15분만에 1억3천만원이 눈앞에서 없어진 날
보안, 보안 그리고 보안
요즘 세상은 해킹이 일상이 되어버렸다. 15억 달러 규모의 자산이 탈취된 Bybit 암호화폐 거래소 사건, 그리고 최근 가장 큰 충격을 안겨준 SK텔레콤의 유심 해킹 사건—이 모두가 먼 이야기처럼 들릴지 모른다. 하지만 해킹은 결코 남의 일이 아니다. 본인이 직접 겪기 전까진, 그 심각성을 체감하기 어렵다.
나 역시 평범한 하루를 보내고 있었다. 아이를 재운 뒤, 책상에 앉아 코딩도 하고 책도 읽으며 시간을 보냈다. 어느덧 새벽 2시. 잘 준비를 하고 침대에 누웠다. 잠들기 전, 매일 하던 습관대로 야간선물, 미국주식, 코인 등 주요 뉴스를 확인하고 내 포트폴리오 수익률을 체크했다.
선물과 미국주식은 그날따라 수익률이 좋았다. 기분 좋게 마지막으로 바이낸스 앱을 켜 잔고를 확인하려던 순간, 이상한 숫자가 눈에 들어왔다. 가끔 네트워크 오류로 잔고가 0으로 표시되는 경우가 있어 앱을 껐다 켰다. 그런데 461달러는 숫자가 그대로였다.
그 순간, 심장이 미친 듯이 뛰기 시작했다. 손은 떨렸고, 머릿속엔 단 하나의 단어만이 떠올랐다.
“해킹이다.”
벌떡 침대에서 일어나, 컴퓨터 앞으로 달려갔다. 바이낸스 웹사이트에 로그인해 출금 내역을 확인했다. 20분 전, 내 자산 전부가 알 수 없는 주소로 이미 출금 완료된 상태였다.
15분동안 7차례를 거쳐 출금된 내역말 그대로 멘붕이었다. 평소 위기 상황에서도 비교적 침착한 편이지만, 이번엔 달랐다. 머릿속이 하얘졌고, 당황한 채 한동안 자리에 앉아 움직이지 못했다.
‘지금 이 순간도 골든타임일 수 있다.’
정신을 다잡고, 급하게 구글링을 시작했다.
바이낸스 고객센터에 연락했고, 새벽임에도 불구하고 코인 업계 지인들에게 전화를 돌렸다. 약 세 시간이 흐른 뒤, 여러 정보를 취합해 상황을 어느 정도 파악할 수 있었다. 새벽 5시, 졸음은커녕 정신이 더욱 또렷해졌다. 내가 할 수 있는 모든 조치를 취한 뒤, 다음 단계는 오전 9시가 되면 집에서 가장 가까운 서귀포 사이버경찰청에 가는 것이었다.
오전 9시까지 화장실 한 번 가지 않고 자리에 앉아 온갖 방법을 동원해봤다. 아이러니하게도 사태를 파악할수록 내 코인을 되찾을 가능성은 점점 희박해진다는 결론에 도달했다. 현실적으로 회수 확률은 극히 낮았다.
이번 해킹 사건의 경위를 정리해본다. 내가 가진 데이터는 제한적이다. 바이낸스와 구글은 개인정보보호를 이유로 해커 관련 정보를 제공하지 않았다. 답답하고 화가 났지만, 경찰의 영장 없이는 어쩔 수 없는 부분이었다. 그러나 범인이 지인이 아닌 이상, 지금 와서 범인을 특정한다 한들 무슨 의미가 있을까. 중요한 건, 어떻게 이런 일이 가능했는가였다.
해킹의 전말
구글 이메일 해킹
내 구글 이메일이 털렸다. 비밀번호가 어떻게 유출됐는지는 불명확하다. 공공 와이파이, 클라우드 실수 업로드 등 여러 가능성이 있지만 현 상태로는 알 수 없다.
바이낸스 로그인 연동
해외 사이트들은 편의상 구글 이메일로 연동해 로그인을 지원한다. 나 역시 바이낸스에 구글 이메일로 연동해 로그인했다. 그렇기에 구글 이메일만 알면 바이낸스 로그인이 가능하다.
2차 인증(2FA)의 허점
그럼에도 2FA(2 Factor Authentication, 2단계 인증)가 있어야 로그인이 가능하다. 당연하게도 나는 문자 인증, OTP, 지문인식 등 여러 인증을 설정해두었다. 모두 내 물리적 핸드폰이 없으면 인증이 불가능하다고 생각했다.
2FA의 'OR' 논리
나는 2FA 인증 방식이 'AND'가 아니라 'OR'이라는 사실을 몰랐다. 즉, 세 가지 중 하나만 통과해도 인증이 가능하다.
