시드 문구와 개인키를 공부하다 보니, 암호화폐에서 가장 조심해야 할 위험이 무엇인지 조금씩 보이기 시작했다.
그중 하나가 피싱이다.
피싱은 사용자를 속여 중요한 정보를 빼내거나, 위험한 행동을 하게 만드는 공격이다.
은행이나 이메일에서도 피싱은 흔하다.
가짜 로그인 페이지를 만들고, 사용자가 아이디와 비밀번호를 입력하게 만드는 방식이 대표적이다.
그런데 암호화폐 피싱은 조금 다르다.
암호화폐에서는 시드 문구를 입력하게 만들거나, 지갑을 연결하게 만들거나, 사용자가 잘 모르는 서명을 승인하게 만들어 자산을 빼앗을 수 있다.
처음에는 “나는 시드 문구만 안 알려주면 괜찮겠지”라고 생각했다.
하지만 공부해보니, 시드 문구를 직접 입력하지 않아도 위험한 경우가 있다.
이번 글에서는 암호화폐 피싱이 어떤 방식으로 일어나는지 기초적인 수준에서 정리해보려 한다.
오늘의 질문
오늘의 질문은 이것이다.
암호화폐 피싱은 어떤 방식으로 일어날까?
조금 더 나누어보면 이런 질문이 된다.
피싱 사이트는 어떻게 사용자를 속일까?
왜 시드 문구를 입력하면 안 될까?
지갑 연결만 해도 위험할까?
서명 요청은 왜 조심해야 할까?
에어드롭과 이벤트 피싱은 어떻게 작동할까?
초보자는 어떤 상황을 가장 조심해야 할까?
이번 글에서는 이 질문들을 공부해보려 한다.
피싱은 사용자의 실수를 노린다
암호화폐 피싱은 기술적으로 매우 복잡한 해킹처럼 보일 수 있다.
하지만 많은 경우 핵심은 사용자의 실수를 유도하는 것이다.
사용자가 가짜 사이트에 접속하게 만들고,
시드 문구를 입력하게 만들고,
위험한 지갑 연결을 승인하게 만들고,
이해하지 못한 서명을 허용하게 만든다.
즉 공격자는 블록체인을 직접 뚫는 것이 아니라, 사용자의 판단을 속인다.
이 점이 중요하다.
블록체인 네트워크 자체는 안전하더라도, 사용자가 잘못된 사이트에 시드 문구를 입력하거나, 위험한 거래에 서명하면 자산을 잃을 수 있다.
암호화폐 보안에서 가장 약한 지점은 기술이 아니라 사용자의 행동일 수 있다.
가짜 지갑 복구 페이지
가장 직접적인 피싱 방식은 가짜 지갑 복구 페이지다.
공격자는 유명한 지갑 서비스와 비슷한 웹사이트를 만든다.
로고도 비슷하고, 색상도 비슷하고, 문구도 그럴듯하게 만든다.
사용자는 검색엔진이나 광고, SNS 링크, 메신저 링크를 통해 이 사이트에 들어갈 수 있다.
사이트는 이렇게 말할 수 있다.
지갑을 복구하려면 시드 문구를 입력하세요.
보안 점검을 위해 복구 문구를 확인하세요.
계정이 잠겼으니 지갑을 인증하세요.
에어드롭을 받으려면 지갑을 검증하세요.
하지만 정상적인 서비스는 보통 시드 문구를 웹페이지에 입력하라고 요구하지 않는다.
시드 문구는 지갑 복구를 위해 공식 지갑 앱이나 신뢰할 수 있는 환경에서만 사용해야 한다.
가짜 사이트에 시드 문구를 입력하면, 공격자는 그 문구로 내 지갑을 복구하고 자산을 옮길 수 있다.
고객센터 사칭
또 다른 방식은 고객센터 사칭이다.
텔레그램, 디스코드, X, 이메일 등에서 누군가가 공식 고객센터처럼 접근할 수 있다.
사용자가 “입금이 안 됐다”, “지갑 연결이 안 된다”, “출금이 지연된다”고 문의하면, 공격자가 먼저 메시지를 보내기도 한다.
그리고 친절하게 도와주는 척하면서 시드 문구를 요구한다.
예를 들어 이런 식이다.
지갑을 동기화해야 합니다.
복구 문구를 입력해야 문제를 해결할 수 있습니다.
보안 인증을 위해 12개 단어를 보내주세요.
공식 복구 링크에서 지갑을 인증하세요.
이런 요청은 매우 위험하다.
정상적인 고객센터는 사용자의 시드 문구나 개인키를 요구하지 않는다.
시드 문구를 알려달라는 사람은 고객센터가 아니라 공격자라고 생각하는 것이 안전하다.
