1. 사건 개요: 암호화폐 해킹의 충격적인 순간

2024년 8월 19일, 암호화폐 역사상 가장 큰 해킹 사건이 발생합니다. 당시 해커들은 **4064개의 비트코인(BTC)**을 한 번에 탈취하는 데 성공했는데, 이는 당시 시세로 약 2억 4,300만 달러 한화 약 3,000억에 달하는 엄청난 금액이었습니다. 암호화폐 거래소 및 보안 전문가들은 사건 발생 후 즉시 블록체인 네트워크를 통해 자금의 흐름을 추적했고 이 해커들의 정체는 많은 이들을 경악케 했습니다.

비트코인의 가치와 중요성

비트코인은 탈중앙화된 디지털 화폐로, 중앙 은행이나 정부의 통제를 받지 않는 것이 특징입니다. 이는 사용자가 거래의 익명성을 유지할 수 있게 해주지만, 동시에 해커들에게도 이상적인 표적이 되기도 합니다. 특히 대규모 자산을 보유한 개인이나 기업은 해커들의 주요 목표가 되기 쉬운데요.

2024년 8월 19일 발생한 해킹을 주도한 인물들은 말론 이암(Malone Iam, 25세), 비어 체탈(Veer Chetal, 28세), 그리고 잔디엘 세라노(Jeandiel Serrano, 29세)로 밝혀졌습니다. 이들은 과거에도 여러 차례 소규모 해킹에 성공한 전력이 있었으며, 뛰어난 컴퓨터 기술과 사회공학적 전략을 결합한 해킹 방식으로 유명했습니다. Greavys는 특히 고급스러운 생활을 동경하며 빠르게 부를 축적하려는 욕망이 강했던 인물로, 이 사건의 배후에서 주요 역할을 담당했습니다.

암호화폐는 기본적으로 블록체인 기술을 기반으로 하여 해킹이 어렵다고 알려져 있습니다. 그러나 반대로 사용자의 부주의에 따른 피싱 공격에 쉽게 노출될 수 있고 해커들은 바로 이 점을 노렸습니다. 암호화폐의 보안 체계 자체를 무너뜨리기보다는 사용자가 가진2단계 인증(2FA)이나 개인 키를 탈취하는 데 초점을 맞췄습니다.

해커들이 노린 주요 보안 취약점은 다음과 같습니다.

1. 
   
2. 2단계 인증(2FA) 우회: 대부분의 암호화폐 거래소는 계정 보안을 강화하기 위해 2FA를 사용하지만, 해커들은 피해자로부터 직접 인증 코드를 받아내는 방식으로 이를 무력화했습니다.
   
3. 피싱 및 사회공학적 공격: 해커들은 피해자에게 신뢰를 주기 위해 정교하게 위조된 이메일과 전화를 사용했습니다. 이를 통해 피해자가 해커가 보낸 링크를 클릭하거나 보안 코드를 제공하게 유도했습니다.
   
4. 원격 데스크톱 소프트웨어: AnyDesk 같은 원격 접근 프로그램을 설치하게 만들어 피해자의 컴퓨터를 직접 제어할 수 있었습니다. 이는 해커가 피해자의 지갑에 직접 접근할 수 있는 결정적인 요소였습니다.
   

이 해킹 사건의 핵심은 해커들이 사용한 사회공학(social engineering) 기법입니다. 이들은 피해자의 심리를 교묘하게 조작하여 스스로 정보를 제공하도록 유도했고, Greavys와 Box는 각각 역할을 분담하여 한명은 고객 지원을 가장하고, 다른 한명은 원격 접근을 실행하는 등의 협력적 공격을 펼쳤습니다.

3. 해킹 과정: 정교한 사회공학과 기술적 해킹의 결합

범인들은 Google과 암호화폐 거래소 Gemini의 고객 지원팀을 사칭하여 피해자의 신뢰를 얻는 데 초점을 맞췄습니다. 그들은 피해자의 이메일과 전화번호를 사전에 확보한 후, 다음과 같은 단계로 해킹을 실행했습니다.

1) 사전 정보 수집

해커들은 먼저 피해자의 암호화폐 보유량과 계정 정보를 파악하기 위해 이메일 및 소셜 미디어 계정을 해킹했습니다. 이를 통해 피해자가 주로 사용하는 플랫폼과 보안 설정을 분석했습니다. 특히, Genesis 채권자의 주요 계좌와 보유 자산에 대한 정보를 확보한 후 공격을 준비했습니다.

