올해 초, 하드웨어 월렛 기업 Trezor는 공식 X(Twitter) 계정에 대한 무단 접근 사실을 확인했습니다. 이후 해당 사건은 가짜 Calendly 초대 링크를 이용한 정교한 피싱 공격으로 밝혀졌으며, 이는 암호화폐 및 기술 기업을 대상으로 반복적으로 사용되어 온 대표적인 사회공학 기법 중 하나입니다. 이번 사례는 보안 의식이 높은 조직조차 인간을 겨냥한 공격에 노출될 수 있다는 점을 보여주는 중요한 사례이며, 서드파티 연동, 일정 예약 링크, 예상치 못한 권한 요청을 다룰 때 더욱 각별한 주의가 필요하다는 점을 다시 한번 강조합니다.
피싱 공격이란 무엇인가?
피싱 공격은 공격자가 신뢰할 수 있는 사람, 기업 또는 서비스 제공업체를 사칭하여 피해자가 안전하지 않은 행동을 하도록 속이는 대표적인 사이버 공격 방식입니다.
예를 들어 가짜 웹사이트에 로그인 정보를 입력하게 하거나, OTP 또는 2단계 인증 코드를 공유하게 만들거나, 악성 권한 요청을 승인하게 하거나, 감염된 파일을 다운로드하게 하거나, 공격자가 통제하는 주소로 자금을 송금하게 만드는 행위 등이 포함될 수 있습니다.
공격자의 목적은 일반적으로 계정 접근 권한을 탈취하거나, 민감한 정보를 훔치거나, 피해자가 평소라면 절대 승인하지 않을 거래를 승인하도록 조작하는 데 있습니다.
대표적인 피싱 공격 방식
공격자들은 일반적으로 다음과 같은 방식으로 피싱 공격을 수행합니다:
- 가짜 이메일(email phishing): 긴급함이나 심리적 압박을 유도하여 사용자가 충분히 생각하기 전에 행동하도록 만드는 메시지입니다. 예를 들어 악성 링크 클릭, 감염된 첨부파일 다운로드, 민감한 정보 공유 등을 유도합니다.
- 가짜 웹사이트: 정상 서비스처럼 보이도록 제작된 웹페이지로 사용자를 유도하여 로그인 정보, 인증 코드 또는 기타 접근 정보를 입력하게 만듭니다.
- 메시징(SMS/Zalo/Telegram): SMS, Zalo, Telegram 등의 채널을 통해 신뢰할 수 있는 지인, 서비스 제공업체 또는 회사 직원을 사칭한 메시지를 발송합니다. 보통 긴급함, 공포심 또는 가짜 지원 요청을 이용해 사용자가 링크를 클릭하거나 코드를 공유하거나 요청을 승인하도록 유도합니다.
요약하면, 피싱은 사람의 신뢰와 심리를 조작하여 보안 취약점을 악용하는 사회공학 기법입니다.
Calendly 피싱 공격: Trezor의 X(Twitter) 계정 해킹 사건
올해 초, 하드웨어 월렛 제조사 Trezor는 공식 X(Twitter) 계정에 대한 무단 접근 사실을 확인했습니다. Trezor에 따르면 이번 사건은 단순한 무작위 침입이 아니라 수주에 걸쳐 치밀하게 준비된 피싱 캠페인의 결과였습니다.
공격자는 합법적인 업계 관계자인 척하며 Trezor의 PR 팀에 접근했고, 미디어 인터뷰를 제안한 것으로 알려졌습니다. 이 과정에서 정상적인 일정 예약 요청처럼 정교하게 위장된 가짜 Calendly 초대 링크가 사회공학 공격의 일부로 전달되었습니다.
이후의 상호작용 과정에서 한 팀원이 자신도 모르게 악성 워크플로우를 통해 계정 권한을 승인했고, 그 결과 공격자는 Trezor의 공식 X 계정에 직접 게시물을 올릴 수 있게 되었습니다.
사건의 결과와 Trezor의 신속한 대응
사건 발생 후 Trezor는 사용자들을 공격자 지갑으로 자금을 보내거나 악성 링크와 상호작용하도록 유도하던 사기 게시물을 신속하게 삭제했습니다. 또한 관련 활성 세션과 서드파티 애플리케이션 접근 권한을 모두 철회했으며, 향후 유사한 공격 위험을 줄이기 위한 내부 보안 검토도 진행했습니다.
사용자와 제품은 영향을 받았는가?
Trezor에 따르면 이번 사건은 하드웨어 월렛, Trezor Suite 애플리케이션 또는 사용자의 개인 키 보안에는 영향을 주지 않았습니다. 사용자가 악성 게시물과 직접 상호작용하지 않은 이상, 하드웨어 월렛, 개인 키 및 Trezor 소프트웨어는 이번 사건으로 인해 위험에 노출되지 않았습니다.
이번 사건에서 침해된 것은 사용자 자금을 보호하는 시스템이 아니라 커뮤니케이션 채널인 Trezor의 공식 X 계정이었습니다. Trezor는 또한 향후 유사한 사건을 줄이기 위해 서드파티 애플리케이션 및 소셜 미디어 접근과 관련된 내부 절차를 재검토하고 강화할 것이라고 밝혔습니다.
