Written By Hugh Brooks , Director of Security Operations at CertiK

[Xangle Digest]

※해당 컨텐츠는 외부에서 기발간 된 컨텐츠입니다. 컨텐츠에 대한 추가적인 주의사항은 본문 하단에서 확인해주세요.

사기는 역사상 오랜 기간 동안 존재하며, 그 방법과 형태는 지속적으로 변화하고 발전해왔습니다. 최근에는 소셜 미디어 채널이 가상자산과 관련한 사기에 있어 중요한 역할을 하고 있습니다. 이는 소셜 미디어의 편리한 접근성과 광범위한 영향력이 사기꾼들에게 이상적인 환경을 제공하기 때문입니다. 더불어, 가상자산의 탈중앙화된 특성이 때로는 투명성이 떨어지는 상황을 조성하여 사기에 취약한 환경을 만들어냅니다.

미국 연방거래위원회(FTC)의 보고에 따르면, 2022년 6월까지 18개월 동안 발생한 가상자산 관련 사기의 총 피해액은 10억 달러를 넘어섰으며, 이 중 절반이 소셜 미디어 플랫폼을 통해 시작된것으로 보고되었습니다.

사실, 사기로 인해 손해를 본 사람들 중 4명 중 1명은 사기의 시작점으로 소셜 미디어를 지목했습니다. 이런 가상자산 관련 사기의 증가는 가상자산의 인기 상승과 함께, 사기꾼들의 교묘한 전략 변화를 암시합니다.

본 글은 단순히 경고의 의미를 넘어, 가상자산 소셜 미디어 사기에 대한 이해와 대처 방안을 제시하는 것을 목표로 합니다. 가상자산 소셜 미디어 사기의 일반적인 특징을 분석함으로써, 독자들이 이를 방어할 수 있는 필요한 지식을 얻을 수 있을 것입니다. 이 글에서는 사례를 통해 사기의 특징을 적절히 설명하고, 이를 통해 독자들이 사기를 식별하고 대응하는 데 필요한 지식을 습득할 수 있게 도와드리는 것이 주 목표입니다.

가상자산 소셜 미디어에서 흔히 발생하는 스캠

“펌프 앤 덤프” 스킴 (Pump and Dump Schemes)

"펌프 앤 덤프" 스킴이란, 투자자들이 자산 가치를 과도하게 부풀려 이를 판매하여 이익을 취하는 전략을 가리킵니다. 이 방식에서는 유명인사나 영향력 있는 인플루언서들이 종종 시가총액이 상대적으로 작은 가상자산, 일명 '잡코인'의 창조와 홍보에 관여하며, 이를 통해 시장을 조작하는 경우가 있습니다.

예를 들어, 킴 카다시안이 홍보한 가상자산 '이더리움맥스(EthereumMax)'는 전형적인 "펌프 앤 덤프" 스킴의 사례로 꼽힙니다. (참고: CoinGecko의 이더리움맥스 차트)

이런 현상에 대한 법적 대응도 활발히 이루어지고 있습니다. 증권거래위원회(SEC)는 위험성이 높고 검증되지 않은 토큰을 홍보하는 인플루언서들에 대한 규제를 강화하고 있으며, 2022년부터 2023년 사이에는 다수의 유명인사와 가상자산 기업가들이 법적 조치를 받게 되었습니다.

이러한 "펌프 앤 덤프" 현상은 수세기 동안 주식 시장에서도 지속적으로 관찰되어 왔습니다. 그 중 가장 대표적인 사례로는 1711년에 발생한 'South Sea Bubble' 사태를 들 수 있습니다. South Sea 회사는 주식 가치를 부풀리기 위해 거짓 정보와 투기를 활용했으나, 결국 많은 투자자들이 재정적인 파산을 경험하게 되었습니다.

