최근 레저(Ledger)의 최고기술책임자(CTO) 샤를 기예메(Charles Guillemet)는 이더리움(ETH) 개발자 잭 콜(Zak Cole)을 대상으로 한 정교한 피싱 공격 사례를 공개하며 사용자들에게 강력한 경고를 전달했다. 그는 “개인 키를 컴퓨터에 저장하지 말라”고 주장하며, 이번 사건이 무기력한 기술력으로도 많은 피해를 입힐 수 있는 현실을 보여주는 예시라고 강조했다.

이 공격은 인기 팟캐스트 출연 요청을 가장한 피싱 이메일에서 시작되었다. 발신자는 암호화폐 분야 관계자와 소통이 잦은 스트리밍 플랫폼 스트림야드(StreamYard)의 링크를 제공하며 수신자로 하여금 데스크톱 애플리케이션을 설치하도록 유도하였다. 링크 클릭 후 나타난 페이지는 오류 메시지를 표시하며, 앱 설치를 끈질기게 요구하는 형태로 진행됐다.

콜은 해당 설치 파일을 테스트 컴퓨터에서 실행한 결과, 내부에 숨겨진 악성 스크립트가 포함되어 있었음을 발견하였다. 이 스크립트는 터미널 아이콘으로 위장된 가짜 macOS 프로그램으로, 사용자 지갑 파일뿐만 아니라 개인 메시지, 사진 등의 민감 정보를 수집하여 공격자의 서버로 전송하는 방식으로 작동했다.

더욱 놀라운 점은 이번 악성코드가 전문 해커가 아닌 ‘렌탈 악성코드’라는 점이다. 이를 통해 공격자는 월 3,000달러(약 417만 원)의 비용으로 공격을 실행할 수 있었다. 즉, 전문적인 기술이 없어도 단순한 재정적 투자가 있다면 누구나 사이버 공격을 감행할 수 있는 환경이 조성된 것이다.

콜은 이러한 공격 방법을 "서비스형 악성코드(MaaS, Malware-as-a-Service)"의 일환으로 지적하며, 이제는 고도의 기술을 가진 해커뿐만 아니라 일반 사용자도 주의해야 하는 시대에 접어들었다고 경고했다. 레저의 기예메 CTO는 “키 저장 위치와 사용 환경에 따라 피해 여부가 결정된다”며 오프라인에서도 보안을 강화할 필요성을 강조했다.

업계 전문가들은 이번 사건이 단순한 피싱 이상으로 다가온다고 말한다. 끊임없이 진화하는 사이버 위협에 맞서기 위해서는 단순히 지갑 보안 강화를 넘어, 소셜 엔지니어링 기법에 대한 경계도 필요하다는 분석이다. 암호화폐 환경이 변모하고 있음에 따라 사용자의 위협 인식 수준 향상이 요구되고 있다.

결국, 본 사건은 개인 지갑과 암호화 자산에 대한 보호책을 다시금 재검토할 필요성을 일깨우고 있으며, 사이버 공격에 대한 경각심을 높여야 함을 시사하고 있다.