※ 해당 글은 박현재 연구원이 작성한 글입니다.

1. 스캠의 시작

암호화폐 서비스 프로그램 아티팩트 연구 중, 프로그램 기능 사용에 어려움이 있어 텔레그램 공식 커뮤니티에서 조언을 구하고자 그룹 채팅방에 들어갔다. 그룹 채팅방에 들어가고 나서 몇 초 뒤, 해당 프로그램의 공식 계정인 것처럼 위장한 사람으로부터 1:1 대화를 받았다. (대상 프로그램은 Specter였는데, 프로필 사진으로 Specter의 공식 로고를 사용했으며 계정명은 Specter | Live Chat 을 사용했다.)

스캐머가 대화방을 나가는 바람에 대화내역 캡처를 못 했는데, 주고받은 내용을 요약하면 아래와 같다.

2. 스캠 사이트 동작 과정

스캐머가 제시한 과정은 아래와 같이 진행된다.

2-1) 스캠 사이트 접속 유도

스캠 사이트는 조잡하게 구성되어 있으며, 제대로 동작하지 않거나 같은 페이지로 연결되는 기능이 대부분이다.

2-2) 서비스 선택

메인화면에서 RPC Settings 외에도 기타 버튼들을 누르면 동일하게 위 페이지로 연결된다. 위 페이지에서 다수의 암호화폐 서비스들을 확인할 수 있다.

2-3) 가짜 종단 간 암호화 수행

스캐머는 페이지에서 고를 수 있는 다수의 서비스들 중에서 내가 어려움을 겪고 있는 서비스를 선택하라고 한다. 해당 서비스를 선택하면 위 그림과 같이 종단 간 암호화를 수행하는 척!하는 과정을 보여준다.

2-4) 니모닉 시드 제출 유도

종단 간 암호화가 수행되는 척 하다가 암호화에 오류가 발생했다는 메시지가 뜨고, Connect Manually를 수행하도록 유도한다. Connect Manually를 선택하면 사용자가 니모닉 시드를 입력하도록 한다.

Connect Manually에서 아무 문자나 제출을 완료하면 위와 같은 팝업 창이 출력되고나서 authentication code라는 코드 이미지를 제공해준다. 해당 QR 코드를 해독한 결과 TVTY81ksLMFUVs6x4uY5aUNvK5Etr5YvMz 라는 문자열을 획득할 수 있었다.

대화 내용 중략...

순수한 호기심에서 이런 방식을 이용해서 얼마나 벌었냐고 묻자, 스캐머가 대화방을 나가버렸다. 스캐머가 암호화폐를 가져가게 한 뒤, 해당 자금을 추적하는 것도 재미있었을 것 같다는 생각이 뒤늦게 들었다.

2-5) Metamask의 보안 기능

PC에 Metamask 확장 프로그램이 설치되어 있으면 해당 사이트와 같은 피싱 사이트에 접근했을 때 경고문을 출력해주기도 한다. 사이트 확인 초기에는 이러한 창이 출력되지 않았으나 최근에 해당 창이 출력되는 것으로 볼 때, 메타마스크 측에서 피싱 사이트 정보를 수집하고나서 하나씩 반영하는 것 같다.

3. 결론

• 서비스 이용에 도움이 필요한 사람의 심리를 이용해서 암호화폐 커뮤니티에서 1:1 대화를 유도해 스캠을 시도하는 경우가 있다.
• 스캠 사이트에서는 부가적인 기능들이 동작하는 것처럼 눈속임을 하지만, 결과적으로 사용자의 니모닉 시드 제출을 유도하는 것이 가장 큰 목적이다.
• 니모닉 시드는 어떤 곳에서도, 누구에게도 제공해서는 안된다.
• 스캠을 당했다면 스캐머가 암호화폐를 빼돌리기 전에 다른 니모닉 시드의 지갑 주소로 모든 암호화폐를 재빨리 전송하자. (수수료를 높게 설정하는 것이 유리할 것이다.)
• 만약 스캐머가 암호화폐를 빼돌리고 난 뒤 스캠 사실을 알았다면, 수사기관에 신고하고 암호화폐 추적이 잘 되기를 기대하자.