플로우(FLOW) 블록체인에 기반한 대체불가토큰(NFT) 거래 플랫폼인 VIV3에서 사용자의 계정을 노리는 피싱 공격이 다수 발생했다. 피싱이란 사칭이나 위장된 홈페이지 등을 통해 패스워드 등을 갈취하는 공격을 말한다. 크립토아트 등 NFT 수집품의 가치가 최근 급상승하면서 수집가의 계정을 노리는 피싱 수법도 더욱 기승을 부릴 수 있어 사용자의 주의가 각별히 요구된다. 

NFT란 개체마다 고유한 값을 지니도록 발행한 토큰으로 주로 게임 아이템이나 예술품에 적용할 수 있는 블록체인 기술 중 하나다. 최근에는 일론 머스크 테슬라 최고경영자(CEO)의 여자친구인 그라임스가 제작한 아기천사 크립토아트 10점이 580만달러(한화 약 65억원)에 팔리기 해 화제가 되기도 했다. 희귀한 NFT 작품일수록 가격은 천정부지로 치솟는 특징이 있다. 논펀저블닷컴 등 리서치에 따르면 올해 NFT를 거래하는 시장의 규모는 작년보다 4배 이상 급성장하고 있다는 분석이다.

반면 NFT를 유통하고 중개하는 플랫폼의 보안 수준은 상대적으로 낮은 경우도 존재해 사용자의 주의가 각별히 요구된다. VIV3는 지난 6일 자사의 서비스에 이중 인증(2FA) 절차를 도입하는 업데이트를 진행한 바 있다. 플랫폼에서 구매한 NFT를 개인지갑으로 전송하는 과정에 일회용 비밀번호(OTP) 등을 추가로 적용해 사용자의 보안성을 높이기 위함이다. 다만 2FA를 도입하는 과정 자체는 성공적이지 못했다. VIV3에 따르면 2FA를 탑재하는 업데이트 이후에 해커가 사용자의 2FA 정보를 악의적으로 덮어씌우는 사례가 여럿 발생했다. 해커가 OTP 등 사용자의 2FA 정보를 장악하면 해당 계정에 들어있는 사용자의 NFT 아이템도 외부로 얼마든지 빼돌릴 수도 있게 돼 치명적이다. VIV3는 사용자의 추가 피해를 막기 위해 출금 서비스를 정지했고 조사를 위해 홈페이지 운영도 현재 중단한 상태다. 정확한 피해 규모는 아직 알려지지 않았다.

VIV3 관계자는 디스코드 채널을 통해 “VIV3 플랫폼의 서비스와 동일한 이메일 주소, 비밀번호를 그대로 사용한 사용자의 계정이 이번에 공격자에게 갈취 당한 것으로 보인다. 유사한 피싱 페이지에 로그인하면 토큰 분실 등 피해가 발생할 수 있어 플랫폼 주소가 VIV3 닷컴이 확실한지 꼭 확인하길 바란다. 사용자는 플로우스캔 페이지에서 자신의 토큰 내역을 확인하고 만약 피해를 입은 경우 운영팀에게 문의해달라”고 공지했다.

[강민승 기자]