2024년은 비트코인이 전성기를 새롭게 맞이한 해였다. 그러자 공격자들이 움직이기 시작했다. 돈 냄새가 나는 곳은 어찌나 잘 찾는지.

3줄 요약

1. 암호화폐 가치 크게 올랐던 2024년, 공격 수위도 높아짐.

2. 피해자는 크게 늘지 않았는데 피해 규모는 기하급수적으로 증가.

3. 암호화폐 드레이너 사건은 사전에 미리 막는 게 100배 나음.

[보안뉴스 문가용 기자] 암호화폐 투자자들은 늘 사이버 공격의 주요 표적이 된다. 최근 암호화폐의 가치가 크게 올라 기록들을 갈아치우면서 이 현상은 더 심해지고 있다. 그래서 2024년 이른 바 웹3(Web3)라고 하는 생태계에서는 4억 9400만 달러에 달하는 손실이 있기도 했다. 특히 암호화폐 지갑을 싹 비워내는 기능을 가진 멀웨어인 ‘월렛 드레이너(wallet drainer)’에 의한 피해가 매우 크다고 한다. 이러한 상황에 대해 웹3 분석 플랫폼인 스캠스니퍼(Scam Sniffer)가 새로운 보고서를 발표했다.

숫자로 보는 2024년

주요 지표를 간략히 정리하면 다음과 같다.

- 총 손실 : 4억 9,400만 달러(전년 대비 67% 증가)

- 피해자 수 : 33만 2,000개의 주소(전년 대비 3.7% 증가)

- 단일 사건 최대 피해 금액 : 5,548만 달러

- 대규모 도난 사건 수(건당 피해액이 100만 달러가 넘는 사건) : 30건

주요 사건을 분기별로 정리하면 다음과 같다.

- 1분기 : 비트코인 가격이 사상 최고치를 기록하면서 피싱 공격 역시 급증했다.

- 2분기 : 유명 피싱 공격 단체인 핑크드레이너(Pink Drainer)가 공격 중단 및 은퇴를 선언했다.

- 3분기 : 암호화폐 시장이 안정화 국면에 들어서면서 피싱 활동이 다수 줄어들었지만, 이따금씩 대형 사건들이 터졌다.

- 4분기 : 또 다른 공격 단체인 인퍼노드레이너(Inferno Drainer)가 은퇴를 선언했는데, 그 빈 자리를 앤젤(Angel)이라는 새 공격 그룹이 채웠다.

스캠스니퍼는 “올해의 공격 활동은 크게 세 가지 단계로 나눌 수 있다”며 다음과 같이 정리한다.

- 1분기 : 손실이 가장 컸던 시기. 총 손실액이 1억 8720만 달러. 피해자는 약 17만 5천 명. 3월에만 7520만 달러의 손실이 발생.

- 2분기와 3분기 : 두 분기를 함친 손실은 총 2억 5700만 달러. 피해자는 9만 명.

- 4분기 : 손실 규모가 5100만 달러로 줄어들었고, 피해자 역시 3만 명으로 축소됨. 암호화폐를 보호하는 기술이 향상됐음을 시사함.

이를 월별로 보면 다음과 같이 정리된다.

- 상반기(1월~6월) : 사건 수 자체는 많았지만 개별 사건 당 손실액이 크지는 않았다.

- 최대 피해 시기(7월~9월) : 이 기간에 발생한 피해 규모는 컸다. 8월에만 5548만 달러, 9월에만 3251만 달러가 사라졌다. 이 두 금액을 합하면 2024년 전체 피해액의 52%다.

- 4분기(10월~12월) : 사건의 빈도와 피해 금액 모두 크게 감소했다. 시장의 보안 인식에 개선이 있었던 것으로 해석된다.

코인별 상황

2024년 한 해 동안 발생한 대형 사건은 30건이라고 한다. 여기서 대형 사건이란, 한 건에 100만 달러 이상의 피해가 벌어진 사건을 말한다. “이러한 사건으로 인해 발생한 총 피해액은 1억 7100만 달러입니다. 단 30건으로 이렇게 큰 피해를 입을 수 있다는 건, 암호화폐 생태계에서 단일 사건 하나의 영향력이 얼마나 클 수 있는지를 보여줍니다.”

화폐별(혹은 체인별)로 집계하면 어떻게 될까? 이더리움이 압도적인 1위를 차지한다고 한다. 정리하자면 다음과 같다.