일반적인 원칙으로, 트윗이나 소셜 미디어 게시물만을 근거로 투자 결정을 내려서는 안 됩니다. 긴급함, 과도한 기대감, 감정적으로 자극적인 메시지는 잘못된 결정을 내리기 가장 쉬운 환경이기 때문입니다.
피싱 공격을 피하기 위한 모범 사례
링크, 도메인 및 발신자 신원을 확인하라
이메일, 메시지 또는 캘린더 초대 링크를 클릭하기 전에 실제 URL과 발신자 신원을 꼼꼼히 확인해야 합니다. trezor.io와 trez0r.io 같은 미세한 철자 차이, 단축 링크, 예상치 못한 로그인 또는 권한 요청에 주의하세요. 의심스러운 경우 제공된 링크를 클릭하지 말고 직접 서비스에 접속하는 것이 안전합니다.
긴급함과 감정적 자극을 경계하라
피싱 공격은 종종 긴급함, 공포 또는 흥분을 조성하여 피해자가 충분히 생각할 시간을 갖기 전에 빠르게 반응하도록 유도합니다(“계정이 정지됩니다”, “한정 기간 기회”, “긴급 인증 필요” 등). 정상적인 기업은 일반적으로 사용자가 즉각 행동하도록 압박하지 않습니다.
강력한 계정 보안 및 2단계 인증(2FA)을 사용하라
로그인 정보가 유출되더라도 추가 인증 계층은 위험을 줄이는 데 도움이 됩니다. 가능하다면 SMS 기반 인증보다 인증 앱이나 하드웨어 보안 키를 사용하는 것이 좋으며, 연결된 서드파티 애플리케이션도 주기적으로 점검해야 합니다.
소프트웨어와 기기를 최신 상태로 유지하라
보안 업데이트는 공격자가 적극적으로 악용하는 취약점을 패치하는 경우가 많습니다. 운영체제, 브라우저, 애플리케이션, 브라우저 확장 프로그램 및 월렛 소프트웨어를 항상 최신 상태로 유지하세요.
자격 증명, 코드 또는 복구 문구를 절대 공유하지 말라
정상적인 기업은 이메일, 채팅 또는 DM을 통해 비밀번호, 일회용 인증 코드, 인증 토큰 또는 월렛 복구 문구(seed phrase)를 요구하지 않습니다. 이러한 요청은 즉각적인 위험 신호로 간주해야 합니다.
서드파티 연동에 주의하라
공격자는 Calendly, Slack, Google Workspace 애드온 또는 브라우저 확장 프로그램과 같은 도구를 악용하여 평범해 보이는 권한 요청을 통해 민감한 계정 접근 권한을 획득할 수 있습니다. 검증된 출처의 연동만 승인하고, 중요한 계정에 어떤 애플리케이션이 연결되어 있는지 주기적으로 검토해야 합니다.
계정과 데이터를 보호하라
활성 로그인 세션을 정기적으로 검토하고, 오래되었거나 의심스러운 앱 접근 권한을 철회하며, 계정의 이상 활동을 모니터링하세요. 중요한 데이터는 암호화되었거나 오프라인 저장소를 활용해 안전하게 백업하는 것이 좋습니다.
지속적으로 학습하고 정기적으로 교육하라
사이버 위협은 빠르게 진화하지만, 많은 성공적인 공격은 여전히 단순한 인간의 실수에 의존합니다. 조직에서는 정기적인 보안 인식 교육과 실제 사례 공유를 통해 한 번의 성급한 클릭이 심각한 사고로 이어질 가능성을 줄일 수 있습니다.
콜드 스토리지: 키를 오프라인 상태로 보관하기
콜드 스토리지는 암호화폐 개인 키를 완전히 오프라인 상태로 유지하고 인터넷과 분리하여 보관하는 것을 의미합니다.
개인 키나 시드 문구(seed phrase)는 절대로 인터넷에 연결된 기기에 입력, 업로드, 촬영 또는 저장해서는 안 됩니다.
온라인 기기에 서명 기능이 없다면, 원격 공격자가 노릴 수 있는 대상은 훨씬 줄어듭니다. 설령 컴퓨터나 휴대폰이 손상되더라도, 공격자는 오프라인 서명 장치나 복구 문구에 접근하지 않는 이상 직접 자금을 이동시킬 수 없습니다.
이 때문에 Trezor 또는 Coldcard와 같은 하드웨어 월렛은 장기 암호화폐 보관의 강력한 표준으로 여겨집니다. 이러한 장치는 사용자가 필요할 때 거래 서명을 수행할 수 있도록 하면서도 개인 키를 온라인 시스템과 분리해 보호하는 데 도움을 줍니다.
우리의 “황금 규칙”
미화 1,000달러 이상의 암호화폐를 보유하고 있다면, 보안을 절대 타협하지 마십시오. 전용 하드웨어 월렛의 비용은 잠재적인 자금 손실에 비하면 매우 저렴하며, 디지털 자산을 안전하게 보관하기 위한 필수 비용의 일부로 간주되어야 합니다.
