글로벌 사이버 보안 기업 카스퍼스키(Kaspersky. 지사장 이효은)는 최근 이더리움(Ethereum) 이용자를 겨냥해 ‘거래 수수료(gas fee) 환불’을 내세우는 피싱 웹사이트 수십 건을 차단했다고 9일 밝혔다. 해당 사이트들은 사용자의 개인 키·지갑 인증 정보 등 민감 데이터를 빼내 자금을 탈취하거나 신원을 도용하는 데 악용되고 있었다.
이더리움 네트워크에서 거래 처리나 스마트 계약 실행에 드는 가스 수수료(gas fee)는 네이티브 암호화폐 ETH로 지불되며, 네트워크 혼잡이 심해질수록 비용도 함께 상승한다. 최근 거래량이 급증하자 “수수료 환불”을 미끼로 한 피싱 캠페인이 빠르게 퍼지고 있다. 공격자는 “환불 신청” 이메일을 발송해 사용자를 가짜 사이트로 유도하고, 지갑 연결을 요구한 뒤 승인 절차를 악용해 자금을 즉시 인출한다. 카스퍼스키는 이 같은 피싱 웹사이트를 전 세계적으로 수십 건 확인했으며, 대부분 도메인 철자 변형·SSL 인증서 위조 등 전형적 특징을 보였다.
■월렛커넥트 악용…QR 코드로 ‘한 번의 승인’ 유도
여러 사례에서 공격자는 월렛커넥트(WalletConnect) 프로토콜을 활용했다. 사용자가 QR 코드를 스캔하면 지갑이 자동으로 연결되고, 화면에 표시된 ‘환불 트랜잭션’을 승인하도록 유도한다. 사실상 이는 공격자가 미리 작성해 둔 악성 트랜잭션으로, 승인과 동시에 지갑 내 토큰이 공격자 주소로 이동한다. 월렛커넥트는 오픈소스이자 널리 쓰이는 지갑 연결 프로토콜이어서 사용자 신뢰가 높다 보니, 승인 과정에서 의심 없이 진행되는 점을 노린 것이다.
카스퍼스키 웹 콘텐츠 분석 선임연구원 올가 알투호바는 “암호화폐는 현금화 속도가 빠르고 추적 회피가 용이해 범죄자에게 매력적인 표적”이라며 “사용자는 월렛커넥트처럼 신뢰도가 높은 프로토콜이라도 승인 전 거래 내용을 반드시 검증해야 한다”고 강조했다. 그는 “블록체인의 탈중앙화 특성은 혁신적이지만, 동시에 범죄의 온상이 되기도 한다”며 지속적인 보안 의식 제고를 당부했다.
■같은 맥락의 ‘크립토 드레이너’ 공격도 증가
카스퍼스키는 올해 상반기 다크웹에서 ‘크립토 드레이너(crypto-drainer)’ 공격 도구에 대한 관심이 전년 대비 135% 급증했다고 별도 보고서에서 밝힌 바 있다. 드레이너는 승인을 가로채 지갑을 순식간에 비우는 자동화 툴로, 이번 가스 수수료 환불 사기와 동일한 전술(T)·기술(T)·절차(P)을 공유한다.
블록체인 보안 전문가들은 “핫월렛(온라인 지갑)에 보관하는 자산 규모를 최소화하고, 고액 자산은 콜드월렛(오프라인 지갑)으로 분산”할 것을 권고한다. 또 “의심스러운 이메일·SNS 메시지에 포함된 링크를 클릭하기 전 ‘서명 요청’ · ‘지갑 연결’ 문구를 특히 주의”해야 하며, “스마트 계약 승인 내역을 주기적으로 확인·철회해 공격 노출면을 줄여야 한다”고 조언했다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
