지난 10월 말, 스위스 루가노 호숫가에서 열린 비트코인 콘퍼런스에서는 다소 기이한 광경이 펼쳐졌다. 한 무리의 비트코인 투자자들이 플라스틱 케이블 타이로 손목이 묶인 채 가만히 서 있는 모습이었다. 이들에게 케이블 타이를 해체하는 법을 가르치고 있는 인물은 영국 왕립해병대 출신인 피트 케일이었다. 케일은 “이빨을 사용하면 뭐든지 끊을 수 있다. 엄청나게 아프긴 하지만 말이다”라고 설명했다.
비트코인 투자자들이 이렇게 실전 연습을 하는 데는 그럴 만한 이유가 있었다. 혹시 자신에게도 발생할 수 있는 돌발 변수, 다시 말해 길에서 납치될 경우 어떻게 해야 하는지 알기 위해서였다. 콘퍼런스 마지막 날 열린 ‘납치 대응법’ 워크숍을 준비한 알레나 브라노바는 ‘뉴욕타임스’ 인터뷰에서 “암호화폐 업계 사람들을 상대로 한 물리적 폭력이 전염병 수준에 이르렀다”고 말하면서 “지금은 거의 주 1회꼴로 납치와 공갈협박 사건이 발생하고 있다. 무척 심각한 상황이다”라고 염려했다.
더욱 끔찍한 건 한 번 털린 암호화폐는 되돌릴 수도, 취소할 수도 없다는 사실이다. 전화를 걸어 신고할 은행도 없고, 피해를 호소할 정부 기관도 없다. 다시 말해 ‘되돌리기 버튼’이란 건 없다. 게다가 현금, 보석, 금 같은 귀중품과 달리 범죄자들은 훔친 암호화폐를 들고 다닐 필요도 없다. 그저 몇 번의 클릭만으로 막대한 자산을 한 주소에서 다른 주소로 옮기면 끝이다.
‘렌치 공격’의 유래는 우습게도 웹코믹이다. 암호화폐 지갑을 가장 손쉽게 털 수 있는 여러 가지 방법을 상상하는 만화로, 이 가운데 단 5달러(약 7000원)짜리 렌치를 들고 위협하기만 하면 된다는 장면이 모티브가 됐다. 제아무리 엄격한 보안 기술이 적용됐다고 해도 렌치로 협박해서 비밀번호를 알아내면 된다는 것이다. 처음엔 그저 유머로 치부됐던 장난이 지금은 실제 상황이 되고 만 셈이다.
가장 큰 문제는 갑자기 돈방석에 앉은 신흥 부호들의 경우 보안 의식이 부족하다는 점이다. 이와 관련, ‘나로이스 프로토콜’의 CEO인 데이비드 카르발류는 “창업자, 인플루언서, 성공한 투자자 등 암호화폐 부자들이 많아졌다. 이들은 절도범들에게는 매력적인 타깃이 된다”라고 말했다. 또한 플린은 “이들은 주머니 속에 자신의 순자산 전체를 넣고 다닌다. 여기에 공개적인 과시까지 더해지면 ‘렌치 공격’을 받는 지름길이 된다”라며 주의를 촉구했다.
‘렌치 공격’이 증가하고 있는 또 다른 이유는 암호화폐의 기본 구조 때문이다. 이와 관련, 블록체인 정보업체 ‘TRM 랩스’의 아리 레드보드는 “물리적 공격이 최근 몇 달 사이 급증한 이유는 디지털 지갑을 훔치는 것이 은행 계좌에서 돈을 훔치는 것보다 더 쉽기 때문”이라고 설명했다. 실제 은행 이체와 달리 암호화폐 이체는 금융기관의 승인이나 개입이 필요 없다. 아무런 제재 없이 즉시 거래가 이루어지며, 심지어 되돌릴 수도 없다. 가령 납치범은 암호화폐, 즉 몸값이 계좌에서 다른 계좌로 이동하는 것을 그 자리에서 확인할 수 있으며, 이 모든 과정은 순식간에 일어난다.
그럼 이런 공격은 누가, 어디서, 어떻게 당하고 있는 걸까. 실제 발생하고 있는 ‘렌치 공격’ 사례들을 살펴보면 잔혹하기 그지없다. 가장 심각한 곳은 프랑스다. 현재 전 세계에서 벌어지는 ‘렌치 공격’의 약 25%가 프랑스에서 발생하고 있을 정도로 프랑스는 암호화폐 관련 납치 및 폭력 범죄의 중심지가 됐다.
그런가 하면 지난 5월에는 파리 시내 한복판에서 암호화폐 거래소 ‘페이뮘’ CEO의 딸과 손자가 납치될 뻔한 사건도 발생했다. 대낮에 복면을 쓴 강도들이 택배 기사로 위장해 총을 겨누며 납치를 시도했지만 다행히 남편과 주변 사람들이 막아서면서 극적으로 구출됐다.
미국도 ‘렌치 공격’으로 몸살을 앓고 있기는 마찬가지다. 올해 미국에서 발생한 암호화폐 절도 사건 가운데 가장 큰 규모는 1100만 달러(약 162억 원)였다. 배달원으로 변장한 절도범이 샌프란시스코 고급 주택에 침입한 후 강제로 지갑 비밀번호를 알아내 도주한 사건이었다. 알려진 바에 따르면 피해자는 ‘오픈AI’ CEO인 샘 올트먼의 전 연인이자 벤처투자자인 라키 그룸이었다.
