브라질 중앙은행과 지역 은행 및 금융 기관을 연결하는 소프트웨어 서비스 제공업체 C&M 소프트웨어(C&M Software)가 지난 수요일 해킹당해 약 1억 4천만 달러(약 1,930억 원) 상당의 자금이 도난당하는 충격적인 사건이 발생했다. 이 사건의 핵심에는 2,700달러(약 370만 원)라는 소액에 불과한 금액으로 임직원 로그인 자격 증명이 판매된 사실이 드러나, 최첨단 기술 시스템마저도 인간의 취약성 앞에서는 무력할 수 있음을 여실히 보여주고 있다.
이번 해킹은 해커들이 C&M의 한 임직원의 로그인 자격 증명을 매수하여 시스템에 침투한 후 발생한 것으로 알려졌다. 브라질 언론 상파울루(São Paulo)에 따르면, 해당 임직원은 불과 2,700달러를 받고 로그인 정보를 위협 행위자에게 판매했으며, 이를 통해 해커들은 소프트웨어 시스템에 접근하여 예비 계좌에 보관되어 있던 자금을 탈취할 수 있었다. 온체인 탐정 ZachXBT는 해커들이 훔친 자금 중 약 3천만 달러에서 4천만 달러를 비트코인(BTC), 이더(ETH), USDT(USDt)로 전환하여 라틴 아메리카 거래소와 OTC(장외거래) 플랫폼을 통해 돈세탁했다고 밝혔다. 브라질 경찰은 이와 관련하여 로그인 자격 증명을 판매한 혐의를 받는 C&M 임직원을 체포했다고 전해졌다. 이번 사건은 중앙화된 소프트웨어 시스템과 서버가 직면한 사이버 보안 위협의 심각성을 부각시키고 있다.
단일 실패 지점(single point of failure)이 거대한 금융 손실이나 민감한 데이터 도난으로 이어질 수 있음을 보여주는 대표적인 사례이다. 특히, 인공지능(AI) 시대에 접어들면서 이러한 취약성은 더욱 증폭될 수 있다는 지적이 나온다. Shielded Technologies의 CEO인 에런 바락(Eran Barak)은 AI의 발전이 해커들의 공격 능력을 향상시키고 있으며, 수백만 개의 비밀번호, 민감한 문서 또는 수십억 달러의 자본을 포함하는 중앙화된 시스템이 사이버 범죄자들에게 “막대한” 투자 수익을 제공하는 매력적인 표적이 되고 있다고 경고했다. 바락 CEO는 영지식 증명(ZKP)과 같은 탈중앙화 블록체인 기술이 이러한 유혹을 제거할 수 있다고 강조했다. ZKP는 해커가 수백만 개의 기록이 담긴 중앙화된 데이터베이스 대신 개별 지갑이나 계정을 목표로 삼도록 강제함으로써, 해커의 투자 수익률(ROI)을 수백만 개가 아닌 “단일 기록”으로 줄여 공격의 경제적 유인을 없앨 수 있다는 논리이다. 이는 암호화폐 산업 전반에 걸쳐 탈중앙화 시스템의 보안 우위를 재확인하는 계기가 되고 있다.
이번 브라질 해킹 사건은 단순히 기술적인 보안 시스템의 문제만이 아닌, 조직 내부의 통제 시스템과 임직원 윤리 교육의 중요성을 다시금 일깨우는 사건이다. 2,700달러라는 적은 금액에 핵심 시스템 접근 권한이 팔렸다는 사실은 기업들이 외부 공격뿐만 아니라 내부 위험 관리에도 심혈을 기울여야 함을 시사한다. 특히 금융 기관과 같이 민감한 정보를 다루는 기업들은 임직원의 접근 권한 관리, 보안 교육 강화, 그리고 이상 징후 감지 시스템 구축에 더욱 적극적으로 투자해야 할 필요가 있다. 인공지능 시대의 사이버 보안은 더욱 복잡하고 다층적인 접근을 요구하며, 기술적 방어뿐만 아니라 인간 요인의 취약성을 최소화하는 것이 필수적인 과제로 부상하고 있다.