북한의 해커 그룹이 최근 실행한 "ClickFake" 캠페인이 암호화폐 기업에 대한 사이버 공격의 주목받고 있다. 보안 전문가들은 Web3의 가장 큰 취약점이 스마트 계약이 아니라 사람에 있다고 지적한다. Oak Security의 전무 이사인 얀 필립 프리츠쉐는 많은 블록체인 프로젝트가 기본적인 운영 보안 기준조차 갖추지 못하고 있다고 지적했다.

프리츠쉐는 유럽중앙은행의 분석가로 활동했던 경력을 바탕으로, 현재 블록체인 프로토콜에 대한 조언과 감사 업무를 수행하고 있다. 그는 팀의 장치 관리, 권한, 프로덕션 접근 관리에서 실제 위험이 발생한다는 점을 강조했다. “ClickFake 캠페인은 팀이 얼마나 쉽게 타격받을 수 있는지를 잘 보여줍니다. Web3 프로젝트는 대부분의 직원들이 작업 환경 외부에서 사이버 위협에 노출되어 있다고 가정해야 합니다”라고 프리츠쉐는 말했다.

북한의 IT 해킹 팀인 라자루스 그룹은 최근 암호화폐 전문가들을 겨냥한 "ClickFake Interview"라는 사이버 캠페인을 펼치고 있다. 이들은 LinkedIn과 X 플랫폼에서 리쿠르터로 가장하여 사기 면접을 유도하고, 이 과정에서 악성 소프트웨어를 배포하고 있다. 이 악성 코드인 "ClickFix"는 공격자에게 원격으로 민감한 데이터, 특히 암호화폐 지갑 자격 증명을 탈취할 수 있는 접근 권한을 부여한다.

대부분의 분산 자율 조직(DAO)과 초기 단계의 팀들은 개인 장치에 의존하고 있으며, 이는 종종 개발과 채팅 플랫폼인 Discord 모두에 사용되어 국가 차원의 공격자에게 노출될 위험이 크다. 기존의 기업과 달리 많은 DAO는 보안 기준을 강제할 방법이 없다. 프리츠쉐는 “보안 위생을 강제할 방법이 없습니다. 특히 작은 팀일수록 이 점을 간과하고 최악의 상황을 피하려고만 합니다”라고 경고했다.

그는 높은 가치의 프로젝트에 대해 개발자가 일방적으로 프로덕션에 변경사항을 푸시할 수 없도록 해야 한다고 강조한다. “회사에서 발급한 기기로 제한된 권한을 부여하는 것은 좋은 시작입니다. 하지만 또한 여러 가지 안전장치가 필요합니다. 단일 사용자가 이러한 제어권을 가지는 것은 바람직하지 않습니다”라고 덧붙였다.

전통 금융 분야에서 얻을 수 있는 교훈은 모든 위험은 입증될 때까지는 현실로 가정되어야 한다는 것이다. “전통 금융에서는 인박스를 확인하기 위해 키카드가 필요합니다. 이러한 기준은 이유가 존재합니다. Web3는 이러한 기준에 발맞추어 나가야 합니다”라고 프리츠쉐는 결론지었다.

이번 사례는 Web3 생태계의 보안 문제를 다시 한 번 부각시켰으며, 기업들은 물론 개인 사용자 역시 보안 의식을 높이지 않으면 안 된다. са


crossorigin="anonymous">