지갑 탈취 프로그램이란 무엇인가요? 암호화폐 탈취 프로그램은 어떻게 작동하나요?
시드 구문을 넘겨주지 않아도 모든 것을 잃을 수 있습니다. 월렛 드레이나(Wallet Drainer)를 사용하면 "승인" 버튼을 클릭하는 순간 모든 것을 잃게 됩니다. 무료 에어드롭을 제공하는 멋진 웹사이트를 떠올려 보세요. 지갑을 연결하면 서명 상자가 나타나고, 모든 dApp이 요구하는 대로 확인을 누릅니다. 몇 초 후, 암호화폐와 NFT가 사라집니다. 비밀번호도, 기기도 해킹당하지 않았습니다. 대부분 가스 비용도 들지 않고 완전히 무해해 보이는 서명으로, 사용자가 직접 도난을 승인한 것입니다. 이것이 바로 월렛 드레이나의 핵심 수법이며, 2024년 한 해에만 4억 9400만 달러를 훔치는 데 성공했습니다.
이 가이드에서는 지갑 도둑이 무엇인지, 도둑질이 정확히 언제 발생하는지, 범죄자들이 어떻게 이를 유료 서비스로 전환하는지, 얼마나 많은 돈을 훔쳐가는지, 그리고 거의 모든 지갑 도둑질을 막을 수 있는 두 가지 습관에 대해 자세히 설명합니다.
지갑을 털리는 사기 수법이란 무엇이며, 왜 효과적인가
지갑 탈취 프로그램은 컴퓨터에 조용히 자리 잡고 있는 악성 소프트웨어가 아닙니다. 이는 웹3를 위협하는 악성 dApp 중 하나인 악의적인 스마트 계약 또는 스크립트로, 친근한 프로그램처럼 위장하여 사용자를 속여 접근 권한을 획득한 후, 권한을 부여하는 순간 자산을 훔쳐가는 프로그램입니다. 탈취 프로그램은 거의 전적으로 탈중앙화 금융(DeFi) 환경에서 활동합니다. DeFi는 로그인 대신 서명을 통해 자금이 이동하는 플랫폼이며, 탈취 프로그램의 주요 목표는 바로 암호화폐 및 기타 암호화 자산입니다. 탈취 프로그램은 사용자의 개인 키를 추측하거나 암호화 기술을 해킹하지 않습니다. 단지 사용자가 거래 또는 승인에 서명하도록 유도하여, 그 권한을 악용하는 스마트 계약이 사용자의 자금에 접근할 수 있게 되는 것입니다.
일단 권한이 부여되면 나머지는 자동으로 진행됩니다. 드레이닝 공격자는 사용자의 지갑을 읽어 가장 가치 있는 토큰, NFT 및 기타 디지털 자산을 찾아내고, 전송을 구성하여 모든 자산을 공격자가 제어하는 주소로 이동시키는데, 이 과정은 종종 단일 블록 내에서 이루어집니다. 이러한 요청은 일반적인 Web3 작업으로 위장되어 있기 때문에 대부분의 피해자는 지갑이 이미 텅 비어 있을 때까지 무슨 일이 일어났는지 깨닫지 못합니다. 문제는 바이러스가 아니라, 사용자가 내용을 제대로 읽지 않고 부여하는 권한입니다.
지갑을 텅 비게 만드는 방법
모든 사기 수법은 동일한 흐름을 따릅니다. 유인, 서명, 그리고 마무리. 돈이 사라지는 곳은 바로 중간 단계이며, 거의 아무도 자세히 살펴보지 않는 단계입니다.
미끼
우선 함정에 걸려들어야 합니다. 사기꾼들은 가짜 에어드롭, NFT 발행, 토큰 청구 등을 미끼로 삼아 사람들을 압박합니다. 그들은 X 플랫폼의 인증된 계정을 해킹하고, 도용한 소셜 미디어 계정에서 링크를 게시하고, 텔레그램 과 디스코드에 메시지를 보내고, 스폰서 검색 광고를 구매하여 가짜 사이트가 진짜 사이트보다 상위에 노출되도록 합니다. 사기꾼들은 항상 긴급성, 한정 발행량, 또는 만료 기한이 있는 청구 등을 강조합니다. 사회공학적 수법은 생각할 시간이 없을 때 가장 효과적이기 때문입니다. 비밀번호나 로그인 정보를 노리는 기존의 피싱과는 달리, 드레이닝 사기는 사용자의 개인 정보를 전혀 필요로 하지 않습니다. 단지 사용자를 속여 가짜 사이트에 지갑을 연결하고 단 하나의 요청을 승인하도록 유도하면 됩니다. 이처럼 쉬운 진입 장벽 때문에 드레이닝 사기가 빠르게 확산되고, 아무리 신중한 사람이라도 한순간의 방심으로 속아 넘어가는 것입니다. 링크를 클릭하면 신뢰하는 프로젝트와 똑같이 생긴 가짜 사이트에 접속하여 지갑 연결을 요구받게 됩니다.
