
지난 7일 (현지 시간) 미국 IT 전문매체 블리핑컴퓨터(BleepingComputer) 보도에 따르면, 미국 전기차 제조업체 테슬라(Tesla)의 최고경영자(CEO) 일론 머스크(Elon Musk)의 트위터 팔로워를 상대로 한 암호 화폐 피싱이 기승을 부리는 중이다.
일론 머스크, 테슬라, 스페이스X, 트위터 등 일론 머스크와 관련된 팔로워들을 대상으로 ‘프리덤 기브어웨이(Freedom Giveaway)’라는 암호 화폐 피싱 공격 중이다. 일론 머스크를 포함해 각종 유명 계정은 공개 계정이기 때문에 누구나 팔로워를 볼 수 있다. 따라서 트위터상의 유해 봇이나 다른 위협 행위자들이 유명 계정의 모든 팔로워들을 악의적인 목적으로 한 모니터링이 가능하다. 피싱 공격은 이 점을 이용해 이뤄진다.

피싱 공격 방법은 팔로워에게 일론 머스크를 사칭해서 먼저 최대 5000 비트코인을 대가로 주겠다고 약속한 후 팔로워가 소액의 암호 화폐를 입금하도록 유인하는 것이다. 트위터 로고를 프로필로 설정한 공격자는 피싱 공격의 대상을 ‘올해의 거래(Deal of Year)’ 리스트에 추가한다. 대상의 입장에서는 공식 트위터가 리스트에 추가한 것처럼 보인다.
현재는 155명의 팔로워가 공격 대상 리스트 회원으로 추가됐다. 추가된 계정들은 모두 일론 머스크, 테슬라, 스페이스X 등 관련 기관들을 팔로우 중인 것으로 알려졌다. 아직 적은 숫자지만 공격자가 일론 머스크를 사칭하기 때문에 속기 쉽다. 평소에 일론 머스크가 자신의 트위터로 주장했던 언론의 자유를 토대로 사칭했다. 실제로 일론 머스크의 트위터 행보가 언론의 자유를 추구하고 있기 때문에 사용자의 입장에서는 의심하지 않을 가능성이 높다. 게다가 단순 사칭만이 아니라 그럴 듯한 암호 화폐 URL ‘freedomgiveaway.net’을 직접 첨부했다.
리스트의 배너에는 일론 머스크가 무작위로 선정된 1000명의 팔로워에게 무료 암호 화폐를 지급하겠다는 트윗 캡처 사진이 게시돼 있다. 캡처 사진은 실제 트위터 게시물로 보이는 합성이다. 리스트를 잘 보면 아래에 작게 피싱 공격 행위자의 실제 사용자 계정 이름과 프로필이 적혀 있고, 행위자의 트위터 아이디 ‘@CroweYoshiko’가 적혀 있다. 그러나 사용자가 알아차리지 못한다면 피싱 공격에 당할 가능성이 높다. 심지어 공격자는 자신의 트위터 이름을 ‘:’로 둬 리스트 페이지에서 봤을 때 특정 사용자의 트위터 이름이라고 알아차리기 힘들다.
한편 freedomgiveaway.net 웹 사이트를 접속하면 먼저 사용자들은 자신이 18세 이상임을 웹 사이트를 통해 확인해야 한다. 그리고 공격자가 관련 있는 척하기 위해 심어 둔 테슬라, 스타링크, 일론 머스크 퀴즈 문제를 풀어야 한다. 대부분 알려진 지식으로 충분히 풀 수 있는 정도다. 많게는 네 문제를 풀면 정답 여부와 상관없이 사용자는 자신의 비트코인 지갑 주소를 입력해야 한다. 이더리움(Ethereum), 비트코인(Bitcoin), 바이낸스 코인(Binance Coin) 셋 중 하나를 선택하거나, 심지어 암호 화폐를 사용하지 않는다고 선택하더라도 사용자는 자신의 비트코인 지갑 주소를 입력해야 한다.

이후 웹 사이트에서는 사용자의 지갑으로 5000 BTC가 입금될 것이라고 안내한다. 그러나 이전에 사용자가 0.02 BTC에서 1 BTC 사이의 금액을 공격자에게 먼저 입금해야 한다. 공격자의 비트코인 지갑 주소는 ‘bc1qtq6sk3kfpdadgdwthk6weaa9q0ra65y6snqyy9’이다. 여기서 의심하지 않는 사용자는 많은 금액이 지갑에 입금되길 바라면서 송금할 수 있다. 그렇지만 거짓 메시지다. 물론 웹 사이트에 공개된 공격자의 비트코인 지갑 주소에는 아직 0.00 BTC로 그 누구도 입금하지 않은 것으로 보인다. 하지만 해당 지갑 주소가 새로 만들어진 것일 가능성도 무시할 수 없다.
다른 암호 화폐 피싱과 마찬가지로 사용자는 공격자의 암호 화폐 지갑으로 자금을 보내지만 사용자는 그 어떤 금액도 돌려받지 못한다.
게다가 해당 사이트는 사용자에게 더 합법적으로 보이도록 웹 사이트에 일론 머스크를 칭찬하고, 자신이 받은 보상을 자랑하는 거짓 댓글들이 많다. 대부분 봇이거나 가짜 사용자들이 작성한 댓글일 가능성이 높다.
지난 9월, 사이버 보안 업체 그룹-IB(Group-IB)는 보고서에 올해 가짜 웹 사이트를 통한 암호 화폐 피싱 공격 수가 지난해보다 세 배 증가했다고 말했다. 지난 5월에도 한 공격자가 일론 머스크의 동영상을 재사용한 암호 화폐 피싱 공격을 한 이력이 존재한다. 당시 공격자는 피해자들로부터 수백만 달러 수준의 암호 화폐를 훔쳤다.
일론 머스크만이 아니라 유명인의 팔로워라면 암호 화폐 피싱 공격의 표적이 되기 쉽다. 따라서 특히 가상 자산을 노리는 공격이 증가한 요즘 가상 자산이 있는 사용자들은 각별히 조심해야 한다. 유명인으로부터 의심스러운 메시지나 알림이 왔다면 실제 계정이 맞는지 반드시 확인하고, 아닐 경우에는 관련 메시지를 삭제하도록 한다.
테크플러스 에디터 박효정
tech-plus@naver.com