주소 도용 사기: 수법 및 예방 방법
평소처럼 암호화폐를 송금하는 상황을 상상해 보세요. 지갑을 열고 거래 내역을 확인한 후, 수없이 사용했던 주소를 복사해서 붙여넣고 전송 버튼을 누릅니다. 몇 초 만에 송금이 완료됩니다. 하지만 문제는 그 돈이 당신의 주소와 거의 똑같은 주소를 만들어낸 낯선 사람에게 전달되었다는 것입니다. 블록체인은 당신이 지시한 대로 정확하게 작동했습니다. 간단히 말해, 이것이 바로 주소 포이즈닝(Address Poisoning)입니다. 도난당한 키도, 악성코드도 아닌, 당신의 거래 기록에 가짜 당신의 정보가 심어져 있는 것입니다. 이 가이드에서는 이 사기의 작동 방식, 세 가지 유형, 실제 피해액, 그리고 잘못된 곳으로 송금하기 전에 주소 포이즈닝 사기를 예방할 수 있는 몇 가지 습관에 대해 설명합니다.
주소 도용이란 실제로 무엇인가
주소 포이즈닝은 암호화 기술 자체를 공격하는 것이 아니라, 사용자의 메모리와 화면을 노리는 피싱 공격입니다. 개인 키는 절대 건드려지지 않으며, 데이터가 유출되거나 복호화되거나 해킹되는 일도 없습니다. 이 사기는 인간의 게으른 습관을 이용합니다. 블록체인 주소 는 길고 읽기 어려운 문자열(예: 0x4a3f...c91d)이기 때문에, 대부분의 사람들은 전체 주소를 읽지 않습니다. 처음 네 글자와 마지막 네 글자만 확인하고는 대수롭지 않게 넘깁니다.
그 무관심한 태도가 바로 취약점의 핵심입니다. 눈에 보이는 특수 문자를 공유하는 주소를 만들어 이미 그 주소를 신뢰하는 사람에게 보여주면, 실수로 돈을 받을 가능성이 상당히 높아집니다. 더 잔인한 것은 그 다음에 벌어지는 일입니다. 온체인 전송은 최종적이기 때문에 은행에 연락하거나 취소할 방법이 없습니다. 확인하는 순간 돈은 다른 사람의 것이 됩니다. 전통적인 금융에서 사람들을 구제하는 보험이나 환불 같은 안전장치는 여기서는 존재하지 않습니다. 주소 조작은 블록체인을 파괴하는 것이 아닙니다. 단지 당신의 주의를 분산시키고, 그 주의를 피해간 블록체인이 정확히 그 일을 저지르도록 만드는 것입니다.
암호화폐에서 주소 포이즈닝 공격은 어떻게 작동할까요?
결과가 마법처럼 느껴지지만, 그 메커니즘은 평범합니다. 주소 오염 공격이 성공하면 블록체인을 연구하는 사람이라면 누구나 재현할 수 있는 세 단계로 진행됩니다.
1단계: 유사 주소 생성
먼저 공격자는 목표물을 선택하는데, 대개 자금이 자주 오가는 주소를 노립니다. 그런 다음, 가짜 주소 생성기를 실행합니다. 이 소프트웨어는 피해자가 정기적으로 송금하는 주소와 시작과 끝 부분이 같은 키 쌍을 찾을 때까지 후보 키 쌍을 무작위로 처리합니다. 몇 개의 문자만 일치시키는 것은 비용이 적게 드는데, 바로 이 점이 문제입니다. 이더리움의 후사카 업그레이드로 수수료가 낮아진 후, 한 분석에 따르면 공격자들이 약 5,175달러에 불과한 금액으로 300만 건의 가짜 송금을 실행한 것으로 나타났습니다. 이처럼 저렴한 가격이라면, 가짜 주소 생성은 단순한 강도 행위가 아니라 마치 공장처럼 대량 생산되는 셈입니다.
2단계: 거래 내역 조작
다음으로 공격자는 사용자의 거래 내역에 유사한 주소를 심어 마치 이전에 거래한 적이 있는 것처럼 보이게 합니다. 공격자는 소량의 실제 토큰을 보내거나, 가치가 없는 전송을 유도하거나, 가짜 토큰을 전송할 수도 있습니다. 어떤 방식으로든 목표는 동일합니다. 가짜 주소가 실제 주소와 동일한 첫 글자와 마지막 글자를 사용하여 거래 내역에 나란히 기록되도록 하는 것입니다.