함정은 그 특징입니다.
이 부분이 중요합니다. 승인할 때는 단순히 "로그인"하는 것이 아니라 특정 권한에 서명하는 것이며, 그중 일부는 매우 위험합니다. ERC-20 토큰의 `approve()`는 무제한 사용 권한을 부여하여 계약이 해당 토큰을 영원히 사용할 수 있도록 합니다. `setApprovalForAll`은 컬렉션에 있는 모든 NFT를 한 번에 승인합니다. 가장 악랄한 것은 오프라인 Permit 또는 Permit2 서명입니다. 가스 비용이 들지 않고, 거래가 아닌 일반 메시지처럼 보이지만, 실제로는 전송을 승인합니다. 대부분의 사람들이 이러한 함정에 빠집니다. SlowMist의 분석 에 따르면, Permit 스타일 서명은 2024년 피싱 승인의 56.7%를 차지했는데, 이는 바로 이러한 서명이 아무런 위협도 되지 않기 때문입니다. 공격자들은 업그레이드된 기능도 노려 `setOwner`와 같은 잘 알려지지 않은 함수 호출을 악용하고, 이더리움의 Pectra 릴리스 직후에는 새로운 EIP-7702 위임 기능을 활용하기도 합니다.
배수구
서명하는 순간, 지갑 탈취범은 필요한 모든 정보를 얻게 되며, 두 번째 확인 절차도 없어 당신을 구할 수 없습니다. 목표는 단순하고 잔혹합니다. 당신이 반응하기 전에 자금을 훔치는 것입니다. 이미 당신의 자산을 파악했기 때문에, 즉시 이체를 실행하고 토큰은 단 한 블록 안에 사라집니다. 블록체인 거래는 최종적입니다. 은행에 연락할 필요도 없고, 취소할 수도 없습니다. 에어드롭이 "로딩 실패" 상태가 될 때쯤이면, 무단 이체는 이미 온체인에서 완료되어 있을 것입니다.
| 서명을 요청받는 내용 | 당신에게는 어떤 모습일까요? | 그것이 실제로 부여하는 것은 무엇인가 |
|---|---|---|
| ERC-20 `approve()` | 일상적인 토큰 승인 | 해당 토큰의 무제한 사용 |
| `setApprovalForAll` | "수집 승인" | 그 안에 있는 모든 NFT를 제어할 수 있습니다. |
| 허가증 / 허가증2 | 가스가 없는 서명 메시지 | 사용되기 전까지 온체인에 기록이 남지 않는 권한 이전 |
| `setOwner` / EIP-7702 | 낯선 프롬프트 | 계정 소유권 또는 위임 |
Drainer-as-a-Service(DaaS): 대시보드가 있는 범죄 관리 시스템
드레인어(Drainers)가 규모를 키운 것은 공격자들이 더 똑똑해졌기 때문이 아닙니다. 누군가가 그 도구를 상품화했고, 그로 인해 지갑 탈취가 가격표까지 공개된 조직적인 사이버 범죄로 변모했기 때문입니다.
DaaS 작동 방식
서비스형 랜섬웨어(Drainer-as-a-Service) 모델에서는 한 명의 개발자가 지갑 탈취 도구를 제작하고 유지 관리하며, 암호화폐 지갑을 대상으로 공격을 감행하려는 사람들에게 이를 임대합니다. 제휴 업체는 대개 기술 수준이 낮은 공격자이며, 피싱 공격을 담당합니다. 도구는 탈취를 처리하고, 수익은 개발자와 제휴 업체가 나눠 갖습니다. 수익 분배 방식은 랜섬웨어 공격 방식과 거의 동일합니다. 개발자는 탈취액의 약 20%를, 제휴 업체는 나머지 80%를 가져갑니다. 구매자는 이 수익 분배를 통해 기성 피싱 페이지, 제어판, 익명화 도구, 그리고 실제 고객 지원까지 제공받습니다. 코드를 한 줄도 작성할 줄 모르는 십 대 청소년도 점심시간 전에 전문적인 랜섬웨어 공격을 운영할 수 있는 것입니다.
