거래소 보안과 직원들 보안의식은 그대로? 계정 탈취 고객 대응 ‘무성의’
[보안뉴스 권 준 기자] 가상화폐 거래소 ‘코인이즈’가 21억 규모의 해킹사고를 당해 경찰 조사가 진행되고 있는 가운데 코인이즈에 앞서 지난 4월 비슷한 수법으로 해킹되어 비트코인 55억 원 어치를 탈취당했던 비트코인 거래소 ‘야피존’을 사칭한 보이스피싱 사건이 또 다시 발생했다.
▲ 보이스피싱 예방 안내 공지를 올린 야피존 사이트[이미지=야피존 웹사이트 캡처]
본지에 해당 사실을 알려온 제보자는 “야피존을 사용하던 지인이 또 다시 계정을 탈취 당해 피해를 봤다”며, “야피존에 전화를 했는데 고객이 비밀번호를 주기적으로 바꾸지 않아서 그런 것이라면서 계좌 이체까지는 되지 않았느니 괜찮은 것 아니냐는 식의 무책임한 대응으로 일관했다고 한다”고 분통을 터뜨렸다.
제보자에 따르면 해당 고객은 야피존 직원을 사칭한 사람에게서 “야피존에 대한 해킹 시도가 있어 해외로 현금을 인출하려고 하니 보안카드 번호를 불러달라”는 전화를 받았다고 한다. 전화 내용이 이상해서 그냥 끊고 나서 야피존 사이트에 로그인 해보니 보유하고 있던 모든 코인이 구매했던 가격보다 낮게 팔려 있었고, 심지어 13일 기준으로 640만원이 넘는 비트코인이 본인도 모르게 판매되어 있었다는 설명이다.
이러한 가운데 야피존에서도 13일 보이스피싱 예방 안내 공지를 올렸다. 야피존 측은 “최근 비트코인 거래소 상담원 및 보안담당을 사칭해 인증번호를 탈취하려는 사기 사례가 확인됐다”며, “야피존 상담원은 어떠한 경우에도 회원들의 비밀/거래비밀번호, 인증번호, 보안카드 번호를 요구하지 않는다”고 밝혔다.
이와 함께 야피존 측은 “타 가상화폐 거래소와 전자화폐 카페 등 동일한 ID를 대상으로 삼은 경우가 많으니 주기적으로 비밀번호를 변경하고, 이용하는 인터넷 사이트마다 비밀번호를 다르게 설정해 줄 것”을 당부했다.
지난 7월에도 야피존 회원들에게 악성 프로그램이 포함된 이메일이 야피존 이름을 사칭해 발송된 것으로 드러나 긴급 보안공지를 올린 데 이어 이번에는 야피존 직원을 사칭한 보이스피싱 사례가 발견된 것이다. 이미 확보한 고객 계정을 바탕으로 실제 계좌 이체를 통해 가상화폐를 탈취하려는 시도를 진행했던 셈이다.
한편, 거상화폐 거래소 야피존을 운영하는 야피안은 16일부터 서비스명을 ‘당신의 비트코인’을 뜻하는 ‘YouBit(유빗)’으로 변경한다고 공지했다. 유빗으로 도메인과 서비스명이 변경되는 것 외에 아이디와 보안카드 등은 기존과 동일하게 사용하면 된다고 밝혔다.
해킹된 사이트라는 꼬리표를 지우려고 기존 ‘야피존’에서 ‘유빗’으로 서비스명을 교체했지만, 회사의 보안의식이나 거래소의 보안대책은 크게 변하지 않은 것으로 보인다. 아이디와 보안카드도 기존과 동일하게 사용하는 등 별다른 변화 없이 서비스명만 바꿔 이미지 쇄신을 꾀한다고 해서 고객들의 신뢰가 회복되는 건 아니기 때문이다. 고객 대응을 비롯해서 보안 강화를 위한 보다 실질적인 대책이 마련되지 않는 한 서비스명 교체는 껍데기만 바꾸는 임시방편일 뿐이다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>