주소 포이즈닝: 수백만 달러의 피해를 야기하는 암호화폐의 숨겨진 위협
디지털 사각지대를 악용한 사기꾼으로 인해 단일 거래에서 거의 70만 달러 손실 발생
이번 주, 한 익명의 투자자가 "주소 포이즈닝"이라는 흔한 사기에 빠져 단일 거래에서 거의 70만 달러를 잃으면서 암호화폐 세계는 충격에 휩싸였습니다. 699,990 USDT(약 699,971달러)가 바이낸스 대신 사기꾼의 지갑으로 잘못 전송된 이번 사건은 암호화폐 사용자들이 거래를 관리하는 방식에 심각한 취약점이 있음을 보여줍니다.
주소 포이즈닝 사건을 추적해 온 한 블록체인 보안 연구원은 "지난 6개월 동안 이러한 공격이 기하급수적으로 증가하는 것을 보았습니다."라며 "이번 사건에서 특히 우려스러운 점은 손실 규모와 얼마나 쉽게 예방할 수 있었는지입니다."라고 말했습니다.
온체인 데이터에 따르면 피해자는 바이낸스 계좌로 자금을 입금하려고 시도했지만 합법적인 주소와 단 한 글자만 다른 사기 주소인 0x2c1134a046...6c7989c0b 대신 0x2c1133a557...b61c9d로 잘못 송금했습니다.
온체인 데이터는 블록체인의 공개 원장에 영구적으로 기록된 모든 정보를 의미합니다. 여기에는 주로 송신자 및 수신자 주소, 거래 금액, 타임스탬프와 같은 모든 블록체인 거래의 세부 정보가 포함됩니다.
블록체인 기록(해시: 0xa80805c97f5008637c4706b03316f61429ca3243f84b1124603ad2a9540915df)을 통해 확인된 이 거래는 올해 보고된 주소 포이즈닝으로 인한 가장 큰 개인 손실 중 하나입니다.
현대 암호화폐 강탈 해부
시스템을 손상시키거나 자격 증명을 훔치는 기존 해킹 방법과 달리 주소 포이즈닝은 인간의 심리와 사용자 인터페이스의 한계를 악용합니다. 이 사기는 사이버 보안 전문가들이 점점 더 시급하게 경고해 온 체계적인 각본을 따릅니다.
여러 주요 거래소의 자문 역할을 하는 디지털 포렌식 전문가는 "이들은 무작위적인 기회주의자가 아닙니다."라며 "주소 포이즈닝 갱단은 자동화된 도구를 사용하여 고가치 대상을 식별하고 기만적으로 유사한 주소를 대규모로 생성하는 정교한 조직입니다."라고 설명했습니다.
공격은 사기꾼이 고가치 거래를 수행하는 활성 지갑을 식별하면서 시작됩니다. 그들은 특수 소프트웨어를 사용하여 합법적인 목적지를 모방하도록 설계된 "베니티 주소"를 만듭니다. 이는 사용자가 거래를 수행할 때 시각적으로 확인하는 부분인 시작 및 끝 문자를 복제하는 데 중점을 둡니다.
암호화폐 베니티 주소는 이름이나 단어와 같이 원하는 문자열을 포함하도록 특별히 생성된 사용자 지정 개인 지갑 주소입니다. 이 프로세스를 통해 주소는 표준의 무작위로 생성된 주소에 비해 소유자가 더 쉽게 인식하거나 의미를 부여할 수 있습니다.
그런 다음 공격자는 대상 지갑으로 무시할 수 있는 양의 암호화폐를 보내 피해자의 거래 내역을 사기 주소로 "중독"시킵니다. 나중에 사용자가 이전에 사용한 주소를 복사하기 위해 내역을 참조할 때 부지불식간에 중독된 주소를 선택할 수 있습니다.
한 암호화폐 거래소 보안 자문은 "이 공격을 특히 교활하게 만드는 것은 미묘함입니다."라며 "멀웨어도, 피싱 이메일도, 기존 보안 경고를 트리거할 수 있는 어떤 것도 없습니다. 이는 인간이 정보를 처리하는 방식을 악용한 순수한 사회 공학적 공격입니다."라고 말했습니다.