인페르노, 핑크, 그리고 회전문
대표적인 사례들을 보면 그 규모가 드러납니다. 인페르노 드레이너(Inferno Drainer)는 2022년 말부터 2023년 말까지 활동하며 13만 7천 명이 넘는 피해자로부터 약 8천 7백만 달러를 갈취했는데, 이는 1만 6천 개 이상의 피싱 도메인을 통해 최소 100개의 암호화폐 브랜드를 사칭한 데 따른 것입니다. 핑크 드레이너(Pink Drainer)는 운영자들이 활동을 중단하기 전까지 약 8천 5백만 달러를 챙겼습니다. 여기서 패턴이 보입니다. 한 조직이 활동을 중단하면 사이버 범죄자들은 다른 조직으로 옮겨가고, 인페르노 드레이너 역시 "재활용된" 형태로 다시 나타났습니다. 한 운영자를 제거한다고 해서 시장 전체가 사라지는 것은 아닙니다. 시장은 서비스 자체이지 사기꾼이 아닙니다.
지갑을 털어가는 사람들은 얼마나 훔쳐갈까요?
총액 규모가 엄청나게 크고 변동이 심해서 오해하기 쉽습니다. 암호화폐 지갑을 털어가는 공격 한 번에 거래소 전체 해킹보다 더 많은 금액을 탈취할 수 있으며, 연간 수치도 크게 변동합니다.
가장 신뢰할 수 있는 정보원인 스캠 스니퍼(Scam Sniffer )는 연도별 피해 규모를 집계합니다. 2023년에는 32만 4천 명의 피해자가 발생하여 약 2억 9천 5백만 달러의 손실을 입었고, 2024년에는 67% 증가한 4억 9천 4백만 달러 로 급증했다가 2025년에는 약 8천 4백만 달러로 급격히 감소했습니다 . 이러한 감소세는 마치 긍정적인 결과처럼 보일 수 있지만, 실제로는 그렇지 않습니다. 이는 주로 온체인 활동 감소와 도구 회전율 둔화를 반영한 것이며, 초기 2026 버전에서는 이미 월별 급증세를 보였습니다. 기록상 가장 큰 규모의 단일 탈취 사례는 2024년 한 피해자로부터 5천 547만 달러 상당의 DAI가 유출된 사건입니다. 총 피해액이 얼마가 되든, 도난당한 암호화폐는 믹서와 탈중앙화 거래소를 통해 단 몇 분 만에 사라지기 때문에 거의 회수되지 않습니다.
| 년도 | 배수구에 의해 도난당함 | 피해자들 |
|---|---|---|
| 2023 | 2억 9550만 달러 | 324,000명 이상 |
| 2024 | 4억 9400만 달러 | 332,000 |
| 2025 | 8,385만 달러 | 106,106 |
피해자가 모두 초보자는 아닙니다. 마크 큐반은 사기꾼에게 약 90만 달러를 잃었습니다. 심지어 이더리움 공동 창립자 비탈릭 부테린조차 그의 X 계정이 해킹당해 가짜 코인 발행으로 팔로워들로부터 약 70만 달러를 빼앗겼습니다. 이런 사기에 속아 넘어간다면 "나는 절대 속지 않을 거야"라는 생각은 생각보다 훨씬 위험할 수 있습니다.
지갑을 텅 비게 만드는 사기꾼의 경고 신호
지갑을 텅 비게 만드는 사기꾼의 위험 신호는 거의 모두 "지금 당장 서명하세요"라는 요구와 관련이 있습니다. 이런 신호를 발견하면 속도를 늦추세요.
단 한 번의 구매만 원했는데 무제한 토큰 할당량을 요구하는 메시지가 뜨면 주의하세요. 특히 가스 요금이 부과되지 않고 내용을 제대로 읽을 수 없는 서명 요청은 더욱 조심해야 합니다. 이는 전형적인 가스 요금 미납 사기 수법입니다. "지금 신청하세요", "한정 수량 발행", 카운트다운 표시 등은 행운이 아니라 압박 전략으로 간주하세요. DM이나 텔레그램 그룹에 있는 링크는 절대 믿지 마세요. 사기꾼들이 실제 프로젝트보다 상위 광고 자리를 차지하기 위해 경쟁적으로 입찰하는 스폰서 검색 광고를 통해 dApp에 접속하지 마세요. 또한 도메인을 정확히 확인하세요. 글자 하나만 바뀐 유사 도메인은 사기 사이트에서 가장 흔하고 효과적인 수법입니다.
