디, 비밀번호를 입력하면 OTP를 추가로 입력하는 안내가 나온다”면서 “그 OTP를 받아서 해커가 즉시 실제 계정 로그인에 활용하는 수법”이라고 설명했다, 백 CISO는 “아이디와 비밀번호를 실수로 입력했다면 곧장 비밀번호를 변경해야 한다”고 말했다.

고팍스 사칭 가짜 URL 접속 시 출력되는 화면(자료 : 고팍스)
<고팍스 사칭 가짜 URL 접속 시 출력되는 화면(자료 : 고팍스)>
고팍스 사칭 가짜 URL 접속 시 출력되는 화면.(자료 : 고팍스)
<고팍스 사칭 가짜 URL 접속 시 출력되는 화면.(자료 : 고팍스)>

스캠 수법이 다변화하고 있고 이용자의 눈속임이 갈수록 고도화되고 있다는 평가다. 거래소 차원의 이상금융거래탐지시스템(FDS), 자금세탁방지(AML) 솔루션만으로는 모든 스캠 시도를 근절하기 어렵다. 지인이 보낸 메시지라 해도 URL은 함부로 접속하지 말라는 게 전문가의 조언이다.

문종현 이스트시큐리티 이사는 “가상자산뿐만 아니라 전 분야에서 스미싱 시도 자체가 크게 늘고 있고, 실제로 통장에서 돈이 빠져 나가기 전까지는 일반인이 체감하기 어려운 것이 사실”이라면서 “해커 집단의 공격은 여러 정보를 수집한 상태에서 피해자 맞춤형 공격이 이뤄지기 때문에 더욱 체계화한 FDS 구축이 필요하다”고 경고했다.

이영호기자 youngtiger@etnews.com, 박정은기자 jepark@etnews.com