콜드월렛 보안도 무너진다… 니모닉 유출 시 ’자산 증발’ 불보듯 뻔해

암호화폐의 최후의 보루로 불리는 콜드월렛조차 니모닉 구문이 유출되면 무용지물이 된다. 경찰 당국은 "12~24개의 단어로 이뤄진 니모닉을 절대 타인과 공유해서는 안 된다"고 강조했다.

하드웨어 지갑이 왜 ’콜드’ 스토리지로 불리는지 아는가? 인터넷 연결을 차단한 물리적 장치라는 점 때문이다. 하지만 인간의 실수 앞에서는 모든 기술적 안전장치가 무력해진다.

최근 한 해킹 사건에서 공격자들은 피해자의 니모닉 구문을 확보해 2억 원 상당의 자산을 탈취했다. 피해자는 평소 메모장에 구문을 기록해 뒀던 것으로 드러났다.

"니모닉은 암호화폐 지갑의 마스터 키"라고 설명하는 블록체인 보안 전문가는 "비밀번호 관리자나 암호화된 USB에 저장하더라도 완벽한 보안을 보장할 수 없다"고 경고했다.

이번 사건은 디지털 자산 보관의 아이러니를 적나라하게 보여준다—최고의 보안 기술도 결국 인간의 부주의 앞에서는 종이 호랑이에 불과하다는 점을. 특히나 ’자기 주권형 금융’을 표방하는 이 업계에서, 정작 사용자들은 기성 금융 시스템보다 더 취약한 보안 관행을 보이고 있다는 게 모순이 아닐 수 없다.

[블록체인투데이 디지털뉴스팀] 가상자산 지갑의 복구암호문(니모닉 코드)을 몰래 빼내 약 24억 원 상당의 비트코인을 가로챈 일당 4명이 경찰에 검거됐다고 뉴스1이 보도했다.

25일 서울경찰청 사이버수사과에 따르면 경찰은 주범 A 씨(34·남)와 자금세탁책인 태국 국적 B 씨(35·남)를 구속 송치했다.

아울러 지갑을 해킹하고 범행 수익금을 관리·세탁한 C 씨(31·남)와 D 씨(31·남)에 대해서는 불구속 수사를 진행 중이다.

이들은 "더 안전한 지갑으로 옮겨주겠다"는 말로 피해자를 유인해 비트코인 45개를 탈취해 정보통신망법을 위반한 혐의를 받는다.

범행 타깃은 오래된 지인이었다. A 씨와 C 씨는 2022년 가상자산 운용에 익숙하지 않았던 피해자에게 "비트코인을 안전하게 보관하려면 콜드월렛을 써야 한다"며 지갑 이전을 권유했다.

이 과정에서 두 사람은 "니모닉 코드를 종이에 적으면 화재에 취약하니 철제판에 기록하는 것이 안전하다"는 핑계로 피해자가 불러주는 암호문을 직접 철제판으로 조립했다. 대화 내용은 몰래 녹음되고 있었다.

니모닉 코드는 가상자산 지갑을 복구할 때 사용하는 12~24개의 영어 단어 조합이다. 지갑을 만들 때 자동 생성되며 이 단어들만 있으면 지갑 안의 모든 가상 자산을 다른 기기에서도 다시 복원할 수 있다. 유출 시 지갑 전체가 털리는 셈이다.
 

피의자들은 피해자의 가상자산 지갑에서 자신들의 지갑으로 비트코인 45개를 복구한 후 수차례 가상자산 거래소로 분산 이체했다. 자금 추적을 어렵게 하기 위해서다. 이런 기법은 소위 ’믹싱’이라고 불린다.

자금 세탁은 태국에서 이뤄졌다. 태국 국적의 B 씨는 현지 암시장을 통해 비트코인 20개를 밧화(THB)로 환전한 것으로 확인됐다.

하지만 복잡한 믹싱과 해외 자금 세탁도 수사망을 피할 수는 없었다. 수사팀은 블록체인 분석기법을 통해 약 10개월간 디지털 증거를 확보하고 압수수색 등을 거쳐 피의자들을 특정했다.

경찰은 "이 사건은 단순한 기술적 해킹이 아닌 피해자와의 인간적 신뢰 관계를 이용한 ’사회공학적 해킹 수법’을 통해 이뤄졌다"고 지적했다.

이어 "가상자산은 블록체인이라는 강력한 기술 기반 위에 존재하지만 사용자 본인의 보안 의식이 부족할 경우 언제든 자산이 탈취될 수 있다"며 "특히 지갑 복구암호문을 타인에게 공유하는 것은 디지털 금고 열쇠를 통째로 넘기는 셈이다"라고 주의를 당부했다.

[email protected]