- 이더리움 : 25건(85.3%), 총 손실액은 1억 5200만 달러

- 아비트럼 : 2건, 355만 달러

- 블라스트 : 1건, 587만 달러

- 베이스 : 1건, 120만 달러

- BNB체인 : 1건, 788만 달러

드레이너 생태계에서도 적잖은 변화가 있었고, 이 때문에 위협 지형도가 시기별로 바뀌기도 했던 2024년이었다고 스캠스니퍼는 설명한다. “5월 말에 핑크드레이너가 은퇴를 선언한 것부터 큰 변경이 있었습니다. 당시 핑크드레이너는 드레이너 시장의 28%를 차지하고 있었거든요. 업계 전체에 큰 구멍이 생긴 것이죠. 이 점유율을 인퍼노가 흡수했습니다. 그리고 이 인퍼노는 앤젤이라는 그룹을 10월 말에 인수했고요.”

대격변을 겪은 시장

그러면서 생긴 시장 구조 변화를 정리하면 다음과 같다고 한다.

- 1~2분기 : 앤젤과 핑크, 인퍼노 간 경쟁이 치열했다. 당시 점유율은 순서대로 42%, 28%, 22%였다.

- 3분기 : 핑크가 은퇴하면서 두 세력 간 경쟁 구도로 변했다. 이 시점 인퍼노의 시장 점유율은 43%, 앤젤의 그것은 25%였다.

- 4분기 : 인퍼노가 경쟁자였던 앤젤을 흡수하면서 통합 시장 점유율 45%를 가져가게 됐다. 그 외에 에이스드레이너(Acedrainer)라는 그룹이 20%, 기타 새로운 드레이너 단체가 25%를 차지하기에 이르렀다.

드레이너 멀웨어는 어떤 식으로 유포되는 것일까? “해킹 공격이 가장 빈번했습니다. 피해자의 공식 디스코드나 트위터 계정을 탈취해서, 그것을 기반으로 프론트엔드나 공급망을 공략하는 식입니다. 그 외에도 NFT 또는 토큰 에어드롭, 만료된 디스코드 링크를 재활용하기도 하고, 구글 검색이나 트위터, 텔레그램 광고를 통해 피해자에게 접근하기도 합니다. 이메일과 소셜미디어 개인 메시지를 통한 접근법도 존재했습니다.”

이런 멀웨어들이 호스팅 되어 있는 서비스나 도메인 등록업체들은 다음과 같았다.

1) 주요 피싱 웹사이트 호스팅 서비스 : 클라우드플레어(Cloudflare), 버셀(Vercel), IPFS

2) 주요 도메인 등록 업체 : 오운레지스트라(OwnRegistrar), 호스팅어(Hostinger), 네임사일로(NameSilo), 투카우즈(Tucows)

공격자들은 이런 정상 서비스들에 마련된 탄탄한 탐지 기술을 어떻게 우회하는 것일까? 크게 네 가지 방식이 있는 것으로 분석됐다.

1) 지갑 정상화 프로세스 악용 : 지갑이 처리할 수 있지만 보안 탐지 레이어에서 놓칠 수 있는 서명을 유도한다.

2) 정상 계약 활용 : 클라우드플레어나 가짜 캡챠 페이지를 추가해서 탐지를 방해한다.

3) XSS 취약점을 이용. : 블랙리스트를 우회하려는 시도로 보인다.

4) 지갑 시뮬레이션 결과 속이기 : 지갑이 제공하는 시뮬레이션 데이터를 조작해 사용자를 속인다.

그래서?

암호화폐에 관심을 가지고 있는 사람들이 이런 드레이너의 위협에서 안전하려면 어떻게 해야 할까? 스캠스니퍼는 세 가지 항목에 나눠 권장 사항들을 정리한다.

1) 기본 보호 : 처음부터 피싱 보호 기능이 있는 지갑을 선택하고, 여러 지갑에 자산을 분산시키며, 지갑 보호에 특화된 프로그램이나 플러그인을 활용한다.

2) 시그니처 보안 : 승인과 허용과 관련된 시그니처들을 민감하게 경계하며, 디앱스(DApps)를 사용할 땐 반드시 공식 채널을 통해서만 하고, 소셜미디어 링크를 누르기 전에는 해당 링크나 계정의 진본성을 여러 번 확인한다.

3) 권장되는 자세와 태도 : 침착함을 유지하는 게 중요하며, 홧김에 뭔가를 저질러 버리는 식의 행동 패턴은 가급적 버려두는 게 좋다. 토큰 승인과 관련된 절차나 데이터를 주기적으로 확인하고, 가치가 높은 자산을 보관할 때는 하드웨어 지갑을 사용하는 게 안전하다.

출처: 보안뉴스