수년간 기다려온 이들도 있고, 너무 늦었다는 평가도 있다. 어느 쪽이든 분명한 사실은 일론 머스크의 소셜 네트워크 X가 암호화폐 분야에서 대형 플랫폼이 도입한 것 중 가장 급진적인 보안 조치 가운데 하나를 곧 시행한다는 점이다: 계정 역사상 처음으로 암호화폐를 언급하는 모든 계정을 자동으로 잠그는 기능이다.
이 발표는 X의 프로덕트 헤드 니키타 비어가 직접적이고 거침없는 게시글을 통해 공개한 것으로, 즉시 업계 전반에 파장을 일으켰다.
구체적으로 어떻게 작동하나
메커니즘은 단순하다: 어떤 계정이 암호화폐와 관련된 내용을 한 번도 게시한 적이 없는데 처음으로 관련 내용을 올리려 할 경우, 시스템이 자동으로 계정을 잠그고 새로운 게시글을 허용하기 전에 추가 인증을 요구한다. 정상적인 사용자라면 절차가 빠르게 처리될 것이다. 반면 피싱 공격으로 막 타인의 계정을 탈취한 사람에게는 넘을 수 없는 장벽이 된다.
비어는 또한 Google을 직접 비판했는데, 피싱 이메일이 사용자 받은편지함에 도달하기 전에 필터링하지 못하고 있다는 점을 공개적으로 지적했다. X 혼자서는 완전히 해결할 수 없는 구조적 문제다.
벤자민 화이트 사건: 교과서적 공격
이 결정을 이끌어낸 결정적 계기는 구체적이고 잘 문서화된 한 사건에서 비롯됐다. 2026년 4월 1일, Predictfully 창업자 벤자민 화이트는 거의 정밀한 방식으로 자신의 계정 제어권을 잃었다: X 지원팀에서 보낸 것처럼 보이는 이메일을 받았는데, 저작권 위반이 발생했다는 내용이었다. 첨부된 링크는 실제 로그인 페이지와 픽셀 단위로 동일한 가짜 페이지로 연결됐으며, 비밀번호와 이중 인증 코드를 실시간으로 탈취하도록 설계돼 있었다.
몇 분 만에 계정은 공격자 손에 넘어갔고, 공격자는 즉시 사기 토큰과 가짜 에어드랍을 홍보하기 시작했다. 화이트가 쌓아온 신뢰도를 악용한 것이다. 공격자는 계정 접근권을 돌려주는 대가로 4,000달러를 요구하는 협박도 시도했다.
이는 고립된 사례가 아니다. 한국에서도 가상자산이용자보호법이 2024년 시행됐지만, Upbit·Bithumb 등 국내 거래소 사용자를 사칭한 소셜 미디어 피싱 공격은 꾸준히 증가하고 있다. 이러한 공격은 2026년 내내 심화됐으며, 2월은 암호화폐 해킹 및 피싱 피해액이 연중 최저를 기록한 달이었다.
실제로 효과가 있을까?
이 조치의 논리는 탄탄하다: 계정을 탈취하는 이들은 즉각적인 금전적 이익을 목적으로 한다. 첫 번째 암호화폐 게시글이 차단되고 인증이 필요해지면, 계정은 악용할 가치가 있는 시간 창에서 쓸모없어진다. 공격자의 이점이 거의 완전히 사라지는 셈이다.
비판도 존재하며, 언급할 필요가 있다. 암호화폐에 대해 한 번도 게시글을 올린 적 없는 이들 — 기자, 신규 사용자, 처음 이 주제에 관심을 갖는 누구든 — 은 완전히 합법적인 게시글을 올리기 전에 신원 인증을 해야 할 수 있다. 다만 비어는 실제 사용자에게는 절차가 빠를 것이라고 안심시켰다.
핵심은 변함없다: 소셜 플랫폼은 암호화폐 사기의 주요 전쟁터가 됐다. 이번 조치로 X는 반응적 모더레이션에만 의존하는 대신 제품 차원에서 개입하는 쪽을 택했다. 구체적인 접근 방식의 전환이다 — 늦었을 수도 있지만, 반드시 필요한 변화다.