OTP(One Time Password) 탈취
문제는 OTP였다. 나는 Google Authenticator 앱을 이용해 OTP를 관리했다. 그런데, Google Authenticator는 구글 이메일만 알면 OTP 백업이 가능하다. 클라우드 연동이 활성화되어 있으면, 해커가 내 이메일 계정에 접근해 OTP까지 복원할 수 있었다.
설정의 맹점
클라우드 연동은 옵션으로 끌 수 있지만, 많은 사용자가 기본값 그대로 두고 사용한다. 나 역시 그랬다. 내 주변 코인 투자자 10명 중 9명도 같은 상태였다. 클라우드 연동이 되고 있다는 사실조차 모르는 경우가 대부분이었다.
즉, 요점을 정리하면, 내 구글 이메일 이 털렸고, 2차 인증 또한 구글 이메일과 연동되어 있기에 뚫린 것이다.
가장 큰 의문은 왜 Google Authenticator의 OTP 백업 기능이 이렇게 쉽게 이메일 계정만으로 접근 가능했는가였다. 그리고 클라우드 연동에 대한 명확한 안내조차 없었다. 물론 구글은 사용자가 연동을 끌 수 있도록 옵션을 제공한다. 하지만 기본값이 연동 OFF였다면 피해를 줄일 수 있었을 것이다.
그러나 돌고돌아 결론은 내 보안 인식이 부족했던 게 가장 큰 원인이었다. 투자업에 종사하면서도 이상하리만큼 보안에 대해 안일하게 생각했던 것 같다.
해킹을 당하고 나서 알게 된 사실이지만, 나와 같은 사례가 여럿 있었다. 심지어 내 주변에도 한명이 있었다. 나름 친한 형이었기에 해킹 당한 사건 조차 알고 있었지만 크게 관심을 가지지 않았다. 역시나 당하기 전까진 심각성을 모른다.
해결책은 명확하다.
1. 구글 이메일 연동 로그인 지양
구글 계정 해킹 사고는 빈번하다. 가능하다면 주요 서비스의 로그인 연동을 구글이 아닌 별도의 이메일로 설정하는 것이 좋다.
2. 2FA(2단계 인증) 설정의 철저함
2FA를 설정하더라도 OTP는 반드시 클라우드 연동 없이, 물리적 폰에만 저장해야 한다. Google Authenticator의 클라우드 연동은 반드시 꺼야 한다.
3. 주기적인 보안 점검
비밀번호는 정기적으로 변경하고, 공공 와이파이 사용을 지양하며, 의심스러운 이메일이나 링크는 절대 클릭하지 않는다.
4. 중요 계정은 별도 기기에서 관리
주요 자산이 걸린 계정은 별도의 기기에서만 관리하고, 이 기기는 보안에 각별히 신경 쓴다.
특히나 만약 바이낸스와 구글 OTP를 연동하여 사용하고 있다면 꼭 점검하여 보안을 강화하기 바란다. 내 주변 지인들에게 추가 피해방지상 전화를 해보니 10명중 9명은 나와 같은 세팅으로 되어있었다. 심지어 몇십억을 바이낸스에 둔 친구도 있었다. 상상만해도 아찔하다.
구름모양이 위 그림과 같이 되어 있어야 클라우드 연동을 껐다는 의미그날 새벽, 현시점 가격 기준으로 약 1억 3천만 원이 내 의지와 상관없이 사라졌다. 투자로 비슷한 금액을 잃어본 적도 있지만, 그건 내 선택이었기에 감당할 수 있었다. 이번 해킹은 내 보안 불감증에서 비롯된 만큼, 책임도 내 몫이다. 하지만 그 고통은 오래갈 것 같았다.
몇 달이 지난 지금, 신기하게도 그렇게 강렬했던 허망함과 고통이 나름 희미해졌다. 여러 가지 합리화로 마음을 다잡았다. "돈을 더 압도적으로 벌어서 해킹당한 금액이 사소해지게 만들자", "은퇴가 1년 늦춰졌다고 생각하자" 등, 웃픈 자기 위로도 해봤다. 그럼에도 아직까진 코인이 우상향하는 소식이 들릴 때마다 마음 한켠 쓰라리는 것은 피할수 없다.
경찰청 사이버수사대의 수사는 매우 느리다. 처음 내 담당 수사관은 바이낸스가 뭔지조차 몰랐을 정도였다. 코인 생태계에 대한 이해가 부족한 현실에 기대는 크지 않다. 그럼에도 누군지의 소행 정도는 알아내고자 아직까진 같이 협력하여 수사에 임하고 있다. 내 돈을 들고 간 그 놈, 언젠가 저승에서라도 얼굴 한번 보고 싶다는 작은 소망만 남았다.
이 글은 단순한 경험담이 아니다. 누군가에게는 미래의 당신이 될 수 있는 이야기다.