3단계: 복사 붙여넣기 함정
그런 다음 그들은 기다립니다. 다음에 평소처럼 수취인에게 돈을 보내려고 할 때, 편의상 최근 거래 내역에서 주소를 그대로 복사합니다. 보이는 글자는 일치하고, 이상한 점은 없어 보이므로 전송합니다. 이렇게 자동적으로 처리하다 보면 의도했던 주소 대신 가짜 주소로 토큰을 실수로 보낼 수 있습니다. 블록체인은 전송 자체는 정확하게 처리하지만, 받는 사람은 잘못된 사람입니다. 이것이 바로 주소 조작이 '복사 붙여넣기 함정'이라고 불리는 이유이며, 경험이 많고 신중한 사용자든 초보자든 누구에게나 쉽게 통하는 이유입니다. 이 기법이 효과적인 이유는 타이밍 때문입니다. 조작된 주소는 실제 거래 후 몇 분 안에 삽입되는 경우가 많아, 가짜 주소가 진짜 주소가 있을 거라고 예상하는 바로 그 자리에 위치하게 됩니다. 사용자는 부주의해서가 아니라 효율적으로 처리하려고 하는 것이고, 공격자는 바로 이러한 효율성을 노리는 것입니다.
주소 오염의 세 가지 유형
2025년 카네기 멜론 대학의 학술 연구는 실제 공격을 세 가지 유형으로 분류했습니다. 이러한 유형은 가짜 주소를 심는 방식에 따라 달라지며, 이는 사용자의 거래 내역에서 무엇을 경계해야 하는지를 결정합니다.
| 유형 | 가짜 주소를 심는 방법 | 그 이야기 |
|---|---|---|
| 미세한 (먼지) 이동 | 유사 주소에서 발송된 실제 금액이지만 극히 작은 토큰 금액 | 사소하고 예상치 못한 수입 |
| 제로 가치 전송 | 토큰이 "0"개 전송되었더라도 기록에는 전송 이벤트로 기록됩니다. | 발신인 주소로 본인의 주소를 표시합니다(값 0). |
| 위조 토큰 | 실제 토큰을 모방한 가짜 계약(위조된 USDT 또는 USDC) | 토큰 이름은 맞는 것 같은데, 컨트랙트 주소는 틀렸네요. |
세 가지 유형 중, 가치가 0인 토큰 전송 공격은 주소 오염 공격의 변형으로, 마치 본인의 주소에서 온 것처럼 보일 수 있어 사람들을 가장 혼란스럽게 합니다. 일부 토큰 계약은 소유자의 허가 없이 누구나 0 토큰에 대한 "전송" 이벤트를 발생시킬 수 있도록 허용하기 때문에 공격자는 이를 악용하여 지갑에 허위로 표시할 수 있습니다. 과거에는 BNB 스마트 체인이 낮은 수수료 덕분에 이더리움보다 훨씬 더 많은 공격 시도를 받았지만, 후사카의 수수료 인하 이후 상황이 역전되어 대부분의 공격이 이더리움으로 옮겨갔습니다.
주소 독살로 얼마나 많은 돈이 훔쳐지는가?
주소 포이즈닝은 언뜻 보기엔 사소한 오차처럼 보이지만, 실제로 계산해 보면 심각한 문제가 될 수 있습니다. 아래 수치는 의도적으로 오래된 자료입니다. 암호화폐 업계에서는 수치 변동이 매우 빠르기 때문에 작년 수치는 문제의 심각성을 제대로 반영하지 못하고 있습니다.