더 읽어 보기: Web3 Celebrity Endorsements

가짜 인증 배지 (Fake Verification Ticks)

트위터, 페이스북, 인스타그램처럼 소셜 미디어 플랫폼에서 파란색 인증 배지는 일반적으로 신뢰와 진위성을 상징합니다. 하지만 이러한 인증 배지는 사기꾼들에게서는 도구로 활용되어 그들의 부정한 목적을 달성하는데 이용되고 있습니다. 사기꾼들은 검증된 계정처럼 보이기 위해 가짜 인증을 획득하거나, 프로필 사진이나 배경 이미지에 교묘하게 파란색 체크 표시를 삽입하여 인증 배지의 본래 목적인 신뢰성 제고를 악용하곤 합니다.

트위터를 비롯한 주요 플랫폼들이 가짜 계정 차단을 위한 조치를 취하고 있지만, 사기꾼들은 여전히 가짜 계정을 만들어 활동하고 있습니다. 특히 최근 일론 머스크가 트위터에 유료 인증을 도입한 이후로는 가짜 계정이 더욱 증가하는 추세입니다. 이러한 인증 배지의 오용은 계정 사칭에 그치지 않고, 사기꾼들이 사기 프로젝트를 홍보하거나 피싱 링크를 게시하여 가상자산 투자 결정에 영향을 미치는 문제를 야기하고 있습니다. 이는 소셜 미디어 계정을 신중히 검토하고, '인증됨'으로 표시된 계정조차도 주의 깊게 검토해야 함을 강조하고 있습니다.

과거를 돌아보면, 중세 시대에는 왕실이나 귀족들이 문서의 진위를 확인하기 위해 위조 인장을 사용하는 경우가 많았습니다. 대표적으로, "The Great Seal of the United Kingdom"은 영국의 왕실 인장으로, 왕실 명령이나 토지 양도를 위조하는 데 사용되었습니다. 이는 현대의 인증 배지 오용과 유사한 점을 보여주며, 이러한 문제에 대한 인식과 대응이 필요함을 더욱 강조하고 있습니다.

가짜 애플리케이션 (Fake Applications)

가짜 애플리케이션들은 가상자산 거래나 안전한 지갑 서비스 등을 제공한다는 가명 아래 사용자들을 속이는데, 이런 앱들은 정상적인 앱을 모방하여 사용자의 기기에 악성 소프트웨어를 설치하거나 사용자의 자금을 빼돌리는 역할을 합니다. 특히 이런 악성 앱들은 애플 앱 스토어나 구글 플레이 스토어 등의 공식 채널을 통해 배포되어, 사용자들에게 신뢰성을 가장하는 경우가 많습니다.

FBI의 최근 사기 보고서는 이런 위협이 얼마나 심각한지를 강조합니다. 2021년에는 미국이 이런 가짜 앱에 의해 약 4,270만 달러의 피해를 입었습니다. 가짜 가상자산 앱은 금전적 손실뿐 아니라, 개인 정보를 수집하여 금융 보안을 위협하고, 이는 더 큰 위험을 초래할 수 있습니다. 따라서 모바일에서 가상자산 거래, 보관 또는 트레이딩을 하는 사용자들은 이런 위협에 대해 반드시 인식하고 대비해야 합니다.

과거의 비슷한 사례로는 "뱀 기름" 판매사례를 들 수 있습니다. 이들 판매자들은 미국 전역을 돌며 다양한 질병을 치료한다는 주장으로 가짜 약품을 팔았습니다. 이 약품들은 실제 약품처럼 정교하게 포장되고 홍보되었지만, 실제로는 유익한 성분이 없거나 오히려 해로운 성분을 포함하고 있었습니다. 이런 사례는 현대의 가짜 애플리케이션 문제와 많은 공통점을 가지고 있습니다.

더 읽어 보기: BombFlower Backdoor: Uncovering an Evasive Fake Wallet Campaign

로맨스 스캠 (Romance Scams)

'로맨스 스캠'이라고 불리는 사기 형태는, 일명 '돼지 도살(pig butchering)'이라는 방식으로 진행되며, 이는 가상자산 사기 중에서도 특히 악명 높고 교묘한 형태를 보여줍니다. 이 사기는 소셜 미디어나 데이팅 앱, 문자 메시지 등을 통해 피해자들과 신뢰 관계를 조성하는 것으로 시작됩니다. 사기꾼들은 성공한 투자자로 위장하여 가상자산이나 외환 거래를 통한 이익을 장담합니다. 피해자들의 신뢰가 깊어질수록 투자 금액도 늘어나게 되는데, 결국 이들 사기꾼들은 피해자들의 자금을 훔쳐 가며 사라집니다. (일명 피해자들을 '도살'하게 됩니다.)

