“밀봉된 새 제품”인 줄 알고 구매한 하드웨어 지갑이 단 몇 분 만에 690만 달러(약 89억 원)에 달하는 암호화폐를 증발시키는 통로가 된 충격적인 사건이 발생했다. 중국판 틱톡(TikTok)을 통해 판매된 이 지갑은 사용자의 자산을 보호해야 할 최종 방어선이 오히려 가장 치명적인 공격 벡터가 될 수 있다는 새로운 보안 위협을 수면 위로 끌어올렸다.
블록체인 보안 전문업체 슬로우미스트(SlowMist)에 의해 알려진 이번 사건은 기존의 피싱 이메일이나 스푸핑 웹사이트와는 차원이 다른 정교함을 보여준다. 공격자는 물리적인 하드웨어 장치 자체를 사전에 조작하는 ‘공급망 공격(Supply Chain Attack)’을 감행했다. 사용자는 외관상 완벽하게 포장된 새 제품을 받았다고 믿었지만, 실제로는 범죄자가 개인키를 탈취할 수 있도록 미리 장치된 ‘트로이 목마’였던 셈이다.
슬로우미스트의 최고정보보안책임자(CISO)인 23pds는 이번 사건이 2025년 들어 가장 파괴적인 암호화폐 도난 사건 중 하나라고 밝혔다. 가장 큰 문제는 사용자가 공격을 인지할 수 있는 경고 신호가 거의 없다는 점이다. 기존의 온라인 사기는 의심스러운 링크나 비정상적인 로그인 요청 등 사용자가 주의를 기울이면 어느 정도 예방이 가능했다. 그러나 이번 경우는 보안의 최전선에 있는 하드웨어 자체를 신뢰할 수 없게 만들어 버렸다. 자산을 지키기 위해 구매한 ‘금고’가 사실은 처음부터 ‘도둑의 문’이었던 것이다.
공격의 구체적인 기술적 세부 사항은 공개되지 않았지만, 보안 전문가들은 몇 가지 가능성을 제기한다. 첫째, 공격자가 제조 단계에서 기기를 조작하여 지갑 설정 시 생성되는 복구 시드 구문(seed phrase)이 공격자에게 전송되도록 했을 수 있다. 둘째, 판매된 하드웨어 지갑 자체가 정품을 모방한 가짜 장치일 가능성도 있다. 이 경우 사용자가 기기에 개인키를 입력하거나 복구 구문을 생성하는 순간, 모든 정보가 공격자에게 넘어간다.
이번 사건은 단순히 한 개인의 비극을 넘어 암호화폐 생태계 전체에 깊은 불신을 초래할 수 있다. 특히 틱톡과 같은 대중적인 소셜 미디어 플랫폼이 사기 범죄의 유통 경로로 활용되었다는 점은 시사하는 바가 크다. 이는 암호화폐에 익숙하지 않은 일반 대중이 정식 유통 채널이 아닌 곳에서 저렴한 가격이나 편리함에 현혹되어 하드웨어 지갑을 구매할 경우 얼마나 큰 위험에 노출될 수 있는지를 명확히 보여준다.
보안 전문가들은 이번 사건을 계기로 하드웨어 지갑 사용자들이 반드시 지켜야 할 보안 수칙을 다시 한번 강조하고 있다.
첫째, 반드시 공식 제조업체의 웹사이트나 공식 인증 리셀러를 통해서만 제품을 구매해야 한다. 소셜 미디어, 오픈 마켓, 불분명한 온라인 쇼핑몰에서의 구매는 절대적으로 피해야 한다.
둘째, 제품 수령 시 포장의 밀봉 상태를 꼼꼼히 확인해야 한다. 조금이라도 훼손되거나 재포장된 흔적이 있다면 즉시 사용을 중단하고 판매처에 문의해야 한다.
셋째, 지갑 초기 설정 시 기기가 미리 설정된 복구 구문을 제시한다면 이는 100% 사기다. 정상적인 하드웨어 지갑은 사용자가 직접 새로운 복구 구문을 생성하도록 유도한다.
이번 틱톡발(發) 하드웨어 지갑 사기 사건은 암호화폐 산업의 성숙과 함께 공격자들의 수법 역시 고도화되고 있음을 보여주는 냉혹한 현실이다. 사용자의 보안 의식 강화는 물론, 제조업체들의 공급망 관리와 유통 채널에 대한 철저한 감독이 동반되지 않는다면 제2, 제3의 피해자는 언제든 다시 발생할 수 있다.
