사용자를 속여 거래에 서명하게 해 범죄자가 피해자의 지갑에서 토큰을 빼낼 수 있는 권한을 부여받는 '거래승인' 피싱이 가상자산 업계에서 횡행하고 있다. 올해 피해액만 4천850억원 규모에 달한다는 분석이 나왔다.
블록체인 데이터 분석 기업 체이널리시스는 ‘2024 가상자산 범죄 보고서 – 피싱 스캠’을 발표하면서 이같이 밝혔다.다.
보고서에 따르면, 지난 2년간 거래 승인 피싱이 급증했으며 올해 피해액만 최소 3억7천400만 달러(약 4천850억원)로 나타났다. 거래승인 피싱은 피해자가 자신도 모르게 두번째 주소를 승인하게 한 다음 범죄자들이 이 두 번째 주소를 이용해 새로운 목적지로 자금을 빼돌리는 게 일반적인 패턴이다.
거래승인 피싱은 과거 허위 가상자산 앱을 통해 불특정 다수를 범행 대상으로 삼았다. 하지만 최근에는 특정 인물에게 집중하고 관계를 구축해 악의적인 블록체인 거래에 서명하도록 유도하는 방식으로 전술을 바꿨다. ‘로맨스 스캠’이 이런 수법의 대표적인 사례다.
거래승인 피싱은 특히 이더리움과 같은 스마트컨트랙트 지원 블록체인의 디앱에서 자주 목격된다. 거래승인 피싱 범죄자들이 많은 가상자산 사용자가 디앱에서 거래승인 절차에 서명하는 데 익숙하다는 점을 악용하기 때문이다.
예를 들어 범죄자들이 허위 유니스왑 승인 피싱 스캠을 홍보하고, 위조된 이더스캔 페이지에서 지갑을 연결하도록 사용자를 속이는 방식이다.
체이널리시스 조사 결과, 로맨스 스캠 수법을 사용한 것으로 알려진 주소를 역추적해 거래승인 피싱에 연루된 1천13개의 주소를 확인했다. 이를 통해 2021년 5월 이후 거래승인 피싱 스캠으로 인한 피해 규모를 약 10억 달러(약 1조 2천974억원)로 추정했다. 로맨스 스캠의 신고가 저조한 특성을 고려하면 실제 규모가 과소평가됐을 가능성이 높다고 봤다.
거래승인 피싱 스캠으로 범죄자들이 벌어들인 수익은 지난해 5월 최고조에 달했으며, 지난해 손실액은 5억1천680만 달러(약 6천704억원)로 추정되며, 올해는 11월까지 손실액이 3억7천460만 달러(약 4천858억원)로 조사됐다.
관련기사
- "같이 코인 채굴하자"…'로맨스 스캠' 피해 급증2023.02.22
- "가상자산=하마스 주 수입원? 과장된 주장"2023.10.22
- 기관 투자 막힌 韓 가상자산 시장, 거래소 비중 커2023.10.10
- 인도, 가상자산 시장 2위..."규제 강해도 수요 폭발"2023.09.20
성공률이 높은 소수의 범죄자들이 이런 스캠의 대부분을 주도하는 것으로 나타났다. 가장 많이 성공한 거래승인 피싱 주소에서만 4천430만달러(약 575억원)가 도난당한 것으로 추정됐다. 이는 총 도난 추정 금액의 4.4%에 해당한다. 가장 큰 피싱 주소 10개가 도난당한 전체 금액의 15.9%를 차지했으며, 상위 73개 주소가 전체의 절반을 차지했다.
체이널리시스에서는 피싱 스캠 피해를 방지하기 위해 사용자 교육, 패턴 인식 전술, 모니터링 등의 전략을 제안했다. 거래승인 피싱이 의심되는 통합 지갑을 모니터링하고 이 지갑에서 중앙화 거래소로 이동하는 자금을 동결하는 것은 추가 손실을 방지하는 데 중요한 단계라고 조언했다.