사용자 속여 자금인출 권한 승인 받아 탈취
[데이터넷] 수익률 높은 투자처라고 속여 가상자산을 탈취하는 ‘돼지 도살’ 수법이 한층 진화해 공격자가 아예 피해자의 지갑에서 직접 자금을 탈취할 수 있도록 사용자를 속이고 있다. 소수의 범죄자가 주도하는 이 같은 지능형 공격이 2021년부터 10억달러, 올해만 3억7400만달러의 피해를 발생시켰다.
체이널리시스의 ‘2024 가상자산 범죄 보고서 – 피싱 스캠’에서는 ‘거래승인 피싱’으로 올해만 3억7400만달러(약 4850억원)의 피해가 발생했다고 밝혔다. 거래승인 피싱은 돼지도살, 로맨스 스캠과 같이 사용자를 속여 직접 자금을 송금하는 등의 스캠을 말하는데, 이제는 사용자에게 거래에 서명하게 해 범죄자가 범죄자가 피해자의 지갑에서 토큰을 빼낼 수 있는 권한을 갖게 한다.
거래승인 피싱은 특히 이더리움과 같은 스마트 컨트랙트 지원 블록체인의 탈중앙화 앱(dApp)에서 자주 목격된다. 거래승인 피싱 범죄자들이 많은 가상자산 사용자가 디앱에서 거래승인 절차에 서명하는 데 익숙하다는 점을 악용하기 때문이다. 예를 들어 범죄자들이 허위 유니스왑 승인 피싱 스캠을 홍보하고 위조된 이더스캔 페이지에서 지갑을 연결하도록 사용자를 속이는 방식이다.
3년간 10억달러…실제 피해는 더 클 것
체이널리시스 조사 결과, 로맨스 스캠 수법을 사용한 것으로 알려진 주소를 역추적해 거래승인 피싱에 연루된 1013개의 주소를 확인했다. 이를 통해 2021년 5월 이후 거래승인 피싱 스캠으로 인한 피해는 약 10억 달러(약 1조 2974억원)로 추정했다. 하지만 이 수치도 로맨스 스캠의 신고가 저조한 특성으로 인해 실제 규모를 과소평가하고 있을 가능성이 높다.
또한 거래승인 피싱 스캠으로 범죄자들이 벌어들인 수익은 2022년 5월에 최고조에 달했으며, 2022년 손실액은 5억180만달러(약 6704억원)로 추정되며, 올해 11월까지 손실액은 3억7460만달러(약4858억원)에 이른다고 밝혔다.
성공률이 높은 소수의 범죄자들이 이러한 스캠의 대부분을 주도하는 것으로 나타났다. 가장 많이 성공한 거래승인 피싱 주소에서만 4430만달러(약 575억원)가 도난당한 것으로 의심되며, 이는 연구 기간 동안 도난당한 것으로 추정되는 총 금액의 4.4%에 해당한다. 가장 큰 피싱 주소 10개가 도난당한 전체 금액의 15.9%를 차지했으며, 상위 73개 주소가 전체의 절반을 차지했다.
이러한 스캠에 대응하기 위해 체이널리시스에서는 사용자 교육, 패턴 인식 전술, 모니터링 등의 전략을 제안했다. 거래승인 피싱이 의심되는 통합 지갑을 모니터링하고 이 지갑에서 중앙화 거래소로 이동하는 자금을 동결하는 것은 추가 손실을 방지하는 데 중요한 단계라고 조언했다.