| 사례 또는 측정 | 양 | 언제 | 결과 |
|---|---|---|---|
| 카네기멜론/유세닉스 연구 (ETH + BSC) | 2억 7천만 건의 시도, 8,380만 달러 손실, 1,700만 명의 피해자 | 2022년 7월부터 2024년 6월까지 | 지금까지 진행된 연구 중 가장 큰 규모 |
| 비트코인 고래 포장 | 약 6,800만 달러가 닮은꼴에게 보내졌다 | 2024년 5월 | 자금 반환됨; 공격자는 약 149만 달러를 챙겼다 |
| 단일 USDT 피해자 | 4,990만 달러 | 2025년 12월 | 토네이도 캐시를 통해 자금 세탁됨 |
| 이더리움 손실 (스캠스니퍼) | 6200만 달러 | 2025년 12월부터 2026년 1월까지 | 두 달 합계 |
몇몇 사례는 잠시 살펴볼 가치가 있습니다. 2024년 5월, 약 6,800만 달러를 잃을 뻔했던 래핑 비트코인 피해자는 공격자가 자금 세탁과 협상 끝에 대부분의 금액을 돌려주고 약 149만 달러를 챙겨가는 바람에 결국 자금을 되찾았습니다. 조사 결과, 이 단일 공격 캠페인은 82,031개의 위조된 주소와 연관된 것으로 밝혀졌습니다. 하지만 이렇게 운이 좋은 경우는 드뭅니다. 2025년 12월, 4,990만 달러 상당의 USDT 피해자는 돈이 토네이도 캐시로 사라져 버렸고, 되찾을 방법도, 구제할 방법도 찾지 못했습니다.
진정으로 우려스러운 부분은 바로 이러한 추세입니다. 후사카 업그레이드로 이더리움 수수료가 인하된 후, 네트워크에 대한 월간 스푸핑 공격 시도가 5배 이상 급증했으며, 2026년 1월 시티은행은 이더리움의 일일 거래량 최고 기록인 280만 건이 실제 경제적 거래보다는 스푸핑 스팸 공격에 의한 것이라고 지적했습니다 . 2020년 초까지 업계 추산 누적 손실액은 약 5억 달러에 달했습니다. 저를 불안하게 하는 것은 사기의 교묘함이 아니라 그 비용입니다. 단 몇천 달러의 수수료로 수백만 건의 공격 시도를 할 수 있고, 공격자는 단 한 번의 공격만으로도 큰 피해를 입힐 수 있습니다.
중독 vs 스푸핑 vs IP 중독
'포이즈닝(Poisoning)'이라는 단어가 매우 다양한 공격을 포괄하는 데 사용되기 때문에, 이를 구분하는 것이 중요합니다. 여기서 다루는 '주소 포이즈닝'은 사용자의 거래 내역에 유사한 주소를 심어놓는 암호화폐 사기를 의미합니다. '주소 스푸핑'은 더 광범위한 개념으로, 일반적으로 메시지나 거래의 발신자를 위조하여 다른 사람을 사칭하는 것을 말합니다. 그리고 사람들이 종종 실수로 검색하는 'IP 포이즈닝'은 ARP 포이즈닝이나 DNS 캐시 포이즈닝과 같은 네트워크 공격을 지칭하며, 암호화폐 지갑 과는 전혀 관련이 없습니다. 같은 동사를 사용하지만, 서로 관련 없는 세 가지 공격 유형입니다.
주소 악용으로부터 자신을 보호하는 방법
주소 포이즈닝 공격에 대한 거의 모든 방어책은 한 가지 규칙으로 요약됩니다. 바로 자신의 거래 내역을 절대 신뢰하지 말고, 거래 내역에서 주소를 직접 복사하지 말라는 것입니다. 가짜 주소는 바로 사용자가 주소를 확인하는 곳에 숨어 있기 때문입니다. 이러한 원칙을 몇 가지 습관으로 익히면 공격은 대부분 막을 수 있습니다.
주소 전체를 확인해야 하며, 이름과 성만 확인해서는 안 됩니다.
전체 문자열을 확인하거나, 최소한 중간 부분과 양 끝 부분을 충분히 확인하세요. 공격자는 처음과 마지막 몇 글자는 쉽게 일치시킬 수 있지만, 중간 부분의 긴 문자열을 일치시키는 것은 훨씬 어렵습니다. 대부분의 최신 지갑은 EIP-55 체크섬 표준을 따르며, 새로운 표시 방식은 주소의 더 많은 부분을 강조 표시하여 불일치를 더 쉽게 발견할 수 있도록 합니다.
주소록을 사용하세요. 절대로 과거를 복사하지 마세요.
