최근 이더리움 핵심 개발자가 악성 인공지능(AI) 코드 어시스턴트 확장 프로그램에 의해 암호화폐 지갑을 탈취당하는 사건이 발생하며, 숙련된 개발자조차 정교해진 사이버 사기의 표적이 될 수 있음을 여실히 보여주었다. 이는 암호화폐 사용자들에게 하드웨어 지갑 변조 및 AI 기반의 신종 보안 위협에 대한 경각심을 높이는 계기가 되고 있다.
이더리움 핵심 개발자 잭 콜(Zak Cole)은 커서 AI(Cursor AI)의 악성 AI 확장 프로그램에 의해 피해를 입었다고 화요일 X(구 트위터)를 통해 밝혔다. 그는 전문가 아이콘과 설명, 5만 4천 건 이상의 다운로드를 기록하며 합법적으로 보였던 “contractshark.solidity-lang”이라는 플러그인을 설치했다. 그러나 이 플러그인은 그의 `.env` 파일을 몰래 읽어 개인 키를 공격자의 서버로 전송했고, 이로 인해 공격자는 3일 동안 그의 핫 월렛에 접근할 수 있었으며, 결국 일요일에 자금이 모두 유출되었다. 잭 콜은 10년 이상 해킹으로 단 한 푼도 잃은 적이 없었지만, 지난주 계약을 서둘러 배포하는 과정에서 피해를 입었다고 언급했다. 다행히 그는 테스트용으로 소액의 프로젝트 분리형 핫 월렛을 사용하고 주요 자산은 하드웨어 장치에 보관했기에 손실은 수백 달러 상당의 이더(ETH)로 제한되었다.
이러한 ‘지갑 드레이너(wallet drainer)’는 디지털 자산을 훔치기 위해 설계된 악성 소프트웨어로, 암호화폐 투자자들에게 점점 더 큰 위협이 되고 있다. 2024년 9월에는 월렛커넥트 프로토콜(WalletConnect Protocol)로 위장한 지갑 드레이너가 구글 플레이 스토어에 5개월 이상 게시되어 7만 달러 이상의 디지털 자산을 탈취한 사례도 있었다. 심지어 이 가짜 앱의 리뷰에는 암호화폐와 전혀 관련 없는 기능들이 언급되어 있었다.
블록체인 보안 회사 사이버스(Cyvers)의 선임 보안 운영 책임자인 하칸 우날(Hakan Unal)은 악성 VS 코드 및 확장 프로그램이 “가짜 게시자와 오타를 이용한 스푸핑(typosquatting)을 통해 개인 키를 훔치는 주요 공격 벡터가 되고 있다”고 경고했다. 그는 개발자들이 확장 프로그램을 철저히 검증하고, 비밀 정보를 일반 텍스트나 `.env` 파일에 저장하지 않으며, 하드웨어 지갑을 사용하고, 격리된 환경에서 개발해야 한다고 조언했다.
더욱 우려스러운 점은 암호화폐 드레이너가 사기꾼들에게 더욱 쉽게 접근 가능해지고 있다는 사실이다. 암호화폐 포렌식 및 규제 준수 회사 AMLBot의 4월 22일 보고서에 따르면, 이러한 드레이너는 서비스형 소프트웨어(SaaS) 모델로 판매되어 사기꾼들이 100 USDT(USDT)만큼 저렴한 가격으로 이를 대여할 수 있는 것으로 나타났다. 이는 소액의 비용으로도 대규모 사기를 시도할 수 있음을 의미한다.
한편, 중국판 틱톡에서 ‘밀봉된 새 제품’으로 광고된 하드웨어 지갑을 구매한 한 사용자가 690만 달러 상당의 암호화폐를 몇 분 만에 잃는 사건도 발생했다. 블록체인 보안 회사 슬로우미스트(SlowMist)에 따르면, 이 공격은 피해자의 보안을 하드웨어 수준에서 직접 타격하는 정교한 방식이었다. 이러한 하드웨어 지갑 변조는 사용자에게 거의 경고 신호를 주지 않아 피해가 발생하기 전까지는 알아차리기 어렵다는 점에서 더욱 위험하다. 암호화폐 시장의 성장에 따라 사이버 공격의 수법 또한 진화하고 있으며, 사용자들은 소프트웨어뿐만 아니라 하드웨어 보안에도 각별한 주의를 기울여야 할 것으로 보인다.