지갑을 탕진하는 사람들로부터 지갑을 보호하는 방법
모든 새로운 취약점을 추적할 필요는 없습니다. 두 가지 지루한 습관만으로도 거의 모든 정보 유출을 막을 수 있습니다.
하드웨어 지갑과 임시 지갑을 사용하세요
대부분의 암호화폐는 하드웨어 지갑에 보관하세요. 키는 오프라인 상태로 유지되고, 모든 거래는 하드웨어 지갑에 직접 접촉해야 하므로, 악의적인 사이트는 사용자가 하드웨어 지갑을 소지하지 않은 상태에서는 암호화폐를 이동시킬 수 없습니다. 그런 다음, 암호화폐 발행, 에어드롭, 그리고 잘 모르는 dApp 등을 위해 거의 비어 있는 "일회용" 지갑을 하나 더 만드세요. 이 일회용 지갑이 비워지더라도 큰 손실은 없을 겁니다. 메인 지갑을 임의의 웹3 사이트에 연결하는 습관은 이러한 범죄가 계속해서 수익을 창출하는 이유입니다.
모든 서명을 읽고 기존 서명은 취소하세요.
두 번째 습관은 서명하는 내용을 꼼꼼히 읽는 것입니다. 최신 지갑과 시뮬레이션 도구는 서명하기 전에 서명이 어떤 권한을 부여하는지 명확하게 보여줍니다. 이러한 도구를 활용하고, 내용을 이해하지 못하는 서명은 절대 하지 마세요. 그리고 더 이상 필요 없는 승인은 취소하세요. 취소 도구를 사용하면 토큰을 사용할 수 있는 모든 계약을 확인하고, 실수로 취소했던 계약을 삭제하여 공격자가 몇 달 후에 침입할 수 있는 경로를 차단할 수 있습니다. 사이트가 낯설다면 먼저 블록 탐색기에서 해당 계약을 확인해 보세요. 이력이 전혀 없는 완전히 새로운 계약은 전형적인 사기 수법입니다. 2021년에 승인했던 무제한 승인 계약도 직접 취소하기 전까지는 여전히 활성화되어 있을 수 있습니다.
지갑을 텅 비게 만드는 사기를 당했을 때 대처 방법
만약 이런 일이 발생한다면, 속도가 가장 중요합니다. 순서대로 진행하세요. 공격자가 아직 가져가지 않은 자금은 즉시 새롭고 안전한 지갑으로 옮기세요. 공격자는 종종 나머지 자금을 노리고 다시 돌아오기 때문입니다. 그런 다음, 탈취된 주소에 대한 모든 승인을 취소하여 남은 권한이 재사용되지 않도록 하세요. 해당 지갑은 폐기하고 영구적으로 사용을 중단하세요. 거래 해시값을 기록하고, 이러한 공격 구조를 파악하는 Chainabuse나 Scam Sniffer 같은 서비스에 주소를 신고하세요. 그리고 복구 가능성에 대해 솔직해지세요. 온체인 전송은 최종적이며 도난당한 자금은 거의 되찾을 수 없으므로, 진정한 승리는 피해를 신속하게 막는 것입니다.
지갑을 털려는 사기꾼은 열쇠가 아니라 서명을 필요로 합니다.
대시보드와 복잡한 프로그램 이름을 걷어내면, 지갑을 털어가는 사기꾼은 단 하나의 무기만 가지고 있습니다. 바로 당신이 승인하는 서명입니다. 서명만으로는 당신의 개인 키를 가져갈 수도 없고, 거래 체인을 끊을 수도 없으며, 당신이 확인 버튼을 누르기 전까지는 단 한 푼도 움직일 수 없습니다. 다행인 점은 사기꾼을 막는 방법도 마찬가지로 간단하다는 것입니다. 대부분의 지갑은 안전한 곳에 보관하고, "지갑 연결" 메시지가 뜨면 마치 낯선 사람이 당신의 개인 키를 요구하는 것처럼 생각하고, 서명하기 전에 권한 내용을 꼼꼼히 읽으세요. 이렇게만 한다면 수십억 달러 규모의 사기 산업은 당신의 화면 앞에서 정면으로 부딪힐 것입니다. 그러니 다음에 무료 암호화폐 발행 사이트에서 서명을 요청할 때는 단 하나의 중요한 질문을 스스로에게 던지세요. "내가 정확히 무엇을 승인하는 것인가?"
