🎣 피싱 Phishing

🏦 쉽게 풀면 — 가짜 은행 창구

사기꾼이 여러분이 다니는 은행과 똑같이 꾸민 가게를 차린다고 상상해 봐요. 로고도, 간판도, 직원 유니폼까지 완벽히 따라 했죠. 믿고 들어간 여러분이 계좌 정보를 건네면 끝입니다. 피싱은 이 수법을 온라인에서 그대로 씁니다. 공격자는 익숙한 로고와 사이트를 너무 정교하게 베껴서, 여러분이 스스로 정보를 넘기거나 크립토에서는 코인을 꺼내갈 수 있는 권한을 승인하게 만들어요. 기술적 취약점이 아니라 브랜드에 대한 신뢰를 노리는 거예요.

🎣 피싱 공격이 진행되는 방식

대부분의 공격은 몇 가지 단계를 따라요. 공격자는 실제 거래소·지갑·고객지원팀에서 온 것처럼 꾸민 메시지를 보내요. 그 메시지에는 진짜 사이트와 거의 구별이 안 되는 가짜 사이트 링크가 들어 있어요. 거기서 로그인 정보나 시드 구문을 입력하거나, 지갑을 연결하고 서명을 하면 공격자는 이미 필요한 걸 다 얻은 거예요.

🧊 크립토만의 함정

• 🧊 아이스 피싱(Ice Phishing) — 스마트 컨트랙트 토큰 승인 서명에 속는 수법이에요. 시드 구문은 한 번도 노출하지 않았는데, 그 승인 서명 하나로 공격자가 나중에 내 토큰을 마음대로 가져갈 수 있어요
• 📋 주소 오염(Address Poisoning) — 내가 자주 쓰는 주소와 거의 똑같이 생긴 주소에서 아주 소액(또는 0원)이 입금돼요. 이게 거래 내역을 오염시켜서, 나중에 내역에서 주소를 복사할 때 실수로 가짜 주소를 복사하게 만들어요(약 1억 5천만 원 피해 사례 보고)
• 🤖 지갑 드레이너(Wallet Drainer) — 악성 사이트에 지갑을 연결하는 순간 자동으로 지갑을 비워버리도록 만들어진 사기 툴킷
• 🎯 스피어 피싱(Spear Phishing) — 불특정 다수가 아니라 특정 고가치 타깃 한 명을 노리는 맞춤형 공격

📊 2024년 한 해 크립토 피싱으로 수억 달러가 탈취된 것으로 알려져 있어요. 집계 기관마다 수치가 달라 단일 수치는 참고용으로만 보세요.

🛡️ 초보자가 지킬 수 있는 방어법

• 🔑 시드 구문은 어디에도 입력하지 않기 — 진짜 지갑·거래소·고객지원팀은 절대로 시드 구문을 물어보지 않아요. 개인키도 인터넷에서 완전히 차단하세요
• 🔗 주소는 직접 입력하기 — 거래소나 지갑 사이트는 URL을 직접 타이핑하거나 북마크로 접속해요. 이메일·DM·광고 링크는 클릭하지 않는 게 원칙이에요
• ✍️ 서명하기 전에 내용 읽기 — 지갑 트랜잭션 승인 전, 실제로 무슨 권한을 주는지 확인하세요. 서명이 무조건 안전한 건 아니에요
• 📋 주소 복사할 때 꼭 확인하기 — 앞뒤 몇 자리를 반드시 대조하고, 거래 내역에서 복사한 주소는 특히 조심하세요

❓ 자주 묻는 질문

시드 구문은 절대 안 입력하는데, 그래도 피싱에 당할 수 있나요?

네. 크립토에서 더 위험한 함정은 트랜잭션 서명이나 토큰 승인에 속는 것입니다(아이스 피싱이라고 해요). 시드 구문을 노출하지 않아도, 그 서명 하나가 공격자에게 내 토큰을 옮길 권한을 줘서 지갑이 통째로 비워질 수 있어요.

피싱에 당하면 코인을 돌려받을 수 있나요?

거의 불가능합니다. 크립토 전송은 되돌릴 수 없고, 은행이나 카드처럼 취소·환불 수단이 없어요. 지갑을 떠난 자금은 공격자가 즉시 이동시킬 수 있어서, 일반 은행 계정보다 피싱 피해가 훨씬 치명적입니다.

주소 오염(address poisoning)이란 무엇인가요?

공격자가 내가 자주 쓰는 주소와 거의 똑같이 생긴 주소에서 아주 소액(또는 0원)을 전송해 거래 내역을 오염시킵니다. 나중에 내역에서 주소를 복사할 때 가짜 주소를 복사하게 되어, 코인을 사기꾼에게 보내게 돼요. 이 수법으로 약 1억 5천만 원(약 $111,726)을 잃은 피해 사례가 보고된 바 있어요.

🔗 관련 용어·코인