강세장에서 증가하는 유행병
최근 70만 달러 도난 사건은 고립된 사건과는 거리가 멉니다. 업계 분석에 따르면 주소 포이즈닝 공격은 2025년에 급격히 증가했으며, 2월에 총 180만 달러의 손실이 발생한 후 3월에만 120만 달러 이상이 도난당했습니다.
표: 주요 블록체인에서 주소 포이즈닝 공격으로 인한 최근 월별 손실.
| 월/기간 | 블록체인 | 보고된 손실 | 출처/메모 |
|---|---|---|---|
| 2025년 3월 | 비트코인 | 120만 달러 | Cyvers, 업계 보고서 |
| 2025년 2월 | 비트코인 | 180만 달러 | Cyvers, 업계 보고서 |
| 2024년 12월 | 솔라나 | 310만 달러 | 보안 회사 보고서 |
| 2024년 8월 (누적) | 이더리움/BSC | 8,380만 달러 | 연구 (집계) |
| 2023–2024 (누적) | 이더리움 | 최대 1억 4,400만 달러 | 여러 출처, 집계 |
현재 강세장은 문제를 증폭시키는 것으로 보입니다. 거래량이 증가하고 새로운 사용자가 시장에 진입함에 따라 악용 기회가 늘어납니다. 서두른 거래와 보안 모범 사례에 대한 미숙함은 사기꾼에게 풍부한 표적 환경을 조성합니다.
일부 사례는 이번 주 사건보다 훨씬 더 심각했습니다. 지난 5월, 한 피해자가 실수로 7,100만 달러 상당의 랩트 비트코인을 포이즈닝된 주소로 보냈습니다. 해당 사건은 블록체인 수사관들이 도난을 추적할 수 있었던 후 공격자가 자금을 반환하는 희귀한 해피엔딩을 맞았지만, 대부분의 피해자는 자산을 회수하지 못합니다.
랩트 비트코인(WBTC)은 이더리움 블록체인의 ERC-20 토큰으로, 비트코인(BTC)을 1:1로 나타냅니다. 기본적으로 비트코인 보유자는 이더리움의 탈중앙화 금융(DeFi) 생태계 내에서 BTC를 사용할 수 있으므로 비트코인의 유동성을 다른 체인으로 효과적으로 가져올 수 있습니다.
한 블록체인 분석 전문가는 "지금 우리가 보고 있는 70만 달러 손실은 심각도 측면에서 중간 정도입니다."라며 "우리는 개인 손실이 수천 달러에서 수천만 달러에 이르는 것을 기록했습니다."라고 언급했습니다.
한 종합 연구에서는 이더리움 주소 포이즈닝 공격을 통해 최대 1억 4,400만 달러를 잃은 약 1,800개의 피해 주소를 확인했으며 확인된 손실은 9천만 달러였습니다. 더욱 놀라운 점은 연구원들이 이러한 공격에 사용된 피싱 주소의 98%를 단 4개의 단체가 통제하고 있다는 사실을 발견했습니다. 이는 기회주의적인 개별 사기꾼보다는 조직적인 범죄 조직을 시사합니다.
완벽한 폭풍: 낮은 수수료와 부적절한 안전 장치
두 가지 요소가 수렴되어 보안 전문가들이 주소 포이즈닝 공격에 대한 "완벽한 폭풍"으로 설명하는 것을 만들어냈습니다. 이는 역사적으로 낮은 거래 수수료와 지갑 인터페이스의 불충분한 보안 조치입니다.
최근 최저치를 보이는 이더리움 평균 가스 수수료 내역.