출처:Global Anti-Scam Organization

FBI의 보고서에 따르면, 2021년에만 이런 방식의 사기로 인해 42억 9000만 달러 이상의 손실이 발생했습니다. 피해자들의 대부분은 25세부터 40세 사이의 여성이며, 이들 중 많은 수가 석사 학위를 가지고 있었습니다. 피해자들 중 75%는 순자산의 최소 절반 이상을 잃었으며, 이 중 1/3는 치명적인 손실로 인해 부채에 시달리게 되었습니다.

이런 사기가 성공하는 방식 중 하나는 가해자들이 피해자의 투자가 빠르게 성장하고 있다는 것을 보여주는 가짜 웹사이트와 앱을 만드는 것입니다. 그리고 피해자가 자금을 인출하려고 할 때, 세금이나 수수료와 같은 장애물이 등장하여 경계심이 없는 피해 대상들에게 더 큰 피해를 입히는 것입니다.

이런 사기를 피하기 위해서는 투자 기회에 대해 철저히 조사하고, 도메인 이름을 확인하며, 앱이나 소프트웨어를 신중하게 다운로드하고, 보장된 수익에 대해 재차 확인하는 등의 접근이 필요합니다. FBI는 이러한 투자 기회에 대한 철저한 사전 조사를 권고하고 있습니다. 이러한 사기는 인간의 심리와 사회적 상황을 이용한 것으로, 가상자산과 관련된 사기의 복잡성과 진화를 보여주는 사례입니다.

과거 유사한 사례를 살펴보면, 18세기 유명 인물인 카사노바는 로맨스와 매력을 이용하여 여성들을 현혹시키고, 더 나아가 사기를 저지르는 사기꾼으로 잘 알려져 있습니다. 그의 회고록에는 개인적인 인맥을 활용한 다양한 금융 사기 사례들이 상세하게 기록되어 있습니다.

더 읽어 보기: The $400M Crypto “Pig Butchering” Industry: How to Avoid the Slaughter

가상자산 소셜 미디어 스캠을 인식하는 방법

가짜 인플루언서 구분법(Recognizing Fake Influencer Endorsements)
소셜 미디어 인플루언서의 역할이 강조되는 현 시대에서, 가짜 인증을 통한 악용 사례가 늘어나고 있습니다. 특히 가상자산 시장에서는 사기꾼들이 조작된 이미지나 위조된 프로필을 사용하여 다양한 프로젝트나 제품을 홍보하는 경우가 많습니다. 이런 상황에서 인플루언서의 신뢰성을 확인하는 것은 중요하며, 그를 위해선 다음과 같은 방법을 참조해야 합니다: 다른 소셜 미디어 플랫폼에서의 활동 확인, 인증 배지 확인, 팔로워의 급격한 증가와 같은 이상한 행동에 주의, 일관성 없는 메시지나 일반적이지 않은 홍보 방식에 대한 주의, 그리고 인플루언서의 가치관이나 관심사와 일치하지 않는 제품 홍보에 대한 주의 등입니다. 실제로 인플루언서들도 때때로 품질이 떨어지거나 사기성이 있는 프로젝트를 홍보할 수 있기 때문에, 이 부분에 대해선 항상 경계심을 가져야 합니다.

가짜 앱 찾는 방법 (Spotting Fake Apps)

가짜 애플리케이션을 식별하고 피하는 것은 주의 깊은 검토가 필요합니다. 애플리케이션을 다운로드할 때는 항상 공식 앱 스토어와 같은 신뢰할 수 있는 플랫폼을 이용해야 하며, 애플리케이션의 개발자 정보, 회사 정보, 애플리케이션의 설명 등의 세부 정보를 주의 깊게 확인해야 합니다. 철자 오류나 잘 알려진 브랜드를 흉내 내는 등의 의심스러운 부분이 있다면, 이를 피하는 것이 좋습니다. 또한, 애플리케이션 개발자의 웹사이트를 확인하고 사용자 리뷰를 참조하는 것으로 개인 정보나 자산이 위협 받을 수 있는 가짜 애플리케이션의 실수로 다운로드하는 위험을 줄일 수 있습니다.

