CWN(CHANGE WITH NEWS) - 메타버스서 피싱 공격 기승...보안 적신호 켜져

2022년 암호화폐 시장은 바람 잘 날이 없다. 주요 암호화폐인 비트코인(Bitcoin, BTC)부터 시작해 도지코인(Dogecoin, DOGE), 시바이누(Shiba Inu, SHIB) 등 인기 밈 토큰까지 대다수 가상자산이 약세장 속에서 쓴맛을 보고 있다.

최근에는 암호화폐를 메타버스 세계와 통합하여 활용하는 사례가 증가했다. 덩달아 암호화폐 세계에서 기승을 부리던 사이버 공격이 메타버스 플랫폼까지 확산돼, 피해 규모가 날이 갈수록 커지는 추세이다.

이에, 인도 IT 전문 잡지 애널리틱스 인사이트가 메타버스 세계 접속을 고려하는 이들을 위해 주의해야 할 메타버스 플랫폼 내 주요 사기 및 피싱 공격 사례를 설명했다.

1. 브랜드 피싱 공격
브랜드 피싱 공격은 브랜드를 사칭하여 특정 링크 클릭을 유도하는 피싱 형태이다. 보통 인지도가 높은 브랜드가 전송한 것처럼 보이는 가짜 이메일을 발송해, 악성 링크 클릭을 유도한다. 결과적으로 악성 링크를 통하여 개인 정보나 금융 정보를 탈취한다.

특히, 메타버스는 여러 기기로 접근할 수 있는 가상 플랫폼으로 사람들이 자유롭게 디지털 환경 내에서 이동할 수 있다는 특징이 있어 피싱 공격에 취약하다.

댑레이더(DappRadar)는 2021년 11월 기준, 인도가 미국, 인도네시아에 이어 대중의 메타버스 관심도가 세 번째로 높다고 발표했다. 당시 인도 내 메타버스 및 NFT 사용자 수는 50만 명을 넘어섰다. 대중의 메타버스 관심도가 높은 곳일수록 대중을 겨냥한 브랜드 피싱 공격도 증가할 것으로 보인다.

2. 지루한 원숭이 요트 클럽 (BAYC) 피싱 공격
BAYC 피싱 공격은 사기꾼들이 유저들에게 링크를 클릭하면 NFT 중에서 가장 유명한 BAYC NFT 아바타를 이용할 수 있다고 광고한 피싱 공격이었다. 이제는 접속이 차단된 nftapes.win 링크 팝업창에는 더 많은 접속자를 속이려는 의도로 원숭이 해골 로고도 이용했다. 도메인 검색 사이트 후이즈의 조회에 따르면, 피싱 공격에 이용된 본 도메인은 지난 금요일 동부 표준시 오후 3시경에 등록되었다.

BAYC 피싱 광고는 유저들에게 메타 마스크 암호화폐 지갑을 연결할 것을 요구하였다. 웹 3.0 기술은 메타 마스크 암호화폐 지갑을 이용하여 스마트폰이나 다른 기기를 통하여 웹사이트를 연결한다. 사기꾼들은 피싱 광고를 인지도 있는 사이트 내에 기재하였기 때문에 더욱 많은 피해자가 발생한 것으로 나타났다.

피싱 공격 피해를 예방하고자 한다면, 아직 메타버스 세계에 발 들이지 않는 것도 하나의 방법이다. 추후 피해 규모가 큰 각종 피싱 공격에 대응하여 메타버스 플랫폼을 대상으로 한 연방 조사가 착수된다면, 보안에 관한 제도적 보호 장치가 추가될 것이다.

하지만 현실에서는 소셜 미디어 관리자나 브랜드 지지자, NFT 투기꾼 등은 피싱 경고를 무시하고 메타버스 세계로 누구보다 먼저 뛰어들 것이다. 만약, 불안전하더라도 메타버스에 참여하고 싶다면 최소한 계정에 여러 단계의 인증 절차를 적용해 최소한의 보안은 챙기는 것이 좋을 것이다.

미래에 메타버스는 플랫폼의 익명성을 이용하는 고유의 사이버 범죄도 생겨날 것이다. 가장 최근의 예로는 딥페이크 기술을 이용한 우크라이나의 가짜 항복 뉴스가 전파된 것을 살펴볼 수 있다. 따라서 메타버스는 상상한 것처럼 마냥 좋고 즐거운 경험만 되지는 않을 것이며 암호화폐 시장처럼 다양한 피싱 공격의 위험도 도사리고 있다.

[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]