신뢰할 수 있는 출처에서 주소를 확인한 후 각 수신자의 주소를 한 번만 저장해 두세요. 그런 다음 최근 거래 내역에서 주소를 복사하는 대신 저장된 연락처를 사용하여 송금하세요. MetaMask와 같은 지갑에서는 이를 '연락처'라고 부릅니다. 원리는 모든 지갑에서 동일합니다. 저장된 연락처 정보는 수신 송금으로 인해 손상될 염려가 없으며, 이것이 바로 이 기능의 핵심입니다.
테스트 거래, 하드웨어 화면 및 지급 허용 목록
큰 금액을 송금할 때는 먼저 소액을 테스트 전송하여 수취인 주소가 정확한지 확인한 후 나머지 금액을 보내세요. 몇 센트의 수수료는 수백만 달러에 달하는 큰 실수를 방지하는 저렴한 보험과 같습니다. 하드웨어 지갑 도 도움이 되는데, 하드웨어 지갑은 실제 수취인 주소를 별도의 화면에 표시해 주기 때문에 컴퓨터의 악성코드가 몰래 주소를 변경할 수 없기 때문입니다. 특히 암호화폐 지급을 빈번하게 처리하는 기업은 주소를 복사해서 붙여넣는 작업을 매일 반복하고, 이 작업을 직원들에게 맡기는 경우가 많아 스푸핑 공격에 취약합니다. 따라서 미리 승인된 허용 목록(시스템이 절대 벗어나지 않는 검증된 수취인 목록)으로 지급 주소를 고정하면 인적 오류 발생 가능성을 완전히 제거할 수 있습니다. 암호화폐 결제 게이트웨이를 이용하는 경우, 이러한 이유로 게이트웨이가 출금 주소를 고정하는지 확인하세요.
지갑과 거래소는 무엇을 하고 있는가
도구들이 점차 발전하고 있지만, 앞서 언급한 습관들을 완전히 대체할 수는 없습니다. 이더스캔(Etherscan)과 같은 블록 탐색기는 이제 가치가 0인 이체를 숨기거나 표시하여 거래 내역이 복잡해지는 것을 방지합니다. 레저 라이브(Ledger Live)와 트레저 스위트(Trezor Suite)는 의심스러운 항목을 필터링하고, 트러스트 월렛(Trust Wallet)은 2026년 3월 32개 블록체인에 걸쳐 자동 주소 포이즈닝(address poisoning) 방지 기능을 도입했습니다 . 중앙 집중식 거래소 역시 사용자가 동일한 입금 주소를 반복적으로 사용하기 때문에 유사한 위험이 존재하며, 이러한 주소 포이즈닝은 큰 손실로 이어질 수 있습니다. 하지만 이러한 기능들도 완벽한 것은 아닙니다. 작정하고 공격하는 자는 아직 필터를 통과하지 못한 새로운 유사 주소를 심어 넣을 수 있습니다. 따라서 이러한 도구들은 안전을 보장하는 것이 아니라, 오히려 안전장치 역할을 합니다. 이러한 모든 기능은 사용자의 주의를 요하는 안전망으로 생각해야 하며, 절대 스스로의 주의를 대체하는 것으로 여겨서는 안 됩니다.
누가 표적이 되는가, 그리고 핵심은 무엇인가
이런 사기에 속는 사람은 부주의한 초보 사용자뿐이라고 생각하기 쉽지만, 실제 데이터는 정반대입니다. 가장 큰 피해는 활발하게 자금을 이체하고 주소를 입력할 때 두 번 확인하지 않고 빠르게 붙여넣는 습관이 있는 숙련된 송금인과 기업에서 발생합니다. 주소 조작 사기는 비용이 저렴하고, 성공하면 피해가 막대하며, 우리 대부분이 공유하는 습관을 악용하기 때문에 매우 효과적인 사기 수법입니다. 이 사기의 진정한 해결책은 바로 인식입니다. 사기 수법이 존재한다는 것을 알게 되면, 주소를 정확하게 확인하는 것만으로도 사기를 피할 수 있기 때문입니다. 중요한 것은 사기 수법을 이해하는지 여부가 아니라, 새벽 2시에 휴대폰으로 이미 수백 번 송금했던 사람에게 돈을 보내려 할 때에도 사기를 알아차릴 수 있는지 여부입니다.