에어드롭과 이벤트 피싱
암호화폐 시장에서는 에어드롭과 이벤트가 자주 등장한다.
무료 토큰을 준다거나, 지갑을 연결하면 보상을 준다는 방식이다.
이런 이벤트는 실제로 존재할 수도 있지만, 피싱에 악용되기도 쉽다.
공격자는 유명 프로젝트를 사칭해서 가짜 이벤트 페이지를 만든다.
사용자에게 이렇게 유도한다.
지갑을 연결하세요.
토큰을 클레임하세요.
서명을 승인하세요.
자격 확인을 위해 지갑을 인증하세요.
사용자는 무료 토큰을 받을 수 있다고 생각하고 지갑을 연결하거나 서명한다.
하지만 실제로는 위험한 권한을 승인하거나, 자산을 빼앗는 거래에 서명할 수 있다.
무료라는 말이 붙은 이벤트일수록 더 조심해야 한다.
특히 급하게 참여하라고 하거나, 시간이 얼마 남지 않았다고 압박하거나, 유명 프로젝트 이름을 사칭하는 경우는 위험하다.
가짜 토큰과 스팸 NFT
지갑을 열어보면 내가 받은 적 없는 토큰이나 NFT가 들어와 있는 경우가 있을 수 있다.
이것도 피싱에 이용될 수 있다.
공격자는 사용자 지갑에 가짜 토큰이나 스팸 NFT를 보내고, 그 이름이나 설명에 특정 사이트로 가라고 적어둔다.
예를 들어 이런 식이다.
보상을 청구하려면 이 사이트에 접속하세요.
NFT를 활성화하려면 지갑을 연결하세요.
에어드롭을 받으려면 승인하세요.
사용자가 호기심에 사이트에 들어가 지갑을 연결하거나 서명하면 피해가 발생할 수 있다.
내 지갑에 모르는 토큰이나 NFT가 들어왔다고 해서 바로 클릭하거나 상호작용하면 안 된다.
블록체인에서는 누구나 내 공개 주소로 토큰을 보낼 수 있다.
따라서 모르는 자산이 들어왔다고 해서 그것이 진짜 보상이라는 뜻은 아니다.
지갑 연결만으로 위험할까?
지갑 연결 자체가 항상 위험한 것은 아니다.
많은 블록체인 서비스는 사용자가 지갑을 연결해야 이용할 수 있다.
지갑 연결은 보통 사이트가 내 지갑 주소를 확인하는 단계에 가깝다.
하지만 문제는 연결 이후에 어떤 요청이 나오는지다.
사이트가 단순히 주소를 확인하는 것인지,
토큰 사용 권한을 요청하는 것인지,
거래 전송을 요청하는 것인지,
특정 메시지 서명을 요청하는 것인지 구분해야 한다.
초보자에게는 이 차이가 어렵다.
그래서 낯선 사이트에 지갑을 연결하는 것 자체를 조심하는 것이 좋다.
특히 큰 금액이 들어 있는 지갑은 낯선 사이트에 연결하지 않는 것이 안전하다.
테스트용 지갑이나 소액 지갑을 따로 사용하는 것도 좋은 방법일 수 있다.
서명 요청은 왜 조심해야 할까?
암호화폐 지갑에서는 서명이라는 과정이 자주 등장한다.
서명은 내가 이 행동을 승인한다는 뜻이다.
단순 로그인 확인을 위한 서명도 있고, 실제 자산 이동이나 권한 부여와 관련된 서명도 있다.
문제는 사용자가 서명의 내용을 정확히 이해하지 못하는 경우가 많다는 점이다.
공격자는 사용자가 읽기 어려운 서명 요청을 보여주고, “확인”을 누르게 만들 수 있다.
특히 위험한 것은 토큰 승인이다.
예를 들어 어떤 사이트가 내 지갑의 특정 토큰을 사용할 수 있도록 권한을 요청할 수 있다.
정상적인 디파이 서비스에서도 필요한 과정일 수 있지만, 피싱 사이트에서는 이 권한을 악용할 수 있다.
사용자가 무제한 승인 같은 권한을 허용하면, 공격자는 나중에 해당 토큰을 빼갈 수 있다.
그래서 지갑에서 서명이나 승인 요청이 뜰 때는 무조건 확인을 누르면 안 된다.
무엇을 승인하는지 이해하지 못하면 중단하는 것이 더 안전하다.
주소 바꿔치기 공격
암호화폐를 보낼 때는 긴 지갑 주소를 복사해서 붙여넣는 경우가 많다.
이때 악성 프로그램이 클립보드의 주소를 바꿔치기할 수 있다.
