"지갑 승인만 누르세요"... 가짜 팝업 하나에 코인 4,500만원 증발

코인 투자에 자신 있던 개발자

올해 33세인 정○○ 씨(가명)는 IT 기업에서 블록체인 관련 업무를 하는 개발자입니다. 2022년부터 암호화폐에 투자해왔고, 탈중앙화 금융(DeFi) 프로토콜을 활용해 스테이킹과 유동성 공급으로 꾸준히 수익을 올리고 있었습니다.

"저는 기술을 잘 아니까 사기에 당할 일은 없다고 생각했습니다."

정 씨의 지갑에는 이더리움, USDT 등 약 4,500만원 상당의 암호화폐가 보관되어 있었습니다. 지갑 보안에도 신경을 써서 하드웨어 지갑을 사용하고, 시드 구문은 오프라인에 보관하는 등 나름대로 철저한 보안 수칙을 지키고 있었습니다.

평소와 다름없던 그날의 거래

3월 초 어느 저녁, 정 씨는 평소 사용하던 DeFi 플랫폼에서 스테이킹 보상을 확인하려고 지갑을 연결했습니다. 그런데 갑자기 화면에 팝업 하나가 떴습니다.

"보안 업데이트가 필요합니다. 자산 보호를 위해 아래 버튼을 눌러 스마트 컨트랙트 권한을 갱신하세요. [승인]"

팝업은 플랫폼의 공식 UI와 똑같은 디자인이었습니다. 색상, 폰트, 로고까지 완벽하게 일치했습니다. 정 씨는 최근 해당 플랫폼이 실제로 보안 패치를 진행한다는 공지를 본 적이 있었기 때문에 의심하지 않았습니다.

"이런 건 자주 있는 일이니까요."

정 씨는 승인 버튼을 눌렀습니다. 메타마스크 지갑에서 트랜잭션 서명을 요청하는 창이 떴고, 별다른 의심 없이 확인을 눌렀습니다.

3분 만에 지갑이 텅 비었다

승인 버튼을 누른 직후, 정 씨의 화면에는 아무 변화가 없었습니다. "업데이트가 적용되었습니다"라는 메시지만 떴을 뿐이었습니다.

하지만 3분 뒤, 정 씨는 지갑 잔고를 확인하다가 심장이 멈추는 듯한 충격을 받았습니다.

"잔고: 0 ETH / 0 USDT"

4,500만원 상당의 모든 암호화폐가 사라져 있었습니다. 트랜잭션 기록을 확인하니, 그가 승인 버튼을 누른 바로 그 순간부터 자동화된 스크립트가 작동하여 지갑 속 모든 토큰이 알 수 없는 주소로 전송된 것이었습니다.

정 씨가 누른 것은 '보안 업데이트'가 아니라, 사기범이 만든 '승인 피싱(Approval Phishing)' 트랜잭션이었습니다. 이 트랜잭션은 정 씨의 지갑에 있는 모든 토큰에 대한 무제한 전송 권한을 사기범의 스마트 컨트랙트에 부여하는 것이었습니다.

"서명 내용을 자세히 읽지 않은 게 치명적이었습니다. approve 함수에 unlimited allowance가 설정되어 있었는데, 그걸 확인하지 못했습니다."

이런 수법을 조심하세요

정 씨를 속인 사기범들의 핵심 수법을 정리했습니다.

1. 승인 피싱(Approval Phishing)
가짜 팝업이나 알림을 띄워 사용자가 '승인' 버튼을 누르도록 유도합니다. 이 승인은 실제로는 사기범에게 지갑 속 자산의 전송 권한을 넘기는 트랜잭션입니다.

2. 공식 사이트 위장
DeFi 플랫폼, 거래소 등 공식 사이트와 똑같은 UI의 가짜 팝업을 만듭니다. DNS 하이재킹이나 광고 삽입을 통해 공식 사이트에서도 가짜 팝업이 뜰 수 있습니다.

3. 무제한 토큰 승인 악용
한 번의 승인으로 지갑 속 특정 토큰의 전체 잔고에 대한 전송 권한을 획득합니다. 피해자가 승인한 직후 자동화된 봇이 즉시 자산을 전송합니다.

4. 시의적절한 사회공학
실제 플랫폼의 보안 업데이트, 에어드롭 등의 이벤트와 타이밍을 맞춰 접근합니다. 사용자가 이미 기대하고 있는 상황을 악용합니다.

5. 자동화된 자산 탈취
승인 즉시 봇이 작동하여 수 분 내에 모든 자산을 빼냅니다. 피해자가 인지했을 때는 이미 자산이 여러 주소로 분산 이체된 뒤입니다.

피해 예방 체크리스트

• 트랜잭션 서명 전 반드시 approve 함수의 대상 주소와 허용량(allowance)을 확인하세요
• 무제한 승인(unlimited allowance)은 절대 허용하지 마세요. 필요한 금액만 승인하세요
• 주기적으로 Revoke.cash 등의 도구로 기존 토큰 승인 내역을 확인하고 불필요한 승인을 취소하세요
• DeFi 사이트 접속 시 URL을 직접 입력하거나 북마크를 사용하세요. 검색 광고 링크를 클릭하지 마세요
• 예상치 못한 팝업이 뜨면 일단 무시하고, 공식 디스코드나 트위터에서 진위를 확인하세요
• 큰 금액의 자산은 핫월렛에 보관하지 말고, 거래 시에만 필요한 금액만 옮겨두세요
• 지갑 활동 알림을 설정하여 비정상 트랜잭션을 즉시 감지하세요
• 새로운 컨트랙트와 상호작용할 때는 Etherscan 등에서 컨트랙트 코드를 먼저 확인하세요

피해를 당했다면

승인 피싱 피해를 당했다면, 즉시 다음 조치를 취하세요.

1. 잔여 자산 긴급 이동
- 피해 지갑에 남은 자산이 있다면 즉시 새로운 지갑으로 이동
- 같은 시드 구문으로 생성된 다른 주소의 자산도 옮기세요

2. 토큰 승인 취소
- Revoke.cash에서 해당 지갑의 모든 토큰 승인을 즉시 취소
- 사기범의 스마트 컨트랙트 주소를 확인하여 차단

3. 경찰 신고
- 경찰청 사이버수사국(182)에 신고
- 트랜잭션 해시, 사기범 주소 등 증거 보존

4. 거래소 협조 요청
- 사기범의 자금이 입금된 거래소에 동결 요청
- 블록체인 분석 업체를 통한 자금 추적

5. 커뮤니티 경고
- 해당 DeFi 프로토콜의 디스코드, 트위터에 사건 공유
- 다른 사용자들의 추가 피해 방지

최근 미국, 영국, 캐나다 법 집행 기관이 '작전 대서양(Operation Atlantic)'을 통해 승인 피싱 사기 조직 소탕에 나서면서, 2,000개 이상의 피해 지갑을 확인하고 약 7,000만 달러의 사기 피해를 차단한 바 있습니다.

이 사연은 2026년 3월 국제 법 집행 기관의 '작전 대서양' 발표 및 최근 승인 피싱 피해 사례들을 바탕으로 각색되었습니다. 피해자의 개인정보 보호를 위해 가명과 세부 사항을 변경했습니다.