| 날짜 | 평균 가스 수수료 (Gwei) | 평균 거래 수수료 (USD) | 메모 |
|---|---|---|---|
| 2025년 4월 24일 | 4.083 Gwei | 0.5382 달러 | YCharts의 일일 평균. |
| 2025년 4월 17일 | 0.37 - 0.40 Gwei | - | Dencun 업그레이드에 기인한 2019년 중반 이후 최저 평균 가스 가격 수치. |
| 2025년 2월 15일 | - | 0.77 달러 (7일 이동 평균) | 달러 수수료는 이 시기에 4년 만에 최저치에 도달했습니다. |
| 2025년 2월 7-8일 | ~1 Gwei (또는 그 이하) | ~0.06 달러 | 수수료가 1 Gwei 미만으로 떨어져 네트워크 활동 감소 및 낮은 수요를 알렸습니다. |
| 2024년 3월 | > 90 Gwei | - | ETH 가격이 4,000 달러로 급등하면서 네트워크 활동이 활발함을 나타냅니다. |
| 2020년 | ~709.7 Gwei (최고) | ~196 달러 (최고) | 네트워크 활동 증가, DeFi 및 NFT 트렌드에 의해 높은 수수료가 발생했습니다. |
이더리움과 같은 네트워크의 가스 수수료가 감소함에 따라 공격자는 이제 최소한의 비용으로 수천 건의 "더스팅" 거래를 보낼 여유가 있습니다. Casa의 최고 보안 책임자인 Jameson Lopp은 이러한 저렴한 수수료 환경이 대규모 포이즈닝 캠페인을 경제적으로 실현 가능하게 만들어 공격을 직접적으로 장려한다고 관찰했습니다.
더스팅 공격은 많은 다른 블록체인 지갑으로 아주 적은 무시할 수 있는 양의 암호화폐("먼지")를 보내는 것을 포함합니다. 주요 목적은 일반적으로 이러한 더스팅된 자금의 후속 활동을 추적하여 사용자를 익명화하고 지갑 주소를 개인 또는 조직에 연결하는 것입니다.
한 암호화폐 보안 컨설턴트는 "2022년에는 단일 포이즈닝 거래를 보내는 데 20~30달러의 가스 수수료가 들었을 것입니다. 이제 공격자는 동일한 금액으로 수백 개의 주소를 포이즈닝할 수 있습니다."라며 "경제성이 사기꾼에게 유리하도록 극적으로 바뀌었습니다."라고 말했습니다.
동시에 많은 지갑 인터페이스와 암호화폐 플랫폼은 이 특정 위협 벡터에 대한 적절한 안전 장치를 구현하지 못했습니다. 사이버 보안 회사 Cyvers의 CEO인 Deddy Lavid에 따르면 업계 분석 결과 피해를 입은 사용자의 62%가 내장된 보안 검사 없이 자동화된 시스템에 의존한 것으로 나타났습니다.
많은 지갑의 인터페이스 디자인은 문제를 악화시킵니다. 가독성을 높이기 위해 주소는 일반적으로 처음과 마지막 몇 자(예: 0x123...abc)만 표시되도록 단축되어 포이즈닝된 주소를 한눈에 합법적인 주소와 거의 구별할 수 없게 만듭니다.
한 암호화폐 지갑 개발자는 "현재로서는 보안 문제만큼 사용자 인터페이스 디자인 실패입니다."라며 "사용자가 42자리의 16진수 문자열을 현실적으로 기억하거나 비교할 수 없다는 것을 알고 있다면 그렇게 할 필요가 없는 더 나은 시스템을 구축해야 합니다."라고 주장했습니다.
개인 손실을 넘어: 기관의 취약점
주소 포이즈닝은 개인 투자자에게만 국한되지 않습니다. 2025년 3월, 공격자들은 Arbitrum의 에어드롭 직후 해당 수령인의 지갑을 포이즈닝하여 930,000개의 ARB 토큰을 훔쳤습니다. 이 사건은 정교한 프로젝트조차도 이러한 비교적 간단한 공격의 희생양이 될 수 있는지에 대한 의문을 제기했습니다.
기관 투자자에게 더 우려스러운 점은 2025년 1분기에 발생한 Bybit 해킹이었습니다. 이 해킹은 주소 포이즈닝 기술만을 사용한 것은 아니지만 14억 달러의 손실을 초래했고 거래소 보안 관행에 대한 심각한 의문을 제기했습니다.
기관 암호화폐 투자자와 협력하는 위험 관리 컨설턴트는 "우리가 배우고 있는 것은 주소 확인이 업계 전체에서 여전히 중요한 취약점이라는 것입니다."라며 "개인 지갑에서 주요 거래소에 이르기까지 우리는 유사한 악용 패턴을 보고 있습니다."라고 말했습니다.
반격: 기술과 교육
주소 포이즈닝 공격이 더욱 만연해짐에 따라 기술적 및 교육적 대응책이 모두 등장하고 있습니다. 보안 전문가는 만장일치로 이번 주 70만 달러 손실을 방지할 수 있었던 몇 가지 모범 사례를 권장합니다.
