누군가 한 번은 "그건 그냥 오경보야"라는 말이 세상에서 가장 아름다운 말이라고 했다. 모든 것을 잃을 위협을 직접 마주해본 사람만이 그 말을 진심으로 이해한다.

2025년 9월 2일, 내 지갑에 들어 있던 1,300만 달러가 허공으로 사라지는 것을 아슬아슬하게 목격할 뻔했다. 이 사건은 북한 발의 악명 높은 해킹 조직 라자루스(Lazarus)가 주도한 피싱 공격이었다.

만약 몇몇 최정상급 보안팀들의 신속한 개입이 없었다면, 완전한 재난이 됐을 것이다. 대신 아슬아슬한 실수로 끝났다. 피해자 시점에서의 전체 경험을 여기서 전한다.

촉발: 평범해 보였던 미팅 초대

처음 이 사람을 만난 건 2025년 4월 홍콩 Wanxiang 컨퍼런스에서였다. 한 친구가 직접 소개해줬고, 다른 친구가 Stack 팀을 언급하며 협업 가능성을 흘렸다. 연락처를 교환하고 Telegram에 서로를 추가했다.

지난 금요일(8월 29일), 이 BD(아시아 비즈니스 개발 담당자)가 밤 11시에 캐치업 미팅을 잡자고 연락했다. 이전 미팅이 길어져서 11시 10분쯤 합류했다. TG(텔레그램) 그룹에는 괜찮다고 적혀 있었다.

미팅 링크는 Zoom이었다. 그때는 별생각 없이 클릭했지만, 지금 돌이켜보면 Zoom은 라자루스 공격에 자주 사용되는 경로가 됐다(더 많은 분석은 이 Huntability 보고서를 참고: https://t.co/FoBYMKRkPO).

함정: 무해해 보이는 "업그레이드"

늦은 탓에 죄책감이 들었고 서둘렀다. 합류했을 때 그는 영상에 보였고 몇 명의 동료로 보이는 사람들도 있었지만 오디오는 없었다. 즉시 팝업이 뜨며 말했다: "마이크가 작동하지 않습니다. 업그레이드가 필요합니다."

그 순간 공황과 죄책감에 나는 침착함을 잃었다:

• 내가 일으킨 지연을 바로잡고 싶었고;
• 아무 생각 없이 "업그레이드"를 클릭했다.

돌이켜보면, 그게 해커들의 미끼였다.

정교한 타격: 맞춤형 공격

나중에 재구성해보니 이건 무작위가 아니었다—나를 목표로 한 매우 맞춤형 공격이었다.

그들은 공격 컨트랙트를 월요일에 배포했고 내 포트폴리오에 맞춰 설계했다. 내 자산은 대부분 Venus에 묶여 있었고, 일반적인 구성과 달리 많은 차입(부채)이 있었다. Venus의 공식 보고서(여기: https://t.co/ZljRMf1ZkP)를 보면 수많은 표적화된 작업으로 얼마나 복잡한 트랜잭션이었는지 알 수 있다.

그들은 내가 Rabby 지갑을 자주 쓴다는 것도 알고 있었고, 아마도 Chrome에 가짜 Rabby 확장자를 끼워 넣었을 수 있다.

진행 방식은 다음과 같았다:

컴퓨터를 켰더니 Chrome이 평소와 다르게 충돌하며 탭 복원을 묻는 메시지가 떴다(지금 생각해보면 악성 확장 때문일 가능성). 복원한다고 했고, 복원된 탭에서 Venus를 열어 평소처럼 출금을 진행했다.

만약 진짜 Rabby였다면 리스크 컨트롤이 다음을 했을 것이다:

1. 컨트랙트 위험을 경고하고 수동 확인을 요구했을 것;
2. 트랜잭션 시뮬레이션을 보여줬을 것.

하지만 가짜는 경고가 없었다. 수백 번 해온 출금처럼 느껴졌다.

그 "익숙함"과 매끄러움이 나를 완전히 방심시켰다. 내가 알아차렸을 때는 이미 늦었다.