사용자는 수취인의 주소를 복사했다고 생각하지만, 붙여넣기하면 공격자의 주소로 바뀌어 있을 수 있다.
이 상태로 전송하면 자산은 공격자의 주소로 보내진다.
블록체인 거래는 되돌리기 어렵기 때문에 피해 복구가 어렵다.
그래서 주소를 붙여넣은 뒤에는 앞부분과 뒷부분을 반드시 확인해야 한다.
가능하면 QR코드를 사용하더라도, 스캔 후 표시되는 주소와 금액을 다시 확인해야 한다.
큰 금액을 보낼 때는 소액 테스트 전송을 먼저 하는 것도 중요하다.
가짜 앱과 가짜 확장 프로그램
지갑 앱이나 브라우저 확장 프로그램도 피싱 대상이 될 수 있다.
공격자는 유명 지갑과 비슷한 이름의 가짜 앱을 만들 수 있다.
앱스토어, 검색엔진, 광고, 다운로드 사이트를 통해 사용자를 유도할 수도 있다.
사용자가 가짜 지갑 앱을 설치하고 시드 문구를 입력하면, 공격자는 그 지갑에 접근할 수 있다.
브라우저 확장 프로그램도 마찬가지다.
공식 사이트가 아닌 곳에서 다운로드하거나, 검색 광고를 통해 들어간 가짜 사이트에서 설치하면 위험할 수 있다.
지갑 앱은 반드시 공식 사이트나 공식 앱스토어 링크를 통해 설치해야 한다.
그리고 처음 설치할 때 리뷰만 믿지 말고, 개발자 정보와 공식 링크를 확인하는 습관이 필요하다.
검색 광고 피싱
초보자가 많이 당할 수 있는 방식 중 하나가 검색 광고 피싱이다.
사용자가 유명 거래소나 지갑 이름을 검색한다.
검색 결과 상단에 광고가 뜬다.
공격자는 이 광고를 이용해 진짜 사이트와 비슷한 가짜 사이트로 사용자를 유도할 수 있다.
주소가 한 글자 다르거나, 비슷한 도메인을 사용할 수도 있다.
사용자는 익숙한 로고와 화면을 보고 안심하고 로그인하거나 시드 문구를 입력할 수 있다.
그래서 암호화폐 관련 사이트는 검색 결과를 무조건 클릭하기보다, 공식 주소를 북마크해두고 사용하는 것이 안전할 수 있다.
특히 지갑 복구, 거래소 로그인, 에어드롭 참여 같은 민감한 작업은 주소창을 꼭 확인해야 한다.
SNS와 메신저 링크
암호화폐 피싱은 SNS와 메신저에서도 많이 일어날 수 있다.
X, 텔레그램, 디스코드, 카카오톡, 이메일 등에서 링크를 보내고 클릭을 유도한다.
특히 유명 프로젝트나 거래소, 인플루언서를 사칭하는 경우가 있다.
공식 공지처럼 보이지만 실제로는 가짜일 수 있다.
다음과 같은 문구는 조심해야 한다.
긴급 보안 업데이트.
지갑 인증 필요.
무료 토큰 지급.
한정 이벤트.
출금 문제 해결.
계정 정지 해제.
수익 보장 투자 기회.
이런 링크를 누르기 전에 반드시 공식 채널에서 다시 확인해야 한다.
급하게 행동하도록 압박하는 메시지는 특히 의심해야 한다.
피싱은 급하게 만들고, 욕심을 자극한다
피싱에는 공통적인 심리가 있는 것 같다.
하나는 긴급함이다.
지금 바로 인증하지 않으면 계정이 정지됩니다.
몇 분 안에 신청해야 보상을 받을 수 있습니다.
보안 문제가 발생했으니 즉시 복구하세요.
다른 하나는 욕심이다.
무료 토큰을 받을 수 있습니다.
큰 수익 기회가 있습니다.
특별한 에어드롭 대상자로 선정되었습니다.
사람은 급하거나 욕심이 생기면 확인을 덜 하게 된다.
공격자는 바로 이 순간을 노린다.
그래서 암호화폐에서는 급하게 행동하지 않는 것이 중요하다.
좋은 기회처럼 보여도, 먼저 멈추고 확인해야 한다.
피해를 줄이기 위한 기본 습관
암호화폐 피싱을 완전히 피하는 것은 쉽지 않을 수 있다.
하지만 기본 습관을 지키면 위험을 줄일 수 있다.
첫째, 시드 문구와 개인키를 절대 입력하거나 공유하지 않는다.
둘째, 공식 사이트를 북마크해두고 사용한다.
셋째, 검색 광고 링크를 무심코 클릭하지 않는다.
넷째, 낯선 사이트에 큰 금액 지갑을 연결하지 않는다.