가장 기본적인 보호는 단축된 주소의 시각적 패턴 일치에 의존하기보다는 전체 지갑 문자열을 문자별로 교차 확인하는 수동 주소 확인으로 남아 있습니다.
한 암호화폐 보안 교육자는 "항상 처음과 마지막 몇 글자뿐만 아니라 전체 주소를 확인하십시오."라며 "예, 지루하지만 돈을 지키느냐, 모두 잃느냐의 차이입니다."라고 강조했습니다.
일부 플랫폼은 사용자가 자금을 보낼 수 있는 사전 승인된 주소 목록을 만들 수 있는 화이트리스트 기능을 구현했습니다. 일단 설정되면 이러한 목록은 화이트리스트에 없는 주소로의 전송을 방지하여 포이즈닝 시도를 효과적으로 무력화합니다.
더욱 발전된 솔루션도 등장하고 있습니다. 여러 보안 회사가 실시간으로 거래를 검사하고 이전에 사용한 주소와 매우 유사한 의심스러운 주소에 플래그를 지정할 수 있는 AI 기반 도구를 개발하고 있습니다. 이러한 시스템은 거래 패턴을 분석하고 자금이 전송되기 전에 잠재적인 포이즈닝 시도를 식별할 수 있습니다.
인공 지능, 특히 머신 러닝은 금융 거래 패턴을 분석하여 이상 징후를 식별합니다. 이는 기존 금융과 암호화폐 보안과 같은 새로운 영역 모두에서 잠재적인 사기 행위를 탐지하는 데 도움이 됩니다.
안티 포이즈닝 기술을 개발하는 개발자는 "머신 러닝 알고리즘은 인간이 놓칠 수 있는 미묘한 패턴을 감지할 수 있습니다."라며 "우리는 이전에 사용한 주소와 의심스러울 정도로 유사하지만 악의적인 의도를 시사하는 방식으로 다른 주소를 인식하도록 모델을 훈련하고 있습니다."라고 설명했습니다.
기로에 선 산업
암호화폐 산업은 주소 보안과 관련하여 중요한 시점에 서 있습니다. 기본 블록체인 기술은 안전하게 유지되지만 인간 인터페이스 계층은 보안 체인에서 가장 약한 링크가 되었습니다.
여러 주요 프로젝트에 자문을 제공하는 한 암호화폐 보안 컨설턴트는 "지금은 지갑 개발자에게 중요한 순간입니다."라며 "업계는 사용자가 긴 16진수 문자열을 수동으로 확인하도록 기대하는 것이 비현실적이고 위험하다는 점을 인정해야 합니다."라고 말했습니다.
일부 전문가는 16진수 주소를 완전히 버리고 사람이 읽을 수 있는 주소를 사용하거나 고가치 거래에 대한 다단계 확인을 구현하는 등 보다 급진적인 솔루션을 제안했습니다. 다른 사람들은 이전에 사용한 주소와 매우 유사하지만 일치하지 않는 주소로 자금을 보내려고 할 때 사용자에게 경고하는 표준화된 경고 시스템을 옹호합니다.
한 블록체인 보안 연구원은 "인터페이스 수준에서 이 문제를 해결할 때까지 수백만 달러가 계속 손실될 것입니다."라며 "이러한 공격을 방지하는 기술은 존재합니다. 부족한 것은 구현과 표준화입니다."라고 경고했습니다.
이번 주 70만 달러 도난 사건에 대한 조사가 계속됨에 따라 피해자는 암호화폐의 가장 만연한 보안 문제 중 하나가 된 사건의 희생자 목록에 합류했습니다. 블록체인 기술 자체는 직접적인 공격에 매우 강하지만 주소 포이즈닝은 때로는 가장 효과적인 악용이 기술이 아닌 기술을 사용하는 사람들을 대상으로 한다는 것을 보여줍니다.
디지털 자산 보안 컨설턴트는 "이것이 2025년 암호화폐 보안의 역설입니다."라며 "우리는 거의 해킹할 수 없는 시스템을 구축했지만 화면에 주소를 표시하는 방식 때문에 수백만 달러가 손실되는 것을 보았습니다. 해결책은 더 많은 암호화가 아니라 더 나은 디자인입니다."라고 되돌아봤습니다.