​아이클라우드 백업으로 암호화폐 지갑 복제...백업 비활성화 해야

2022-04-19 18:31
아이클라우드 백업으로 메타마스크 앱 복구 구문 없이 설치
애플 계정 유출되면 복제된 지갑으로 암호화폐 탈취도 가능
8억원 대 피해도 실제로 발생...백업 기능 비활성화 해야

암호화폐 지갑 서비스 메타마스크가 4월 18일(현지시간) 아이클라우드 백업 기능을 통한 자산유출 가능성을 경고했다.[사진=메타마스크]

애플 아이클라우드(iCloud) 백업 기능을 통해 암호화폐 지갑 메타마스크가 복제될 수 있는 것으로 드러났다. 만약 애플 계정이 사이버공격자에게 노출된다면, 공격자는 복제된 지갑에서 암호화폐를 무단으로 유출하는 것이 가능하다.

메타마스크는 18일(현지시간) 공식 트위터를 통해 아이클라우드 백업 기능으로 자사의 암호화폐 지갑이 복구 구문(시드 구문, 니모닉 키) 없이도 로그인할 수 있는 상태로 백업되며, 애플 계정이 유출되면 암호화폐에 대한 피해로 이어질 수 있다고 경고했다. 이러한 피해를 예방하기 위해서는 아이클라우드 백업에서 메타마스크를 제외해야 한다고 설명했다.

기본적으로 메타마스크 지갑을 다른 PC나 스마트폰에 설치하기 위해서는 최초 가입 시 얻은 복구 구문을 입력해야 한다. 복구 구문은 12개 영어 단어로 구성된 코드로, 단순 로그인에 쓰이는 ID·비밀번호와 달리 지갑 자체를 다른 기기에서 활성화하는 데 쓰인다.

아이클라우드 백업 기능은 복구 구문이 입력돼 활성화된 지갑을 그대로 클라우드에 백업한다. 만약 사용자가 다른 아이폰에서 백업된 데이터를 내려받으면, 복구 구문 입력 없이도 활성화된 지갑을 이용할 수 있다.

문제는 애플 계정이 사이버공격자에게 노출됐을 경우다. 공격자는 피싱 등 다양한 방법으로 계정을 확보할 수 있으며, 2단계 인증 등을 활성화하지 않았다면 무단으로 로그인해 사용자가 백업한 데이터를 다른 기기에 내려받을 수 있다. 특히 암호화폐 지갑 역시 그대로 동기화되기 때문에 암호화폐 유출 사고로 이어질 가능성이 크다.

보안 전문매체 블리핑컴퓨터에 따르면 실제로 한 사용자가 해당 공격 기법에 당해 약 65만 달러(약 8억원) 상당의 암호화폐를 잃었다. 피해자는 애플 계정을 보호하기 위해 문자 메시지를 이용한 2단계 인증 기능을 사용하고 있었으나, 애플 고객센터로 위장한 공격자가 전화를 걸어 문자 메시지로 전송된 인증번호 6자리를 알려달라고 요구했다. 공격자는 이러한 방식으로 피해자 애플 계정에 로그인했으며, 백업된 메타마스크 지갑에서 암호화폐를 빼돌렸다.

보안 전문가들은 이러한 공격으로부터 자산을 보호하기 위해서 우선 아이클라우드 백업 대상에서 메타마스크를 제외해야 한다고 설명했다. 또한, 애플 계정 등을 보호하기 위해서는 인증번호 등을 절대로 타인에게 전송해서는 안되며, USB 형태의 하드웨어 지갑을 이용하는 것도 좋은 방법이라고 덧붙였다. 특히 소셜 미디어 등에 자신이 암호화폐에 투자하고 있다고 공개하는 것은 사이버공격자의 표적이 될 수 있는 일이기 때문에 지양해야 한다고 강조했다.