글로벌 가상자산 플랫폼 크립토닷컴(Crypto.com)은 최근 발표한 보고서를 통해 사이버 해킹의 주요 원인으로 '사회 공학' 기법이 자리 잡고 있으며, 이로 인해 사용자 자산 보호에 경각심을 가지고 대응해야 한다고 강조했다. 보고서는 사람의 심리를 조작해 민감한 정보를 탈취하는 사회 공학적 수법이 기술적 보안보다 인간의 취약성을 노린다는 점에서 가상자산 업계에서 가장 중대한 리스크 중 하나로 부각되고 있다고 밝혔다.

사회 공학은 단순한 해킹 기술을 넘어 우리의 신뢰와 두려움을 악용하는 복합적인 공격 방식이다. 보고서에 따르면 피싱, 사칭, 유혹, 퀴드 프로 쿼(quid pro quo), 베이팅 등의 다양한 접근법이 결합되어 있으며, 이런 수법들로 인해 대형 보안 사고가 발생하는 사례들이 빈번하게 일어나고 있다. 특히 2025년의 바이비트 해킹 사건에서는 북한 해커 조직인 라자루스 그룹이 공급망 공격과 사회 공학 기법을 결합하여 무려 15억 달러 상당의 이더리움(ETH)을 탈취한 사실이 드러났다. 이 사건은 신뢰받는 제3의 개발자를 대상으로 한 정교한 심리적 조작이 해킹의 주요 원인으로 작용한 사례였다.

크립토닷컴 리서치에서는 라자루스 그룹이 오픈 소스 기여자를 가장해 개발자를 속였고, 이를 통해 악성 도커 이미지를 포함한 파이썬 프로젝트를 실행하도록 유도했다고 설명했다. 해커는 해당 개발자의 맥북을 감염시켜 아마존 웹서비스(AWS)의 클라우드 세션을 가로채 결국 대규모 자금을 유출하는 데 성공했다. 주입된 악성 스크립트는 정식 사용자 인터페이스(UI)처럼 보이는 바이비트의 도구에 침입해, 합법적인 사용자로 하여금 자신도 모르게 해커의 주소로 자금을 전송하게 만들었다.

이러한 사회 공학 해킹은 단순한 기술적 보안 솔루션만으로는 방지하기가 매우 어렵다. 이에 따라 보고서는 이를 예방하기 위해 ▲상대의 신원 정보 이중 확인 ▲예상치 못한 메시지에 대한 주의 ▲다단계 인증 활용 ▲소프트웨어 최신화 유지 ▲하드웨어 월렛으로의 전환 등의 핵심 조치를 제시하고 있다. 또한 사용자 스스로 정보에 기반한 판단력을 키워야 하며, ‘너무 좋아 보이는 제안은 의심하라’는 보안 습관을 기르는 것이 중요하다고 강조했다.

보고서는 "사회 공학 수법은 점점 더 정교해지고 있으며, 그 표적 또한 개인에서 기관의 개발자 및 자금 총괄자까지 확장되고 있다"며, 이로 인해 전체 DAO(탈중앙화 자율조직)나 핫 월렛 시스템까지 위협받는 현실을 지적했다. 특히 사회 공학 공격은 피해를 회복하기 어려운 특성을 가진 가상자산 생태계와 맞물려, 그 피해가 더욱 심각해질 수 있음을 경고했다.

결국 크립토닷컴 리서치는 “사이버 공격의 절반 이상이 인간의 실수에서 비롯되며, 교육과 인식 제고가 가장 강력한 방어 수단”이라고 결론지었다. 가상자산을 안전하게 보호하기 위해서는 단순한 기술적 방어를 넘어, 사용자 스스로의 경계심과 최신 정보에 대한 민감성을 강화하는 것이 필수적이다.