텍사스 출신의 유명 인플루언서이자 코스플레이어인 케이틀린 ‘아무란스’ 시라구사의 경우에는 휴스턴 자택에서 습격을 당했다. 약 2000만 달러(약 295억 원) 상당의 암호화폐를 보유하고 있는 시라구사는 당시 상황에 대해 “침대에 누워있던 나를 권총으로 가격한 뒤 총구를 겨누고 암호화폐 계정에 로그인하라고 강요했다. 구타는 끝날 것 같지 않았다”라며 고통스러워했다. 하지만 다행히 재산 피해는 입지 않았다. 암호화폐 지갑에 접근하라고 건넨 휴대폰을 이용해 수백만 팔로어들에게 습격 사실을 실시간으로 알리면서 위기를 모면할 수 있었다.
2인조였던 이들은 2800만 달러(약 412억 원) 상당의 비트코인이 들어있는 카르투란의 디지털 지갑을 빼앗기 위해 그를 잔혹하게 고문했다. 건물 옥상에 매달거나, 전기 고문을 했으며, 전기톱으로 협박하기도 했다. 심지어 강제로 크랙 코카인을 주입하기도 했다. 극심한 고통 끝에 카르투란은 가까스로 탈출에 성공했고, 범인들은 체포된 후 납치 및 폭행 혐의로 기소됐다.
이처럼 전 세계적으로 피해자들이 급증하고 있지만 실제 피해자 수가 얼마나 되는지는 정확히 알 수 없다. 대부분의 피해자들이 익명으로 남길 원하는 데다, 신고하는 경우 역시 드물기 때문이다. 이유는 보복에 대한 두려움과 절망감, 그리고 모욕감 때문이다.
실제 ‘렌치 공격’을 당한 사람들은 극심한 후유증에 시달리는 것으로 알려져 있다. 신체적 외상은 물론이요, 심리적 고통과 트라우마에 시달리며, 재정적으로 파탄하는 경우도 많다. 이제 암호화폐 부자들에게 보안은 개인 키나 방화벽을 넘어 현실 세계에서의 신변 안전 문제가 됐다.
‘렌치 공격’ 예방법…비트코인 자랑은 금물
‘렌치 공격’은 비단 고액 보유자에게만 해당되는 이야기는 아니다. 소액 보유자라고 해도 암호화폐를 보유하고 있다면 언제든 범죄의 대상이 될 수 있다. 그렇다면 이를 막기 위해서는 어떻게 해야 할까.
먼저 자랑은 금물이다. 특히 암호화폐 보유 사실을 소셜미디어(SNS)에서 과시할 경우 범죄의 표적이 될 수 있다. 카르발류는 “소셜미디어나 콘퍼런스에서 부를 과시하지 말라. 화려한 자동차나 고가의 보석도 자제하라”라고 조언한다.
온라인뿐만 아니라 일상적인 대화에서도 주의가 필요하다. 지인이나 가족에게 수익을 자랑하거나, 보유 자산 규모를 언급하거나, 자산 세부 내역을 공유하는 것도 위험할 수 있다. 실제 수년 동안 암호화폐 투자자들은 롤렉스 시계, 술파티가 벌어지는 요트, 고급 스포츠카 사진 등을 온라인에 공유하면서 스스로를 위험에 노출시켜 왔다.
익명을 유지하는 것도 하나의 방법이다. 이런 이유에서 이미 익명으로 활동하는 암호화폐 부자들도 많다. 가령 소셜미디어 계정이나 암호화폐 커뮤니티에서 닉네임을 사용하거나, 만화 아바타를 사용하는 경우다. 이 밖에도 이들은 여행 중임을 온라인에 알리지 않으며, 집에 누구를 초대할지도 신중하게 선택한다.
디지털 보안 강화 역시 필수다. 자산은 멀티시그(다중 서명) 지갑에 보관하되, 여러 장소에 분산시키는 게 좋다. 멀티시그 지갑은 여러 명의 승인을 받아야 거래가 실행되기 때문에 만일 한 사람이 협박을 당해 키를 넘겼다고 해도 공격자가 자산 전체를 빼내는 것은 불가능하다.
개인 키를 콜드 스토리지(인터넷에서 완전히 분리된 환경)에 보관하는 방법도 자주 사용되고 있다. 콜드 스토리지는 일종의 USB 같은 형태로, 하드월렛이라고도 한다. 이때는 하드월렛을 집과 분리된 장소에 보관하는 게 중요하다. 또한 시드 문구(비밀 번호)는 디지털 기기에 저장하지 않는 게 안전하다. 일부 투자자들은 시드 문구를 금고, 은행 금고, 지인 집 등 여러 곳에 나눠 저장하기도 한다.
디지털 보안 못지않게 물리적 보안도 중요하다. 여기에는 보안 시스템, 경보 장치, CCTV 등이 포함된다.
그래도 불안하다면 대체 투자로 전환할 수도 있다. 가령 비트코인 ETF, ETP 같은 금융상품에 투자할 경우 비트코인을 직접 보유하지 않아도 수익을 챙길 수 있다. 이 경우 직접적인 현금 혹은 지갑을 보유하고 있지 않기 때문에 물리적 공격의 표적이 되는 위험이 줄어든다.
김민주 해외정보작가 world@ilyo.co.kr