다섯째, 서명 요청의 의미를 모르면 승인하지 않는다.
여섯째, 모르는 토큰이나 NFT와 상호작용하지 않는다.
일곱째, 큰 금액은 콜드월렛이나 별도 지갑에 보관한다.
여덟째, 전송 전 주소 앞뒤를 확인하고, 큰 금액은 소액 테스트를 먼저 한다.
아홉째, 텔레그램이나 디스코드에서 먼저 접근하는 고객센터를 믿지 않는다.
열째, 무료 보상과 긴급 인증 요청은 먼저 의심한다.
이런 습관이 암호화폐 사용에서 기본 방어선이 될 수 있다.
피싱을 당한 것 같으면 어떻게 해야 할까?
만약 시드 문구를 입력했거나, 위험한 서명을 했거나, 피싱이 의심된다면 빠르게 대응해야 한다.
먼저 해당 지갑을 더 이상 안전한 지갑으로 보지 않는 것이 좋다.
시드 문구가 유출되었다면, 새 지갑을 만들고 남아 있는 자산을 가능한 빨리 옮겨야 할 수 있다.
다만 이미 공격자가 자동화된 봇으로 자산을 감시하고 있을 수도 있기 때문에, 상황에 따라 대응이 어려울 수 있다.
토큰 승인 권한을 잘못 준 경우에는 승인 취소 도구를 이용해 권한을 철회할 수도 있다.
하지만 초보자에게는 이 과정도 조심해야 한다.
승인 취소 도구 자체가 가짜일 수 있기 때문이다.
따라서 공식적이고 신뢰할 수 있는 도구인지 확인해야 한다.
거래소 계정이 관련되어 있다면 즉시 거래소에 문의하고 출금 제한이나 보안 조치를 확인해야 한다.
피해가 크다면 수사기관 신고도 고려해야 한다.
피싱을 완전히 막을 수 있을까?
피싱을 완전히 막기는 어렵다.
공격 방식은 계속 바뀌고, 가짜 사이트는 점점 정교해지고, 사용자를 속이는 문구도 더 자연스러워진다.
하지만 기본 원칙은 크게 변하지 않는다.
시드 문구를 요구하면 의심한다.
모르는 사이트에 지갑을 연결하지 않는다.
서명 내용을 이해하지 못하면 승인하지 않는다.
무료 보상과 긴급 요청은 다시 확인한다.
큰 금액은 자주 쓰는 지갑에 두지 않는다.
암호화폐 보안은 복잡한 기술만의 문제가 아니다.
천천히 확인하는 습관이 가장 중요한 보안일 수 있다.
공부하면서 느낀 점
이번 글을 정리하면서 암호화폐 피싱이 단순한 해킹이 아니라는 생각이 들었다.
공격자는 블록체인을 직접 깨는 것이 아니라, 사용자가 스스로 위험한 행동을 하게 만든다.
시드 문구를 입력하게 만들고,
가짜 앱을 설치하게 만들고,
위험한 서명을 승인하게 만들고,
가짜 이벤트에 참여하게 만든다.
결국 피싱은 기술과 심리의 결합이다.
암호화폐에서는 사용자가 직접 자산을 관리하기 때문에, 이런 심리적 공격에 더 취약할 수 있다.
은행 계좌에서는 의심 거래가 있으면 은행이 막아줄 수도 있지만, 개인지갑에서는 내가 직접 조심해야 한다.
그래서 암호화폐를 공부한다는 것은 수익이나 기술만 배우는 것이 아니라, 스스로를 지키는 방법을 배우는 일이기도 하다.
아직 헷갈리는 것
이번 글을 정리하면서도 몇 가지 질문이 남았다.
지갑 연결과 위험한 서명을 초보자가 쉽게 구분할 수 있을까?
토큰 승인 권한은 어떻게 확인하고 취소할 수 있을까?
스마트컨트랙트 지갑은 피싱 피해를 줄일 수 있을까?
거래소 지갑은 개인지갑보다 피싱에 더 안전할까?
모바일 지갑과 브라우저 지갑 중 어느 쪽이 피싱에 더 취약할까?
일반 사용자가 블록체인 보안을 쉽게 이해할 수 있는 UI가 가능할까?
이 질문들은 앞으로 계속 공부해야 할 주제다.
다음에 공부할 것
암호화폐 피싱을 공부하다 보니, 지갑 연결과 서명 요청이 특히 중요하게 느껴졌다.
시드 문구를 입력하지 않아도, 잘못된 서명을 승인하면 자산이 위험해질 수 있다는 점이 아직 어렵다.
그래서 다음 글에서는 이 질문을 공부해보려 한다.
지갑 서명은 무엇이고, 왜 조심해야 할까?