트랜잭션을 보낸 후 Chrome이 다시 충돌했고, 컴퓨터가 버벅거리며 재시작했다. 다시 열었을 때 Google 계정에서 로그아웃되어 있었다. USDT는 아직 출금되지 않았지만, 브라우저 기록을 확인하니 수상한 트랜잭션이 보였다. 공포가 밀려왔다.

섬뜩한 사실은, 나중에 친구들에게 들으니 이 BD의 TG 계정은 이전에 이미 해킹당한 적이 있었다는 것이다. 처음부터 사기꾼과 거래하고 있었던 셈이다.

해커들은 그 "반쯤 낯익은" 관계를 악용한다: 완전한 낯선 사람이 아니라 경계심을 갖지 않을 정도로 익숙하지만, 행동의 불일치를 알아챌 정도로 친밀하지도 않은 대상이다.

진실: 가짜 신원, 딥페이크, 그리고 라자루스

기법, 가스 출처, 유사 사례를 기반으로 보면 이건 라자루스일 가능성이 높다. 영상 속 '동료들'은 아마 딥페이크 얼굴이었을 것이다.

몇 달 전 Venus 커뮤니티 관리자도 같은 Zoom 피싱에 속아 예치금을 잃고 회복하지 못했다는 얘기를 들었다.

전환점: 보안팀의 개입

바로 그 직후 PeckShield와 SlowMist에 연락했다. Dr. Jiang(@xuxian_jiang)이 신속히 Venus 팀을 연결해줬다.

우리는 서로 알던 사이가 아니었지만, 그들이 이상한 점을 확인하자 프로토콜을 일시 중단했다:

1. 내 계정은 차입이 많은 5개 자산을 가지고 있었고;
2. 해커의 복잡한 트랜잭션은 대부분 자산(부채 포함)을 옮겼으며;
3. 일반 사용자 행동과 전혀 달랐다.

프로토콜을 일시 중단하고, 컨트랙트 감사를 하고, 프론트엔드 하이재킹 여부를 확인하는 것—모두 결정적인 조치였다. 그들의 단호함이 라자루스를 막았다.

회고: 얻은 교훈

이번 사건은 북한 해커들이 소셜 엔지니어링, 딥페이크, 기술적 트로이 목마를 결합하도록 진화했음을 보여준다. 화상 통화와 인증된 Twitter 프로필조차 조작될 수 있다.

나는 이론상 가장 안전한 하드웨어 월렛을 사용 중이었지만, DeFi의 복잡한 상호작용은 블라인드 서명을 요구한다.

해커들은 Rabby 확장을 위조해 모든 것이 정상처럼 보이게 만들었고, 지갑 경고도 없었다.

하드웨어에서 서명할 때 입력이 오염되면 실제 트랜잭션 논리를 검증하기 어렵다.

혹독한 현실: 확장자나 프런트엔드가 손상되면 하드웨어 월렛도 만능이 아니다.

업계와 개인을 위한 안전 팁

• 민감한 내용은 Zoom 대신 다른 수단을 사용하라: Zoom은 라자루스 공격 hotspot이다.
• 확장자는 공식 소스에서만 다운로드하고, 팝업 "업그레이드"는 무시하라.
• 하드웨어 월렛을 사용하되 단독 의존하지 말고 프런트엔드 확인을 병행하라.
• 반쯤 아는 사람을 무턱대고 믿지 마라: 영상, 목소리, 미팅은 모두 딥페이크일 수 있다.
• 의심을 유지하라: "마이크 업그레이드" 같은 이상한 요청에는 잠시 멈추고 생각하라.

마무리

라자루스와의 아슬아슬한 조우였다.

@VenusProtocol, @peckshield, @binance, @chaos_labs, @hexagate_, @HypernativeLabs, @SlowMist_Team 같은 팀들 덕분에 우리는 버텨냈다—혹은 적어도 큰 손실을 면했다. 대부분의 라자루스 피해자들은 자금을 회복하지 못하니 이번 일은 로또에 당첨된 느낌이었다.

하지만 이번 일로 뼈저리게 깨달았다: 암호화폐에서 가장 큰 위험은 시장 변동성이 아니다—바로 "괜찮겠지"라고 생각하는 그 순간이다.