보안 유지 방법

그러나 하드웨어 지갑도 피싱 공격에 취약할 수 있습니다. 악의적인 스마트 컨트랙트에 권한을 부여하게 되면, 사용자의 자산은 위험에 빠질 수 있습니다. 하지만 하드웨어 지갑은 거래를 실행하기 전에 물리적인 확인이 필요하기 때문에, 사용자에게 거래를 재고하는 충분한 시간을 제공합니다. 거래를 진행하려 할 때 의심스러운 점이 있다면, 성급하게 진행하기 보다는 한번 더 생각하는 것이 중요합니다.

2. 다중 서명 지갑 (with Timelock)
다중 서명 지갑은 여러 개의 개인 키가 필요함으로써 거래 승인에 추가적인 보안성을 부여합니다. 이러한 지갑은 시간 잠금 기능을 통해 더욱 강화된 보안을 제공하는데, 이 기능은 거래가 최종적으로 확정되기 전에 일정한 대기 시간을 설정함으로써 부정 행위를 감지하고 이에 대응할 수 있는 시간을 제공합니다. 이런 방식으로, 다중 승인 요구와 시간 제한의 적용으로 자산 보호의 보안 수준을 높이고, 불법적 접근에 대한 위험을 감소시킬 수 있습니다.

3. 스마트 컨트랙트 보안 감사 (Smart Contract Security Audits)
스마트 컨트랙트는 거래 과정에서 중추적인 역할을 수행하며, 이에 따라 보안 감사의 중요성이 점점 더 강조되고 있습니다. 이러한 보안 감사는 전문화된 제3자에 의해 진행되는데, 그들은 스마트 컨트랙트의 코드를 꼼꼼히 검토하여 취약점을 찾아내고, 컨트랙트가 의도한 대로 작동하는지 확인합니다. 이런 감사를 통해 잠재적인 취약점을 철저히 조사하고, 이를 통해 가상자산의 탈중앙화된 환경에서 스마트 컨트랙트가 안전하고 효율적으로 작동할 수 있도록 도움을 줍니다. 만약 컨트랙트가 사용자를 속이려는 의도로 설계되었다면, 이런 감사 과정에서 이를 발견할 수 있습니다. 하지만, 보안 감사는 취약점을 찾아내는 것까지이며, 이를 해결하는 것은 개발자의 역할입니다.

일반적인 모범 사례 (General Best Practices)
가상자산 거래에는 비판적 사고와 건전한 회의적 태도가 필요합니다. 보안 소프트웨어를 정기적으로 업데이트하고 안전한 암호 관행을 준수하며 신뢰할 수 있는 거래소와 플랫폼을 선택하는 것은 투자의 무결성 원칙을 유지하기 위해 필수적입니다. 이 산업이 혁신과 변화를 경험하면서 기존의 전통적인 지식과 선도적인 기술이 결합된다면, 가상자산 생태계는 보다 안전하고 지속적인 발전을 이룰 수 있을 것입니다.

결론

가상자산의 인기와 소셜 미디어의 확산으로 인해 가상자산 관련 소셜 미디어 사기가 증가하는 추세입니다. 이는 새로운 산업에 적용된 기존의 사기 행위 방식입니다. "펌프 앤 덤프" 스킴에서부터 악성 "돼지 도살" 사기까지, 이런 위협들은 계획적으로 늘어나고 있습니다. 그러나 이런 위협들이 가상자산 세계의 잠재력을 가리거나 우리를 두려움에 빠뜨리게 해서는 안 됩니다. 오히려, 이런 위협들은 우리에게 방어 방법을 배울 기회를 제공하며, 이를 방어하는 노력과 마인드셋이 필요합니다. 하드웨어 및 다중 서명 지갑과 같은 도구를 활용하고 거래 전에 중요한 사항을 고려함으로써 자산을 안전하게 보호할 수 있습니다. 비판적 사고를 바탕으로 한 마인드셋, 안전한 습관, 그리고 지속적인 학습이 결합된 이런 접근법은 사기에 대한 강력한 방어책을 형성하는데 도움을 줍니다. 이 글에서 언급된 과거의 사례들은 가상 자산 사기가 과거의 사기와 본질적으로 다르지 않음을 보여주며, 우리는 항상 과거의 경험과 사례를 통해 미래를 대비할 수 있다는 것을 명심해야 합니다.

