주소 포이즈닝: 한 번의 복사-붙여넣기로 수백만 달러를 앗아가는 은밀한 스캠
2025년 12월, 단 한 번의 복사-붙여넣기 실수로 어느 암호화폐 트레이더는 5,000만 달러를 잃었습니다. 스마트 컨트랙트 취약점 공격도, 프라이빗 키 유출도 아니었습니다. 피해자는 단순히 거래 내역에서 지갑 주소를 복사했을 뿐입니다. 그 주소는 진짜와 거의 똑같아 보였지만 실제로는 공격자의 것이었습니다. 디파이(DeFi)에서 가장 교활하고 과소평가된 공격 벡터인 주소 포이즈닝(Address Poisoning)에 오신 것을 환영합니다.
주소 포이즈닝이란 무엇인가?
주소 포이즈닝은 인간이 블록체인 주소와 상호작용하는 방식을 무기화하는 사회공학적 공격입니다. 코드의 취약점을 이용하는 기존 해킹과 달리, 이 스캠은 인간의 행동이라는 훨씬 더 근본적인 약점을 공략합니다.
실제 작동 방식은 다음과 같습니다:
- 감시: 공격자는 블록체인을 모니터링하여 정기적으로 전송이 발생하는 고액 자산 지갑을 찾습니다.
- 유사 주소 생성: Profanity2 또는 Vanity-ETH와 같은 GPU 가속 배너티 주소(vanity address) 생성 도구를 사용하여 피해자가 자주 사용하는 수신 주소의 앞 4
6자리와 뒤 46자리가 일치하는 지갑 주소를 생성합니다. - 이력 오염(History poisoning): 공격자는 유사 주소에서 피해자의 지갑으로 아주 적은 금액(종종 0원 또는 1센트 미만)의 트랜잭션을 보냅니다. 이를 통해 피해자의 거래 내역에 가짜 주소를 "심어" 둡니다.
- 함정 발동: 나중에 피해자가 자금을 보내야 할 때 거래 내역을 열어 평소 사용하던 수신 주소와 비슷해 보이는 주소를 찾아 복사하고 전송합니다. 자금은 공격자에게 직접 전달됩니다.
전체 공격에 드는 비용은 가스비 몇 센트에 불과하지만, 수익은 수백만 달러에 달할 수 있습니다.
규모가 엄청납니다
USENIX Security 2025에서 발표된 학술 연구는 이 위협의 실제 규모를 밝혀냈습니다. 2년의 측정 기간 동안 연구원들은 약 5,000만 개의 유사 주소를 사용하여 1,700만 개 이상의 고유 피해 주소를 대상으로 한 2억 7,000만 건의 포이즈닝 시도를 확인했습니다.
확인된 손실액은 이더리움에서만 8,380만 달러를 넘어섰습니다. 이는 문서화된 사례일 뿐이며, 많은 피해자가 신고하지 않거나 무슨 일이 일어났는지조차 인지하지 못하기 때문에 실제 수치는 거의 확실히 더 높을 것입니다.
후사카(Fusaka) 효과
2025년 12월 3일 이더리움의 후사카 업그레이드는 의도치 않게 주소 포이즈닝을 가속화했습니다. 트랜잭션 수수료를 약 6배 절감함으로써, 대규모 포이즈닝 캠페인을 실행하는 비용이 비약적으로 낮아졌습니다. 그 결과는 즉각적이었습니다:
- 일일 더스트 트랜잭션(dust transactions)이 16만 7,000건으로 급증했으며, 2026년 1월에는 하루 최고 51만 건을 기록했습니다.
- 포이즈닝 시도는 2025년 11월 62만 8,000건에서 2026년 1월 수백만 건으로 급증하여 두 달 만에 5배 이상 증가했습니다.
- **새로 활성화된 이더리움 주소의 67%**가 첫 거래에서 1달러 미만을 받았는데, 이는 체계적인 더스트 캠페인의 분명한 지표입니다.
후사카 이후 이더리움의 일일 트랜잭션은 약 50% 증가하고 활성 주소는 약 60% 증가했지만, 이러한 "성장"의 상당 부분은 유기적인 채택이 아닌 포이즈닝 봇에 의해 인위적으로 발생한 것이었습니다.
5,000만 달러 실수의 해부
현재까지 가장 치명적인 주소 포이즈닝 공격은 2025년 12월 20일에 발생했습니다. 한 암호화폐 트레이더는 먼저 올바른 주소로 소액의 테스트 트랜잭션을 보냈습니다. 이는 표준적인 보안 수칙이었습니다. 하지만 공격자가 이를 지켜보고 있었습니다.
몇 분 만에 공격자는 피해자의 목적지와 일치하는 유사 주소를 생성하고, 거래 내역을 오염시키기 위해 더스트 트랜잭션을 보낸 뒤 기다렸습니다. 불과 26분 후, 피해자는 거래 기록에서 오염된 주소를 복사하여 49,999,950 USDT를 공격자에게 직접 보냈습니다.