멀티벤더 멀티시그: 단일 실패 지점 줄이기
멀티시그(multisig)는 multi-signature의 줄임말로, 비트코인 거래를 승인하기 위해 여러 개의 개인 키가 필요한 월렛 설정을 의미합니다. 예를 들어 2-of-3 설정에서는 총 3개의 키가 존재하지만, 자금을 이동하려면 그중 2개만 필요합니다. 이는 키 하나가 분실, 손상 또는 탈취되더라도 자금이 영구적으로 손실되는 위험을 줄여줍니다.
멀티벤더 멀티시그는 여기서 한 단계 더 나아가 Trezor, Coldcard 또는 Blockstream Jade와 같이 서로 다른 제조사의 하드웨어 월렛을 사용하여 각각의 키를 보관하는 방식입니다. 각 장치는 자체 펌웨어, 설계 방식 및 백업 절차를 사용하므로 특정 벤더, 기기 모델 또는 소프트웨어 스택에 대한 의존도를 줄일 수 있습니다.
대규모 자산 보유자의 경우, 멀티벤더 멀티시그 설정은 단일 장치에만 의존하는 것보다 더 강력한 보안 모델을 제공할 수 있습니다. 하지만 멀티시그는 신중한 설정과 철저한 백업 관리가 필요합니다. 만약 과정이 복잡하게 느껴진다면, 저희 팀이 각 단계를 안내해드릴 수 있습니다.
왜 “비트코인 전용”인가?
이러한 초고보안 콜드 스토리지 설정은 주로 비트코인 전용으로 설계됩니다.
이유는 간단합니다. 비트코인은 장기적이고 세대를 초월한 자산 보존 측면에서 가장 강력한 사례를 가진 디지털 자산이기 때문입니다. 대부분의 대체 암호화폐는 투기적 성격이 더 강하며, 장기 상속 및 커스터디 계획 수준까지 고려할 필요가 없는 경우가 많습니다.
그렇다고 해서 다른 디지털 자산을 보호 없이 방치해야 한다는 의미는 아닙니다. 여전히 적절한 하드웨어 월렛이나 콜드 스토리지 설정으로 보호되어야 합니다. 다만 비트코인만큼 견고한 인프라, 장기 보안 도구 및 상속 중심 커스터디 솔루션이 구축된 자산은 드뭅니다.
비트코인을 세대 간에 이전하는 것은 현실적인 자산 계획의 일부입니다. 반면 시장 사이클의 최신 유행 자산을 기준으로 수십 년짜리 커스터디 구조를 설계하는 것은 일반적으로 그렇지 않습니다.
결론
이번 Trezor 사건의 교훈은 하드웨어 월렛이 안전하지 않다는 것이 아닙니다.
오히려 그 반대입니다. 제품과 개인 키는 약점이 아니었습니다.
실제 약점은 평범해 보이는 온라인 상호작용에서의 경계 부족이었습니다.
익숙한 플랫폼. 평범해 보이는 캘린더 초대. 신뢰할 만한 전문적인 요청. 이것이 많은 심각한 피싱 공격이 작동하는 방식입니다. 처음에는 의심스러워 보이지 않는 경우가 많습니다. 오히려 평범한 업무 일상의 일부처럼 보입니다.
개인 사용자에게 적용되는 규칙은 간단합니다:
서두르지 마십시오!
…클릭하거나, 서명하거나, 승인하거나, 자금을 송금하기 전에 반드시 한 번 더 확인하십시오. 기업 역시 동일한 원칙을 더 큰 규모로 적용해야 합니다. 서드파티 앱 권한을 제한하고, 연결된 계정을 정기적으로 검토하며, 단 한 번의 성급한 승인으로 중요한 커뮤니케이션 채널이 손상되지 않도록 해야 합니다.
보안은 더 나은 도구만의 문제가 아닙니다 — 지속적인 사이버 보안 인식 교육을 통해 더 나은 습관을 만드는 것도 중요합니다.
사람은 압박을 받을 때 결국 자신이 훈련받은 수준으로 행동하게 됩니다.
충분히 강력한 보안 및 인식 수준을 유지하여 이러한 공격이 성공할 가능성을 줄이십시오 — 여러분의 힘들게 모은 자산, 사업, 그리고 사랑하는 사람들의 안녕이 위협받기 전에 말입니다.
베트남에서 Trezor 기기를 찾고 계신가요?
BitcoinVN Shop 팀은 2017년부터 베트남의 공식 Trezor 기기 공급업체로 활동해 왔습니다. 저희는 체코의 원조 하드웨어 월렛 제조사가 생산한 최신 정품 기기를 베트남 현지 창고에서 직접 배송해드리며, 통관이나 수입 절차에 대한 번거로움 없이 이용하실 수 있습니다.
사이공 지역에서는 당일 배송도 가능합니다. 또는 하드웨어 월렛 구매 시 개인 배송 정보를 공유하고 싶지 않다면, 사이공 또는 다낭 픽업 지점에서 직접 기기를 수령하실 수도 있습니다.
