본문으로 건너뛰기

복사-붙여넣기 범죄: 간단한 습관이 암호화폐 지갑에서 수백만을 빼앗는 방법

· 약 4분
Dora Noda
Dora Noda
Software Engineer

암호화폐를 보낼 때 여러분은 어떤 절차를 밟나요? 대부분은 거래 내역에서 수신자의 주소를 복사하는 것이죠. 0x1A2b...8f9E 와 같은 40자 문자열을 외우는 사람은 없으니까요. 모두가 사용하는 편리한 바로 가기입니다.

하지만 그 편리함이 정교하게 꾸며진 함정일 수도 있습니다.

블록체인 주소 중독이라는 파괴적인 사기가 바로 이 습관을 노리고 있습니다. 카네기 멜론 대학의 최신 연구에 따르면, 이 위협은 엄청난 규모에 이른다고 합니다. 이더리움과 바이낸스 스마트 체인(BSC) 네트워크만으로도 2년 동안 사기꾼들은 2억 7천만 건 이상의 공격을 시도했으며, 1천 7백만 명의 피해자를 겨냥해 최소 8,380만 달러를 탈취했습니다.

이는 틈새 위협이 아니라 오늘날 가장 크고 성공적인 암호화 피싱 수법 중 하나입니다. 작동 원리와 보호 방법을 살펴보겠습니다.

사기의 작동 원리 🤔

주소 중독은 시각적 트릭을 이용합니다. 공격자의 전략은 단순하지만 뛰어납니다.

  1. 유사 주소 생성: 공격자는 사용자가 자주 송금하는 주소를 파악한 뒤, 강력한 컴퓨터를 이용해 시작과 끝 문자가 정확히 일치하는 새로운 암호화 주소를 만들어냅니다. 대부분의 지갑과 블록 탐색기는 주소를 축약해서 표시하기 때문에(0x1A2b...8f9E), 사기 주소는 눈에 보기에 진짜와 동일합니다.

  2. 거래 내역에 “독” 주입: 다음으로 공격자는 그 유사 주소를 여러분의 지갑 내역에 넣어야 합니다. 이를 위해 “독” 거래를 보냅니다. 방법은 다음과 같습니다.

    • 소액 전송: 공격자는 유사 주소에서 아주 작은 금액(예: $0.001)을 보냅니다. 그러면 해당 주소가 최근 거래 목록에 나타납니다.
    • 무가치 전송: 더 교묘하게는 많은 토큰 계약에 존재하는 기능을 악용해, 여러분이 그 주소로 보낸 것처럼 보이는 0달러 전송을 만들어냅니다. 이렇게 하면 가짜 주소가 더욱 신뢰성을 얻게 됩니다.
    • 가짜 토큰 전송: “USDTT”(USDT가 아니라)와 같은 가치 없는 토큰을 만들어, 이전에 실제로 보낸 금액과 비슷하게 보이도록 전송합니다.

  3. 실수 기다리기: 이제 함정이 완성되었습니다. 다음에 정당한 상대에게 송금하려고 할 때, 여러분은 거래 내역을 스캔하고, 올바른 주소라고 생각되는 것을 복사해 전송합니다. 실수를 깨달았을 때는 이미 자금이 사라진 뒤이며, 블록체인의 불가역성 때문에 은행에 전화해도 되돌릴 방법이 없습니다.

범죄 조직의 실태 🕵️‍♂️

이것은 고독한 해커가 만든 것이 아닙니다. 연구에 따르면, 이러한 공격은 규모가 크고 조직적인 범죄 집단에 의해 수행됩니다.

목표 대상

공격자는 소액 계정을 낭비하지 않습니다. 그들은 다음과 같은 사용자를 체계적으로 노립니다.

  • 부유한 사용자: 스테이블코인 등 큰 잔액을 보유한 사람.
  • 활발한 사용자: 빈번하게 거래를 하는 사람.
  • 고액 거래자: 대규모 금액을 옮기는 사람.

하드웨어 무기 경쟁

유사 주소를 생성하는 것은 무차별 대입(brute‑force) 연산 작업입니다. 일치시킬 문자 수가 많을수록 난이도는 기하급수적으로 상승합니다. 대부분의 공격자는 일반 CPU로 어느 정도 설득력 있는 가짜 주소를 만들지만, 가장 정교한 범죄 조직은 한 차원 높은 하드웨어를 사용합니다.

이 최상위 그룹은 목표 주소의 20자까지 일치시키는 주소를 생성했습니다. 이는 일반 컴퓨터로는 거의 불가능한 수준이며, 연구진은 이들이 GPU 팜—고성능 게임이나 AI 연구에 쓰이는 대규모 그래픽 처리 장치—을 활용하고 있다고 결론지었습니다. 막대한 초기 투자에도 불구하고 피해자들로부터 빠르게 회수하기 때문에 비즈니스 모델이 성립합니다. 조직적인 범죄 집단이 운영하는 사업이 바로 여기 있습니다.

자산을 보호하는 방법 🛡️

위협은 정교하지만 방어는 간단합니다. 나쁜 습관을 끊고 더 경계하는 태도를 갖추면 됩니다.

  1. 모든 사용자에게 (가장 중요한 부분)

    • 전체 주소를 확인하세요. “확인” 버튼을 누르기 전, 주소 전체를 문자 하나하나씩 눈으로 확인하는 데 5초만 더 투자하세요. 앞뒤 몇 자리만 보는 실수를 피합니다.
    • 주소록을 활용하세요. 신뢰할 수 있는 주소를 지갑의 주소록이나 연락처에 저장하고, 송금 시 동적 거래 내역이 아니라 주소록에서 선택하도록 합니다.
    • 테스트 송금을 실행하세요. 큰 금액이나 중요한 결제일 경우, 먼저 소액을 보내 상대에게 도착했는지 확인한 뒤 전체 금액을 전송합니다.

  2. 지갑 개발자를 위한 제안

    • 사용자 인터페이스를 개선해 기본적으로 주소를 더 많이 표시하거나, 소액·무가치 전송만으로 상호작용한 주소에 대해 강력하고 명시적인 경고를 추가하도록 합니다.

  3. 장기적인 해결책

    • 이더리움 네임 서비스(ENS)와 같은 시스템을 활용하면 yourname.eth 같은 인간 친화적인 이름을 주소에 매핑할 수 있어, 이 문제를 근본적으로 차단할 수 있습니다. 널리 채택되는 것이 핵심입니다.

탈중앙화된 세계에서 여러분은 스스로 은행이자 보안 책임자입니다. 주소 중독은 편리함과 부주의를 노리는 조용하지만 강력한 위협입니다. 신중하게 두 번 확인함으로써 여러분의 소중한 자산이 사기꾼의 함정에 빠지는 일을 방지할 수 있습니다.

Share on Twitter