자주 묻는 질문

Q. 가상자산 소셜 미디어 사기로 인한 피해 규모가 얼마나 되는지 궁금합니다.

미국 연방거래위원회(FTC)의 보고에 따르면, 2022년 6월까지 18개월 동안 발생한 가상자산 관련 사기의 총 피해액은 10억 달러를 넘어섰으며, 이 중 절반이 소셜 미디어 플랫폼을 통해 시작된것으로 보고되었습니다. 이는 모든 사기 형태로 보고된 손실 중 4분의 1을 차지하는 수준입니다.

Q. 가상자산과 관련된 소셜 미디어 사기의 주요 유형에 대해 알고 싶습니다.

'펌프 앤 덤프' 계획, 트위터, 페이스북, 인스타그램과 같은 플랫폼에서의 가짜 인증 표시, 실제 가상자산 거래 플랫폼을 위장한 가짜 어플리케이션, 그리고 피해자를 꾀어내는 로맨스 스캠이나 '돼지 도살'과 같은 사기 방법 등이 있습니다.

Q. 소셜 미디어에서 인증 표시는 어떻게 사기에 악용될 수 있을까요?"

사기꾼들은 프로필 사진이나 배경 이미지에 교묘하게 파란색 체크 표시를 삽입하여 계정이 검증된 것처럼 가장합니다. 이렇게 만든 가짜 계정을 통해, 사기꾼들은 사기 프로젝트를 홍보하거나 피싱 링크를 게시하여 가상자산 투자 결정에 영향을 미치는 문제를 야기하고 있습니다. 심지어 가짜 계정이 한 번 닫히더라도, 사기꾼들은 쉽게 새로운 가짜 계정을 만들어 이러한 사기 행위를 지속하곤 합니다.

Q. '돼지 도살' 스캠이 무엇인지 궁금합니다.

'돼지 도살' 스캠은 사기꾼들이 소셜 미디어나 다른 플랫폼을 통해 피해자와의 신뢰를 점차 쌓는 방식의 사기입니다. 이들은 성공한 투자자로 위장하여 피해자를 확신시키고, 이를 통해 가상자산이나 외환 거래에 대한 투자를 유도합니다. 피해자가 투자한 후, 사기꾼들은 피해자들의 자금을 훔쳐 가며 사라집니다. FBI의 보고서에 따르면, 2021년에만 이런 방식의 사기로 인해 42억 9000만 달러 이상의 손실이 발생했습니다. 피해자 대부분이 순자산의 최소 절반 이상을 잃었으며, 이 중 일부는 치명적인 손실로 인해 부채에 시달리게 되었습니다.

Q.가상자산 스캠으로부터 안전하게 보호받기 위한 방법과 도구는 어떤 것들이 있을까요?

안전을 보장하는 주요 방법들은 다음과 같습니다. 첫째, 개인 키를 오프라인에서 보관하는 하드웨어 지갑의 사용입니다. 둘째, 여러 개의 개인 키와 시간 제한을 갖춘 다중 서명 지갑을 설정하는 것입니다. 셋째, 스마트 컨트랙트의 보안 감사에 참여하는 것입니다. 넷째, 안전한 비밀번호 관행을 준수하고 보안 소프트웨어를 꾸준히 업데이트하는 것입니다. 그리고 마지막으로, 신뢰할 수 있는 거래소와 플랫폼을 선택하여 이용하는 것입니다.

 
영문 버전
CertiK 원문