2) 피싱 및 사칭

해커들은 Google의 고객 지원팀을 사칭해 피해자에게 "계정이 보안 문제로 인해 위험에 처했다"는 긴급한 전화를 걸었습니다. 이 과정에서 해커들은 전문적인 말투와 고객지원에 익숙한 용어를 사용해 피해자가 의심하지 않도록 했습니다.

"우리는 귀하의 계정을 보호하기 위해 2단계 인증을 재설정해야 합니다. 곧 보안 코드가 전송되니 그 코드를 불러주세요."

피해자는 전혀 의심하지 않고 해커에게 보안 코드를 제공했습니다.

3) 원격 데스크톱 접근

다음 단계에서 해커들은 AnyDesk라는 원격 데스크톱 소프트웨어를 피해자의 컴퓨터에 설치하도록 유도했습니다. 해커들은 통화를 통해 피해자가 '지원팀'의 요청이라 믿게 만들고 원격 제어를 허용하게 만들었습니다. 이후 피해자의 화면을 실시간으로 감시하며, 비트코인 지갑의 개인 키와 2FA 코드를 확보했습니다.

4) 지갑 탈취 및 전송

해커들은 개인 키를 통해 피해자의 비트코인 지갑에 접근한 뒤, 비트코인을 여러 개의 소규모 거래로 분산하여 다양한 암호화폐 주소로 전송했습니다. 그 결과, 4064개의 비트코인이 몇 시간 내에 수십개의 계좌로 분산됐습니다. 각 거래는 블록체인 네트워크에 기록되었지만, 빠른 속도로 다양한 암호화폐로 변환되어 추적은 더욱 어려워졌습니다.

4. 탈취된 자금의 규모와 세탁 과정

해킹으로 탈취된 비트코인은 4064 BTC, 당시 시세로 약 2억 4,300만 달러에 달했습니다. 해커들은 암호화폐의 익명성과 탈중앙화를 이용해 자금을 다양한 방법으로 세탁했습니다.

1) 암호화폐 분산 전송

탈취된 자금은 단일 거래가 아닌 수백 개의 작은 거래로 나뉘어 전송되었습니다. 이 과정에서 해커들은 한 지갑에서 다른 지갑으로 비트코인을 지속적으로 이동시키며, 각 거래소를 통해 자금을 분산했습니다.

2) 거래소와 믹싱 서비스 활용

범인들은 전 세계 15개 이상의 암호화폐 거래소와 믹싱 서비스를 사용해 자금을 세탁했습니다. 믹싱 서비스는 다수의 암호화폐를 혼합하여 원래 출처를 추적하기 어렵게 만드는 서비스입니다. 특히 Monero와 같은 추적이 어려운 암호화폐로 비트코인을 전환하여 당국의 추적을 회피하려 했습니다.

3) 자금 인출과 소비

보통 이런 범행 뒤에는 사건이 잠잠해 질때까지 범인들이 움직임을 숨기는게 대부분 이지만 해커 중 한 명인 **Greavys(Malone Iam)**는 일부 자금을 현금화한 뒤 고급 자동차와 부동산을 구매하며 자신의 부를 과시했고, 이로 인해 그는 체포에 결정적인 단서를 제공하게 되었습니다.

곧 블록체인 탐정 잭XBT가 추적을 시작하면서 발각되게 되었고 ZachXBT는 블록체인 네트워크 상의 거래 기록과 해커들이 남긴 디지털 흔적을 철저히 분석했는데요.

ZachXBT는 해커들이 사용한 주요 지갑 주소를 추적하고, 그들이 사용한 거래소를 확인했습니다. 이 과정에서 해커들이 실수로 남긴 IP 주소와 디지털 서명 정보를 발견하게 됩니다.

해커 그룹의 리더인 그레이비지는 자신이 해킹한 자산을 사용해 고급 스포츠카를 구매하고 소셜 미디어에 자랑하는 모습을 보였습니다. ZachXBT는 이러한 정보를 당국에 제공하며 해커의 소재를 구체적으로 파악할 수 있었습니다.

끝내 미국 FBI와 다른 국가의 수사기관들이 협력하여 마이애미와 로스앤젤레스에서 각각 Greavys와 Box를 체포했고, 당시 두 해커는 대량의 암호화폐와 현금을 보유하고 있었으며, 이 중 900만 달러가 동결되어 피해자에게 일부 반환되었고 이들은 내년 상반기 재판을 앞두고 있습니다.