[이슈분석]진화하는 스캠 범죄 수법...'자동회수' 코드 은닉까지

ⓒ게티이미지
ⓒ게티이미지

#가상자산 프로젝트 재단 A사는 최근 국내 한 거래소에 가상자산을 상장하는 과정에서 코인의 보안 문제가 있으니 상장 심사를 통과할 수 없다는 답변을 받았다. 확인 결과, 코인을 발행을 맡았던 개발팀이 몰래 불법 코드를 심어놓았다는 뒤늦게 사실을 발견했다. 해당 코드는 이용자 계정으로 전송된 가상자산을 언제든지 발행 주체가 회수할 수 있는 기능을 담은 '트랜스퍼 리스토어(Transfer Restore)'였다. 투자자에게 부여한 코인을 몰래 훔쳐오기 위해 심어놓은 함정이었던 것이다.

가상자산을 활용한 사기 기술이 갈수록 정교해지고 있다. 일반인은 발견하기 어려운 영역에 기술적으로 악성 코드를 심는 사기가 확산하고 있다. 상장 직전에 코드를 발견한 A사의 경우 개발팀을 모두 해고하고 코인발행 작업을 전부 외부 개발사에 새로 맡겨야 했다. 예정에 없었던 거액의 비용 지출도 동반됐다.

상장 과정에서 이와 같은 악성 코드가 발견된 것은 오히려 다행이다. 코인회수 코드가 몰래 숨겨진 가상자산은 거래소 상장심사 과정에도 대부분 드러나는 것이 정상이다.

문제는 부실한 거래소와 재단이 작당해 이를 정상 가산자산처럼 상장하는 경우다. 실제로 사기 목적으로 발행된 코인은 상당수 코인회수 코드가 은닉돼 있는 경우가 많다. 코인 이동을 조정해 다단계 회원 영업을 독려하거나, 부여했던 코인을 빼돌리려는 목적이다.

사기 코드를 심어놨지만 정작 블록체인 기술 역량은 떨어지는 것도 이와 같은 스캠 프로젝트들의 특징이다. 자체 메인넷이나 전자지갑, 보안 기술들을 강조하고 있지만 대부분 외주 제작을 통해 저비용으로 단기간에 제작된 사례가 부지기수다. 현재 이더리움 ERC-20 계열 토큰을 외주에 맡겨 발행하려면 40만원만 있으면 된다. 전자지갑 역시 400만원이면 그럴듯한 형태로 완성된다. 샘플 전자지갑과 디자인은 다르게 제작되지만 사용자인터페이스(UI), 화면과 메뉴, 이용약관에 이르기까지 거의 동일한 사례가 발견되고 있다.

업계 관계자는 “다른 메인넷 오픈소스를 도용, 이더리움 소스코드를 이름만 그대로 바꿔 만든 메인넷을 기술력라고 포장하는 사기 사례도 포착되고 있다”며 “최신 기술에 취약한 노인 연령대를 타깃으로 하는 경우가 많아 대책마련이 시급하다”고 말했다.

이형두기자 dudu@etnews.com