​[Tech in Trend] ② 가상자산 노리는 사이버공격 다변화...보완책 마련 필요

2021년 글로벌 가상자산 범죄 피해액 16조원 규모...국내 거래소, FDS·머신러닝으로 심 스와핑 대응

일상 노리는 사이버공격 확대로 보안수칙 준수 필요...인증 수단 다변화하고 개인정보 노출 최소화해야

가상자산 범죄 피해액

가상자산을 노리는 범죄가 더 교묘해지고 다양해지는 추세다. 최근 알려진 심 스와핑 공격은 모두 사용자의 가상자산거래소를 노렸다. 국내 첫 피해자는 100만원, 두 번째 피해자는 2000만원 상당의 가상자산이 타인의 지갑으로 무단 유출됐다. 이처럼 최근 사이버범죄는 가상자산으로 범죄수익을 거두는 사례가 늘고 있다.

가상자산 데이터 분석 플랫폼인 체이널리시스가 발표한 보고서에 따르면 2021년 가상자산과 관련한 범죄 규모는 140억 달러(약 16조6964억원)에 이르며, 2020년(78억 달러)과 비교해 두 배 가까이 늘었다. 범죄 행위 건수는 2020년보다 75% 감소했지만 가상자산 가치 상승으로 인해 실제 피해 규모는 더 커진 셈이다.

심 스와핑 같은 새로운 방식은 다크웹 범죄 커뮤니티 등을 통해 수법이 빠르게 공유되고, 국경을 넘나드는 범죄 모의로 이어진다. 범죄자가 범죄수익을 가상자산으로 얻으면 몇 차례 환전을 통해 자금 출처를 세탁할 수 있다. 또한 특정 지갑과 소유자를 연결하는 것도 어려워 범죄자는 익명으로 활동할 수 있다.

보안 강화하는 국내 거래소, 이상거래탐지시스템 고도화·보안인력 확충 등으로 공격 대비

가상자산을 노리는 범죄가 빈번하게 발생하는 만큼 국내 거래소도 대응책 마련이 필요하다. 국내 거래소는 상대적으로 철저한 사용자 인증과 보안을 갖추고 있다. 주요 거래소는 회원 가입과 거래 활성화를 위해 신분증이나 실명계좌 등을 확인하는 과정을 거치며 보안 강화를 위해 2단계 인증 활성화를 요구한다.

업비트를 운영하는 두나무는 투자자보호센터를 통해 보이스피싱이나 가상자산 사기를 예방하는 방법을 사용자에게 알리고 있으며, 코인원도 로그인 페이지를 통해 피싱을 주의하라고 경고한다. 코빗은 지난해 고객센터 대응을 통해 4000만원 상당의 보이스피싱을 예방한 사례도 있다.

다만 이처럼 거래소가 운영하는 2단계 인증 등은 심 스와핑 공격에 무력해질 수 있다. 앞서 언급한 것처럼 유심과 전화번호에 대한 권한이 공격자에게 넘어가게 되면 공격자가 마치 본인인 것처럼 계정 비밀번호를 재설정하고 2단계 인증 수단을 바꿔버릴 수도 있기 때문이다. 공격자가 심 스와핑을 통해 타인의 전화번호를 소지하고, 생일, 성별, 이름까지 알고 있다면 비대면으로 서비스를 제공하는 입장에서 이를 '정상적인' 접근으로 인지하게 된다.

두나무 관계자는 "부정거래에 대비해 이상거래탐지시스템(FDS)을 지속적으로 고도화하고 있으며, 머신러닝을 도입해 더욱 의심되는 거래도 탐지해 피해를 예방하고 있다. 특히 입출금 모니터링 시스템을 365일 24시간 운영하고 있으며 FDS 관련 인력도 2배 이상 확충하는 등 투자자 자산을 안전하게 보호하기 위해 노력하고 있다"고 말했다.

이어 "최근 심 스와핑으로 의심되는 사례를 발견했으며 빠르게 조치해 피해를 예방하기도 했다. 다만 투자자는 개인정보 탈취에 주의해 각종 전기통신금융사기 피해를 예방할 수 있도록 당부하며 조금이라도 의심되는 정황이 발생하면 수사기관, 금융기관, 전담 콜센터 등으로 연락해야 한다"고 말했다.

美 연방통신위원회, 심 스와핑 예방 위한 통신사 보안지침 발표

이동통신사의 노력 역시 중요하다. 미국 연방통신위원회(FCC)는 지난해 9월 30일 심 스와핑 공격으로부터 소비자를 보호하기 위한 사업자의 지침안을 발표하고 민간의 의견을 듣기 시작했다. 예를 들면 공격자가 무단으로 유심을 발급하지 않도록 사진이 있는 신분증을 이용해 신원을 확인해야 한다. 또한 유심 교체나 정보 이동 요청이 있으면 이를 소비자에게 알리며 변경 시 사용자 개인정보가 아니라 미리 설정된 암호를 확인해야 한다고 권고했다. 인터넷 서비스 이용 시 본인 확인 수단으로 보조 이메일을 사용하는 것처럼 보조 전화번호나 이메일을 새 유심 발행에 이용하는 방식이다.