공격자는 정밀하게 움직였습니다:
- 30분 이내에 메타마스크 스왑(MetaMask Swap)을 통해 5,000만 달러 상당의 USDT 전액을 DAI로 교환했습니다. 이는 테더(Tether)가 플래그가 지정된 지갑의 USDT를 동결할 수 있는 반면, 탈중앙화된 DAI는 그러한 중앙 집중식 제어가 불가능하기 때문인 전략적 선택이었습니다.
- DAI를 약 16,690 ETH로 전환했습니다.
- 추적을 피하기 위해 ETH를 토네이도 캐시(Tornado Cash)에 입금했습니다.
피해자는 자금의 98% 반환을 요구하며 100만 달러의 화이트햇(white-hat) 현상금을 제안하는 온체인 메시지를 게시했습니다. 자금은 돌아오지 않았습니다.
Sillytuna 사례: 디지털 공격이 물리적 위협으로 변할 때
2026년 3월 5일, 암호화폐 인플루언서 "Sillytuna"는 Aave에서 주소 포이즈닝 공격을 통해 2,400만 달러 상당의 aEthUSDC를 잃었습니다. 공격자는 토큰을 신속하게 ETH로 스왑한 후 약 2,000만 달러의 DAI로 전환했고, 추적을 어렵게 하기 위해 자금 일부를 아비트럼(Arbitrum)으로 브릿징하기 시작했습니다.
하지만 이 사건은 디지털 절도에 그치지 않았습니다. Sillytuna는 공격 이후 무기와 납치 위협을 포함한 물리적 위협을 받았다고 보고했습니다. 피해자는 암호화폐 업계를 완전히 떠날 계획이라고 발표했습니다. 이 사건은 주소 포이즈닝이 알려진 암호화폐 보유자를 노리는 디지털-물리 복합 공격의 진입점이 될 수 있다는 공포스러운 확산을 보여주었습니다.
2026년의 다른 주요 사례는 다음과 같습니다:
- 4,556 ETH(1,240만 달러) 도난: 2026년 1월 30일, 일상적인 OTC 입금을 하던 피해자로부터 발생.
- 두 명의 피해자가 총 6,200만 달러 손실: 스캠 스니퍼(Scam Sniffer)에 따르면 2025년 12월에서 2026년 1월 사이 주소 포이즈닝으로 발생.
세 가지 공격 변종
연구원들은 각각 다른 기술적 메커니즘을 이용하는 세 가지 주요 포이즈닝 전략을 확인했습니다:
1. 소액 전송 공격 (Tiny Transfer Attacks)
공격자가 유사 주소에서 소액(대개 $ 10 미만)을 보냅니다. 이는 피해자의 거래 내역에 합법적으로 보이는 항목을 생성합니다. 공격자에게 실제 토큰 비용이 발생하지만, 설득력 있는 내역 항목을 만들어냅니다.
2. 제로 가치 전송 공격 (Zero-Value Transfer Attacks)
ERC-20 transferFrom 함수를 악용하여 공격자는 토큰을 전혀 소비하지 않고도 거래 로그에 표시되는 토큰 전송 이벤트를 생성할 수 있습니다. ERC-20 표준은 0원인 transferFrom 호출을 허용하며, 블록 탐색기와 지갑은 이를 정상적인 거래로 표시합니다. 이는 가장 저렴하고 흔한 변종입니다.
3. 위조 토큰 공격 (Counterfeit Token Attacks)
공격자는 합법적인 토큰(예: 가짜 USDT 또는 USDC)을 모방한 가짜 토큰 컨트랙트를 배포합니다. 그들은 유사 주소에서 가치 없는 위조 토큰을 전송하여, 많은 지갑 인터페이스에서 실제 전송과 동일하게 보이는 거래 내역 항목을 생성합니다.
전통적인 방어책이 계속 실패하는 이유
주소 포이즈닝은 블록체인 보안과 인간의 사용성 사이의 간극을 공략하기 때문에 지속됩니다:
- 멀웨어 불필요: 피싱이나 키로거와 달리 주소 포이즈닝은 피해자의 기기에 대한 접근 권한이 전혀 필요하지 않습니다
- 스마트 컨트랙트 취약점 없음: 블록체인 자체는 설계된 대로 정확하게 작동합니다 — 피해자가 진심으로 전송을 승인하는 것이기 때문입니다
- 약어 의존: 대부분의 지갑은 주소를
0xAbCd...EfGh와 같이 처음과 마지막 몇 글자만 보여줍니다. 공격자들은 특히 이 표시되는 부분들을 일치시킵니다 - 신뢰할 수 있는 소스로서의 거래 내역: 사용자들은 자신의 거래 내역을 신뢰할 수 있는 주소록으로 취급하며, 공개 블록체인에서 누구나 이를 조작할 수 있다는 사실을 깨닫지 못합니다
- 가역성 없음: 일단 확인되면 블록체인 거래는 되돌릴 수 없습니다. 전화할 고객 서비스도, 요청할 차지백(지불 취소)도 없습니다
방어 플레이북
보호에는 개인의 규율과 생태계 차원의 개선이 모두 필요합니다:
개인 사용자용
- 거래 내역에서 주소를 절대 복사하지 마세요. 항상 저장된 연락처, 공식 웹사이트 또는 수취인과의 직접적인 커뮤니케이션을 통해 원래의 검증된 소스에서 주소를 가져오세요.
