Edgen Crypto·Dec 03 2025, 10:0711월 암호화폐 사용자를 대상으로 한 피싱 공격으로 막대한 금전적 손실이 발생했습니다. 데이터에 따르면 공격자들은 보안 조치를 우회하고 온체인 권한을 악용하기 위해 정교한 기술을 활용하고 있으며, 이는 디지털 자산 생태계에 지속적인 위협이 되고 있습니다.
Scam Sniffer 데이터에 따르면, 11월에 암호화폐 부문을 노린 피싱 공격으로 6,344명의 피해자에게 약 777만 달러의 손실이 발생했습니다. 이러한 사건들은 공격자들이 투자자를 속이기 위해 정교한 방법을 사용하는 심각하고 진화하는 위협 환경을 강조합니다. 주목할 만한 사례 중 하나는 단일 피해자가 손상된 'permit' 서명을 통해 122만 달러를 잃은 것으로, 이는 현대 스마트 계약 상호 작용과 관련된 심각한 재정적 위험을 강조합니다.
블록체인 보안 모니터링 회사인 Scam Sniffer는 11월이 피싱 활동으로 인해 암호화폐 투자자들에게 또 다른 큰 손실을 안겨준 달이었다고 보고했습니다. 총 손실액은 777만 달러에 달했으며, 수천 명의 개인이 피해를 입었습니다.
가장 큰 단일 손실은 'permit' 서명을 이용한 악용 사례에서 비롯되었습니다. EIP-2612를 기반으로 하는 이 기술은 사용자가 가스비를 지불하지 않고 오프체인 서명을 통해 토큰 지출을 승인할 수 있도록 합니다. 편의를 위해 설계되었지만, 피싱 공격의 주요 표적이 되었습니다. 공격자들은 사용자들을 겉보기에는 무해한 메시지에 서명하도록 속이며, 실제로는 사기꾼이 사용자 지갑에서 토큰을 탈취할 권한을 부여하게 됩니다. 122만 달러의 절도 사건은 이러한 공격 벡터의 위력을 보여줍니다. 단일 서명으로 피해자의 직접적인 온체인 거래 없이 광범위한 자산 이체를 승인할 수 있기 때문입니다.
피싱 공격의 지속성과 점증하는 정교함은 DeFi 및 Web3 플랫폼 보안에 대한 신뢰를 약화시켜 약세 시장 심리에 기여합니다. 모든 고액 절도 사건은 암호화폐 공간이 고위험 환경이라는 인식을 강화하며, 이는 주류 채택을 방해하고 강화된 규제 감시를 초래할 수 있습니다. 'permit' 서명과 같은 기본적인 블록체인 기능의 악용은 규제 당국이 소비자를 보호하기 위해 DApp 개발자 및 지갑 공급업체에 더 엄격한 보안 표준을 부과하도록 이끌 수 있습니다.
피싱 캠페인의 기술적 진화는 보안 전문가들에게 주요 관심사입니다. 공격자들은 더 이상 간단하고 쉽게 감지할 수 있는 사기에 의존하지 않습니다. MediaPost 보고서에 따르면, 피싱 공격자들은 이제 보이지 않는 유니코드 문자 및 소프트 하이픈을 이메일 제목 줄에 삽입하고 있습니다. 이러한 문자는 육안으로는 보이지 않지만, 키워드 기반 보안 필터에 대해 콘텐츠를 효과적으로 뒤섞어 악성 이메일이 탐지를 우회하도록 허용합니다.
"당신에게는 정상적으로 보이지만, 보안 필터에는 뒤섞여 보이며, 일치할 명확한 키워드가 없습니다."라고 기술 기자 Kurt the CyberGuy는 설명합니다. 이를 통해 공격자들은 긴급성을 조성하는 기만적인 이메일을 보내 사용자들을 가짜 로그인 페이지로 유도할 수 있습니다.
또한 위협은 이메일에만 국한되지 않습니다. 보안 회사 Koi Security는 Chrome 및 Edge용 악성 브라우저 확장 프로그램 100개 이상을 배포한 'ShadyPanda'라는 위협 행위자를 식별했습니다. 400만 명 이상의 사용자가 다운로드한 이 확장 프로그램은 제휴 사기, 데이터 절도 및 원격 코드 실행을 위한 백도어 역할을 합니다. 이는 사용자 키 입력 기록, 쿠키 데이터 절도 및 브라우저 지문 유출을 할 수 있는 지속적인 위협 벡터를 나타냅니다.
이러한 피싱 사건들은 디지털 플랫폼을 표적으로 하는 사이버 범죄의 증가라는 더 넓은 추세의 일부입니다. 예를 들어, 전자상거래 대기업인 Coupang의 최근 데이터 침해로 3,370만 명의 고객 개인 정보가 도난당했습니다. 이는 직접적인 암호화폐 피싱 사건은 아니지만, 이러한 대규모 침해는 공격자들이 매우 표적화되고 설득력 있는 피싱 캠페인을 만들기 위해 필요한 원시 데이터(이름, 이메일 주소 및 전화번호)를 제공합니다.
정교한 사회 공학, 기술적 악용 및 쉽게 사용할 수 있는 개인 데이터의 융합은 전체 디지털 자산 생태계에 시스템적 위험을 초래합니다. 이는 플랫폼이 더 탄력적인 보안 아키텍처를 개발하고 사용자가 애플리케이션과 상호 작용하고 거래에 서명할 때 높은 수준의 경계심을 유지해야 하는 더 큰 책임을 지게 합니다.