비트코인 탈취, OTP까지 무력화... 대형 거래소마저 해커 사냥터로

OTP까지 무력화... 대형 거래소마저 사냥터로

비트코인, 이더리움, 리플 등 가상화폐 투자자를 겨냥한 해킹 공격이 급증했다.

대체로 안전하다고 알려진 국내 대형 가상화폐 거래소 이용자까지 수천만원대의 피해 사례가 속출했다. 중국 보이스피싱 범죄 그룹, 국내 사이버 범죄자 등이 가상화폐 거래소 이용자를 노린 정황도 포착됐다. 가상화폐 투자 광풍을 타고 하루 1조원대의 거래 시장이 형성됐지만 기존 금융 시장과 달리 규제와 관리 체계, 안전장치가 없어 추가 피해가 우려된다.

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

25일 업계에 따르면 최근 빗썸, 코인원, 코빗 등 주요 가상화폐 거래소 이용자를 대상으로 거래소를 사칭한 보이스 피싱이나 계정 탈취 시도가 잇따르고 있어 주의가 요망된다. 온라인 커뮤니티 등에는 보관해 둔 비트코인과 현금을 모조리 잃었다는 피해 호소도 이어지고 있다.

보안 강화 수단인 일회용비밀번호생성기(OTP)가 무력화된 사례도 보고됐다. 로그인 2단계 인증 장치로 OTP를 적용하면 아이디와 비밀번호가 유출되더라도 계정을 보호할 수 있다. 그러나 사전에 개인 정보 등을 빼낸 해커가 거래소 측에 OTP 기능 해제를 요청, 전자지갑에 보관된 비트코인 등을 탈취해 간 것이다.

해당 거래소 측은 “거래소 시스템이 직접 해킹된 사고가 아니라 이용자의 보안 관리 미흡으로 발생한 사건이어서 불가피한 측면이 있다”면서 “해커가 이용자 이메일 등에서 확보한 신분증 정보 등으로 OTP 기능 비활성화 절차를 밟은 것”이라고 설명했다.

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

반면에 피해자는 이메일에 신분증 정보를 보관한 적이 없다고 주장한다. 거래소 측이 위조된 신분증 사진만 보고 추가 확인 없이 OTP를 해제했다는 것이다.

피해자는 “거래소 고객센터에 확인해 보니 실제 신분증 정보와 다른 위조된 주민등록증 사진만 보고 OTP 해제가 이뤄졌다”면서 “이에 대해 항의하자 법대로 하라며 내용증명을 보내라는 답변이 돌아왔다”고 분통을 터뜨렸다. 이 피해자는 현재 경찰 사이버수사대에 신고, 변호사를 선임하는 등 민사 소송을 준비하고 있다.

그동안 가상화폐 관련 해킹, 계정 탈취, 무단 송금 등 피해는 주로 보안이 허술한 소규모 거래소에서 발생했다. 최근 대형 거래소까지 피해가 발생하면서 이용자 이탈도 예상된다.

최상명 하우리 실장은 “인터넷뱅킹이나 보이스피싱을 일삼던 국내외 사이버 범죄자 집단이 금융권에 비해 보안이 허술하고 현금화가 쉬우면서 추적도 어려운 가상화폐로 눈을 돌렸다”면서 “국내 상황을 정확히 파악하고 정교하게 공격하는 만큼 국내 가상화폐 거래소는 보안을 더 강화해야 한다”고 지적했다.

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

일부 커뮤니티에는 해커가 가상화폐 거래소 이용자를 목표로 삼는 수법까지 공유됐다. 가상화폐 관련 온라인 카페 등에서 공격 목표를 찾은 후 파밍, 피싱 등으로 아이디와 비밀번호를 빼낸다.

여러 사이트의 아이디, 비밀번호가 대부분 동일한 점을 악용한다. 해당 정보로 통신사에 접속해 문자·전화를 착신 전환한 후 거래소에 접속, 비트코인 등을 무단 송금하는 식이다.

피해 예방을 위해서는 사이트마다 비밀번호를 다르게 적용하고, OTP를 적용해야 한다. OTP까지 무력화된 사례가 나온 만큼 완벽한 대처를 장담할 수 없다.

빗썸과 코인원 등 주요 거래소 역시 상황을 심각하게 인식하고 해킹, 거래소 사칭 주의 공지를 올리는 등 긴급 대응에 나섰다. OTP 인증 해제 요청 시 본인 확인 절차를 강화하고, 유사 피해 신고 접수 현황도 취합하고 있다.

빗썸 관계자는 “계정 정보 노출로 인한 무단 송금 피해 등이 접수되면 피해 고객이 경찰 신고를 하기 전에도 송금이 이뤄진 전자지갑 주소를 수사 당국에 공유하는 등 피해 최소화에 협조하고 있다”고 말했다.

최근 금융감독원도 국내 가상통화 거래량 급증에 따른 시장 과열과 이용자 피해 등을 우려, 투자 유의 사항을 안내했다. 금감원은 거래소와 관련해서도 “해킹 등 사고 발생 시 적절한 책임 소재가 약관상 규정돼 있는지 등을 꼼꼼하게 살펴야 한다”며 경계심을 늦추지 말 것을 당부했다.

<국내 주요 비트코인 거래소 24시간 거래량(6월 22일 오후 2시 기준)>


국내 주요 비트코인 거래소 24시간 거래량(6월 22일 오후 2시 기준)

<가상화폐 이용자를 겨냥한 공격의 단계별 주요 흐름 추정표>


가상화폐 이용자를 겨냥한 공격의 단계별 주요 흐름 추정표

<가상통화 투자 시 유의 사항(자료:금감원)>


가상통화 투자 시 유의 사항(자료:금감원)


박정은기자 jepark@etnews.com