- 전체 주소를 확인하세요. 시작과 끝부분뿐만 아니라 모든 문자를 확인하세요. 중간에 문자 하나만 달라도 완전히 다른 지갑을 의미합니다.
- 주소록을 철저히 사용하세요. 대부분의 지갑은 연락처 목록이나 주소 화이트리스팅을 지원합니다. 주소를 한 번 확인하면 저장하고, 항상 저장된 연락처를 통해 전송하세요.
- ENS 및 블록체인 도메인을 활용하세요. 이더리움 네임 서비스 (ENS) 이름인
yourname.eth와 같은 방식은 원시 주소를 직접 다룰 필요를 완전히 없애주어 복사-붙여넣기 위험을 획기적으로 줄여줍니다. - 테스트 거래를 보낸 후 신중하게 확인하세요. 테스트 거래는 좋은 습관이지만, 두 번째에 포이즈닝된 주소를 복사한다면 보호받을 수 없습니다. 테스트 후에는 수취인이 오프체인 채널을 통해 수령을 확인했는지 검증하세요.
생태계 수준의 솔루션
업계가 대응하기 시작했지만, 진전은 고르지 않았습니다:
- Trust Wallet은 2026년 3월에 32개의 EVM 체인에 대해 자동 주소 포이즈닝 방지 기능을 출시하여, 모든 발신 거래를 알려진 포이즈닝 주소와 실시간으로 대조합니다
- Ledger Live는 이제 기본적으로 제로 가치 토큰 전송을 숨겨, 일반적인 포이즈닝 시도가 거래 내역에 나타나기 전에 필터링합니다
- 지갑 수준의 경고: 여러 지갑이 이제 사용자의 내역에 있는 주소와 매우 유사하지만 일치하지 않는 주소로의 거래에 플래그를 표시합니다
- 클리어 사이닝 (Clear Signing) 이니셔티브는 사용자가 서명하기 전에 하드웨어 지갑 화면에서 전체 거래 세부 정보를 검토하고 확인하도록 요구합니다
업계에 여전히 필요한 것
이러한 개선에도 불구하고 여전히 중대한 간극이 존재합니다:
- 기본 활성화된 보호: 주소 포이즈닝 방어는 설정에 숨겨진 선택 기능이 아니라 모든 지갑에서 기본적으로 활성화되어야 합니다
- 전체 주소 표시: 지갑은 확인 단계에서 축약된 버전이 아닌 전체 주소를 보여주어야 합니다
- 교차 �체인 조정: 공격자들은 (Sillytuna 사례에서 보듯) 도난당한 자금을 체인 간에 점점 더 많이 브릿징하고 있습니다. 지갑 보호 기능은 처음부터 멀티 체인이어야 합니다
- 프로토콜 수준의 완화: ERC-20 컨트랙트를 업데이트하여 승인되지 않은 발신자의 제로 가치
transferFrom호출을 거부하도록 함으로써 프로토콜 수준에서 가장 저렴한 포이즈닝 변종을 제거할 수 있습니다
불편한 진실
주소 포이즈닝은 크립토의 설계 철학에 내재된 근본적인 긴장감을 드러냅니다. 블록체인을 강력하게 만드는 동일한 특성인 허가 필요 없음 (Permissionless), 불변성 (Immutability), 가명성 (Pseudonymity)은 사회 공학적 공격을 위한 완벽한 환경을 제공하기도 합니다. 누구나 어떤 주소로든 거래를 보낼 수 있습니다. 일단 전송되면 자금은 회수할 수 없습니다. 그리고 주소는 인간의 기억이 아닌 기계를 위해 설계되었습니다.
확인된 $ 8,380만 달러의 손실은 실제 비용의 일부에 불과할 것이 확실합니다. 많은 피해자는 자신이 포이즈닝되었다는 사실조차 깨닫지 못합니다. 다른 이들은 신고하기를 너무 부끄러워합니다. 그리고 이더리움의 Fusaka 이후 수수료 인하로 포이즈닝 캠페인이 그 어느 때보다 저렴해지면서, 공격 표면은 축소되는 것이 아니라 확장되고 있습니다.
지갑이 주소 검증을 나중에 덧붙이는 생각이 아니라 최우선 보안 사항으로 취급하기 전까지, 주소 포이즈닝은 다른 모든 것을 올바르게 수행한 사용자들로�부터 계속해서 수백만 달러를 갈취해 갈 것입니다.
블록체인 인프라를 구축하려면 애플리케이션의 기반을 신뢰해야 합니다. BlockEden.xyz는 여러 체인에 걸쳐 엔터프라이즈급 RPC 및 API 서비스를 제공하므로, 개발자는 노드 인프라 관리 대신 안전한 사용자 경험을 구축하는 데 집중할 수 있습니다. 시작하려면 API 마켓플레이스를 살펴보세요.