인도 최대의 암호화폐 거래소 코인DCX(CoinDCX)가 약 615억 원 규모의 해킹 피해를 입었다. 해당 해킹 사건은 내부 직원을 겨냥한 사회공학적 공격으로 밝혀져 크립토 산업 전반의 보안 문제를 재조명하고 있다. 이 사건은 특히 '사람'이 보안의 가장 큰 허점임을 여실히 보여준다.

7월 31일, 코인DCX의 수밋 굽타(Sumit Gupta) 대표는 X(구 트위터)에 현황을 업데이트하며 해킹이 정교한 사회공학 기법에 의해 이루어졌음을 밝혔다. 그는 "이런 공격은 주로 내부 인력을 속여 중요한 인증 정보를 획득하는 방식으로 진행된다"고 설명했다.

인도 언론의 보도에 따르면, 벵갈루루 경찰은 코인DCX 내부 자격증명을 이용해 해킹에 가담한 소프트웨어 엔지니어 라훌 아가르왈(Rahul Agarwal)을 체포했다. 아가르왈은 해커가 자금을 탈취하기 전 소량의 테더(USDT)를 전송함으로써 접근 권한을 확인했던 계정 보유자로, 수사 당국은 그가 고의로 협조했는지 혹은 계정 정보가 도난당한 것인지를 집중 조사하고 있다.

이번 사고로 총 3,170만 달러(약 441억 원)가 탈취된 것으로 알려져 있으며, 이는 해킹 초기부터 업계와 보안 전문가들 사이에 큰 충격을 주었다. 굽타 대표는 사건 조사가 종료되지 않은 만큼 대중과의 소통이 제한될 수 있다고 언급하며, 사건의 사실관계를 정확히 규명하기 위해 관련 당국과 긴밀히 협력하겠다고 덧붙였다.

해킹 사건은 기술적 취약점만이 아니라 '인간의 약점'을 겨냥한 사회공학적 기법이 중심에 있다는 점에서 더욱 경각심을 불러일으킨다. 사이버 보안 전문가들은 전체 해킹 사건의 98%가 사회공학적 공격에 의해 발생한다고 분석하고 있다. 이러한 사건들은 북한 해커들이 일본 암호화폐 거래소 DMM 비트코인에서 3억 500만 달러를 탈취한 사례와도 유사성이 있다. 블록체인 분석가 잭 XBT(ZachXBT)는 코인베이스 사용자들이 연간 3억 달러(약 4,170억 원) 이상을 유사한 스캠으로 잃고 있다고 지적한 바 있다.

코인DCX 사건은 암호화폐 업계가 순수 기술적 안전성 확보에만 집중할 경우 보안 리스크를 효과적으로 줄이기 어렵다는 점을 다시 한번 부각시켰다. 이러한 배경에서 사이버 위협에 대응하기 위한 전략은 기술적 방비뿐만 아니라 '인적 보안 교육'을 포함한 투트랙 접근이 반드시 필요하다는 결론에 도달하고 있다. 이번 사건은 코인DCX뿐만 아니라 암호화폐 거래소들이 보다 심층적인 보안 강화 노력에 나서야 함을 강하게 시사한다.