이 밖에도 FCC는 이동통신사업자 상담센터에 대해 심 스와핑 공격에 대한 소비자 지원 방안 교육이 부실하다고 꼬집었다. 상담센터 담당자가 해당 공격과 처리 방법을 제대로 인지하지 못해 소비자 피해 구제에 더 많은 시간이 든다는 지적이다. 이에 따라 FCC는 사업자에 대해 직원 교육과 정보공개 청구 등을 부과할 수 있다고 덧붙였다.

국내에서도 이번 심 스와핑 사건 조사 결과에 따라 원인을 규명하고, 재발 방지를 위한 대책 마련이 필요할 것으로 보인다.
진화하는 사이버공격, 일상 속 보안수칙 지켜야

사이버공격은 우리 삶 깊은 곳에 스며들기 시작했다. 과거 사이버공격이 노리는 대상은 기업 서버나 중요 정보가 담긴 국가 연구시설 등으로, 정보 유출을 통해 상대를 협박하거나 다른 기업·국가에 넘기는 방식이었다.

하지만 ICT 기술이 발전하고 우리 일상과 융합하는 디지털 전환이 일어나면서 사이버공격 위협이 일상 전반으로 퍼지게 됐다. 지난해 발생한 월패드 사고가 대표적이다. 스마트홈에서 가정 내 사물인터넷 기기를 제어하는 월패드가 해킹되면서 사생활 영상이 촬영되고, 다크웹 등을 통해 거래된 사례다.

심 스와핑 공격 역시 우리의 디지털 일상을 노리는 대표적인 공격 사례다. 오늘날 스마트폰을 통해 여가, 쇼핑, 금융, 업무 등 다양한 서비스를 이용하고, 본인인증을 위한 주요 수단으로 쓰이는 환경에서 심 스와핑 공격은 성공 시 심각한 피해를 일으킬 수 있다. 때문에 기존 사이버보안의 개념을 더 폭넓게 적용하고, 일상을 지킬 수 있는 방안을 마련해야 한다.

서비스 제공자는 이러한 공격이 발생하지 않도록 철저한 보안 모델을 만들고 이용자 보호를 위해 노력을 기울이는 한편, 사용자 스스로 보안수칙을 준수해 피해를 예방해야 한다.

이번 심 스와핑 사례로 알 수 있듯, 스마트폰 문자 메시지 기반 2단계 인증은 완전하지 않다. 공격 발생 시 확인번호가 쓰인 문자 메시지를 공격자가 가로채기 때문이다. 따라서 인증 수단 다변화가 필요하다. 가령 구글은 로그인 시 2단계 인증 수단으로 전화번호뿐만 아니라 백업 코드, OTP 앱, 물리 보안 키 등을 설정할 수 있다.

예를 들어 OTP 앱을 이용한다면 공격자가 구글 계정 비밀번호 재설정을 시도할 때 문자 메시지 대신, 사용자가 설치한 전용 앱으로 1회용 비밀번호가 전송된다. 때문에 공격자가 전화번호에 대한 권한을 가져가더라도, 다른 인증 수단을 이용하는 계정은 쉽게 해킹할 수 없다.

미국 연방거래위원회 역시 2단계 인증 요소를 다양화해야 한다고 강조했다. ID와 비밀번호 외에도 두 번째 자격 증명을 통해 계정을 보호할 수 있다. 다만 문자 메시지를 통한 인증은 완벽하지 않으며, 인증 수단을 다양화해야 한다는 설명이다.

따라서 서비스 제공 기업은 전화번호 인증 외에도 이 같은 다양한 방식을 도입해 사용자에게 선택권을 주고, 사용자가 스마트폰 하나에 집중된 인증 방식을 여러 방식으로 나눠 보안을 강화할 수 있도록 지원해야 한다.

사용자는 기본적인 보안 수칙을 지켜야 한다. 대표적으로 소셜미디어에 개인정보 노출을 최소화하는 일이다. 우리가 일상을 기록하는 소셜미디어에는 생각보다 많은 개인정보가 담겨 있다. 이름이나 생일은 물론, 게시한 사진을 통해 가족관계나 사는 곳까지 추측할 수 있다.

만약 사이버공격자가 입수한 개인정보를 소셜미디어에 공개된 정보와 결합한다면 더 정확한 개인정보가 완성될 수 있다.

모질라재단은 이로 인해 발생할 수 있는 피해를 예방하기 위해 소셜미디어 계정은 기본적으로 비공개로 설정하고, 친구 등 신뢰할 수 있는 사용자만 볼 수 있도록 해야 한다고 조언했다.

연방거래위원회는 개인정보를 요구하는 전화, 이메일, 문자 메시지에 답장하지 말라고 소개했다. 이러한 메시지는 공격자가 사용자의 휴대폰, 은행, 신용정보, 기타 계정에 접근하기 위한 피싱일 수 있으며, 정보제공을 요청받으면 웹 사이트에 직접 접속해 회사에 문의해야 한다고 덧붙였다.

이상우 기자 lswoo@ajunews.com

- Copyright ⓒ [아주경제 ajunews.com] 무단전재 배포금지 -