금융보안원이 해외 가상자산거래소 해킹 사고를 분석한 보고서를 17일 공개했다. 가상자산을 제도권으로 편입하는 과정에서 금융권 전반의 보안 경각심을 높이려는 의도다.
보고서에 따르면 해커들은 ‘프리텍스팅(Pretexting)’ 수법을 활용해 거래소 직원을 속였다. 프리텍스팅은 공격자가 피해자와의 신뢰를 구축하기 위해 가짜 시나리오나 신원을 조작해 민감한 정보를 빼내는 방식이다.
해커들은 채용담당자를 사칭해 온라인 면접을 진행하면서 악성코드를 설치하도록 유도했다.
특히 이런 방식의 공격은 과거에는 개발자·시스템 운영자 등 정보기술(IT) 직군이 주요 표적이었지만, 최근에는 일반 직원까지 공격 대상이 확대되는 추세를 보였다.
따라서 금융보안원은 “직무와 무관하게 모든 임직원이 보안 위협에 대비해야 한다”고 당부했다.
보고서에는 역대 최대 손실이 발생한 지난 2월의 바이비트 거래소 해킹 사건도 언급됐다.
해당 해킹 사건은 거래소에 도입된 외부 월렛 솔루션 업체의 보안 취약점을 파고들어 내부 시스템에 침투해 발생했다.
해커들은 조작된 화면을 띄워 다중 서명 과정에서 관리자의 주의를 속였고, ‘블라인드 서명’이 이어지면서 공격에 성공했다. 블라인드 서명은 사용자가 서명할 계약의 정보를 제대로 확인·이해하지 못한 상태로 서명하는 행위를 말한다.
이런 방식으로 탈취된 가상자산을 세탁하는 과정에는 믹서(Mixer) 서비스인 ‘토네이도 캐시(Tornado Cash)’가 활용됐다.
세탁 과정을 통해 해커들은 훔친 암호화폐를 특정 지갑에 모은 뒤 다시 분산해 추적을 어렵게 하고, 동결이 가능한 USDT·USDC 대신 동결이 불가능한 코인으로 바꿔 현금화했다.
이 과정에서 고객 확인 절차가 미흡한 해외 거래소를 이용하는 등 규제 사각지대가 악용되기도 했다.
박상원 금융보안원장은 “가상자산 활용에 대한 금융권 관심이 높아지는 만큼 보안 위협을 선제적으로 차단할 필요가 있다”며 “최신 공격 기법과 위협 정보를 지속적으로 공유해 디지털 자산 생태계가 안전하게 성장할 수 있도록 지원하겠다”고 강조했다.