BTC
$0.00
0.00%
제 이름은 세르주 필로소퍼(Serge Philosopher)입니다. 저는 탐사 보도 기자이며, 소셜 엔지니어링을 이용한 암호화폐 대규모 탈취 사건에 관한 이 기사는 아직 공개되지 않았습니다. 하지만 이 모든 이야기를 순서대로 말씀드리겠습니다.
지난 2년 동안, 저는 한 경제 전문 매체를 위한 기사 주제를 준비해 왔고, 마침내 정보를 제공해 주기로 한 사람을 찾아냈습니다. 하지만 알고 보니, 제 인터뷰 상대는 최근 스페인으로 이주한 상태였고, 그를 만나 암호화폐 사기 분야에서의 그의 활동에 대한 세부 사항을 알아내기 위해 저는 런던에서 알리칸테 주 토레비에하 시까지 경로를 계획해야 했습니다. 우리는 호수와 고요함이 세상과 단절된 듯한 기묘한 느낌을 주는 아늑한 장소, 라구나스 데 라 마타 이 토레비에하(Lagunas de La Mata y Torrevieja)에서 만나기로 했다.
그래서 특종을 잡기 위해 나는 티켓을 구매하고, 이름의 뜻이 ‘오래된 탑’인 그 도시로 여행을 떠났다.
넓게 뻗은 나무 그늘 아래 아늑한 카페에 앉아, 마이클(과거 암호화폐 자산 탈취를 전문으로 했던 국제 조직의 일원이었던)은 다단계 인증을 코드 조작이 아닌 단순한 신뢰 남용으로 우회할 수 있는 방법을 설명했습니다.
가장 큰 화제를 모았던 암호화폐 탈취 사건들에 대해 이야기하며, 그는 Ronin Network(6억 2,500만 달러), BNB Bridge(5억 6,900만 달러), Poly Network(6억 1,100만 달러)에 대한 공격은 그들의 해커 집단이 타인의 암호화폐 계좌에서 빼낸 자금에 비하면 '새발의 피'에 불과하다고 지적했다.
“어떤 시스템이든 가장 취약한 부분은 사람입니다. 그리고 어떤 암호화폐 시스템도 예외는 아닙니다.” 그는 자신의 ‘업무’에 대한 몇 가지 세부 사항을 흥미진진하게 설명했다.
사기 수법은 항상 설득력 있게 보였습니다. 처음에는 기술 지원팀을 사칭해 피해자에게 이메일을 보냈습니다. 수법의 다음 단계는 ‘상담’ 초대였다. 이메일로 편지가 도착했지만, 여러 주소로 사본이 전송되어 공식적이고 상황을 완벽하게 통제하고 있다는 인상을 주었다. 사실 이 주소들은 비슷해 보였지만, 모두 가짜였다.
이어서 사기 수법의 핵심 단계가 시작되었다. 피해자에게는 온라인 플랫폼에 접속하는 방법을 안내하는 문서가 전송되었다. 이 모든 것은 표준 보안 절차처럼 보였다. 하지만 실제로 이 비밀번호는 계정에 대한 완전한 접근 권한을 부여했고, 이를 통해 모든 계좌에 접근할 수 있게 했다. 이 캠페인은 몇 주, 몇 달, 때로는 몇 년 동안 지속될 수 있었다.
그에 따르면, Google Threat Intelligence Group의 연구원들은 해커들이 사회 공학을 이용해 피해자로 하여금 앱 및 암호화폐 지갑의 비밀번호를 생성하고 전송하도록 유도한 사례들을 확인했다. 이후 사이버 전문가들은 공격의 정교한 수준을 근거로, 암호화폐 탈취에 정부 자금 지원을 받는 조직이 관여했을 것이라는 추측을 하기 시작했다. 그리고 모든 단서는 한 구소련 국가로 이어졌다.
영국으로 돌아왔을 때, 공항에서 전혀 눈에 띄지 않는 한 남자가 나를 붙잡았다. “기사 게재를 반년 정도 미루세요,” 그가 단호하면서도 차분하게 말했다. 나는 그 비밀 요원을 알고 있었기에, 사회 공학을 이용해 자행된 사상 최대 규모의 암호화폐 절도 사건을 폭로하는 이 기사는 아직까지 공개되지 않은 상태다.
