체이널리시스(한국지사장 백용기)가 ‘2024 가상자산 범죄 보고서–피싱 스캠(Phishing Scam)’을 발표했다.

보고서에 따르면, 지난 2년간 거래승인 피싱(Approval phishing)이 급증했으며 올해 피해액만 최소 3억 7,400만 달러(약 4,850억 원)에 육박하는 것으로 나타났다.

거래승인 피싱은 과거 허위 가상자산 앱을 통해 불특정 다수를 범행 대상으로 삼았다. 하지만 최근에는 특정 인물에게 집중하고 관계를 구축하여 악의적인 블록체인 거래에 서명하도록 유도하는 방식으로 전술을 바꿨다. 로맨스 스캠(혹은 돼지 도살)이 바로 이런 수법의 대표적인 사례다.

피해자를 속여 가상자산을 송금하게 하는 기존의 가상자산 스캠과 달리, 거래승인 피싱은 사용자를 속여 거래에 서명하게 함으로써 범죄자가 피해자의 지갑에서 토큰을 빼낼 수 있는 권한을 부여한다. 이러한 스캠의 전형적인 온체인 패턴은 크게 두 단계로 우선 피해자가 자신도 모르게 두번째 주소를 승인한 다음 범죄자들이 이 두번째 주소를 이용해 새로운 목적지로 자금을 빼돌린다.

한편, 거래승인 피싱은 특히 이더리움과 같은 스마트 컨트랙트 지원 블록체인의 탈중앙화 앱(dApp, 디앱)에서 자주 목격된다. 거래승인 피싱 범죄자들이 많은 가상자산 사용자가 디앱에서 거래승인 절차에 서명하는 데 익숙하다는 점을 악용하기 때문이다. 예를 들어, 범죄자들이 허위 유니스왑 승인 피싱 스캠을 홍보하고 위조된 이더스캔 페이지에서 지갑을 연결하도록 사용자를 속이는 방식이다.

체이널리시스 조사 결과, 로맨스 스캠 수법을 사용한 것으로 알려진 주소를 역추적해 거래승인 피싱에 연루된 1,013개의 주소를 확인했다. 이를 통해 2021년 5월 이후 거래승인 피싱 스캠으로 인한 피해는 약 10억 달러(약 1조 2,974억 원)로 추정했다. 하지만 이 수치도 로맨스 스캠의 신고가 저조한 특성으로 인해 실제 규모를 과소평가하고 있을 가능성이 높다.

또한 거래승인 피싱 스캠으로 범죄자들이 벌어들인 수익은 2022년 5월에 최고조에 달했으며, 2022년 손실액은 5억 1,680만 달러(약 6,703억 9,296만 원)로 추정되며, 올해 11월까지 손실액은 3억 7,460만 달러(약 4,857억 8,128만 원)에 이른다고 밝혔다.

보고서에 따르면, 성공률이 높은 소수의 범죄자들이 이러한 스캠의 대부분을 주도하는 것으로 나타났다. 가장 많이 성공한 거래승인 피싱 주소에서만 4,430만 달러(약 575억 원)가 도난당한 것으로 의심되며, 이는 연구 기간 동안 도난당한 것으로 추정되는 총 금액의 4.4%에 해당한다. 가장 큰 피싱 주소 10개가 도난당한 전체 금액의 15.9%를 차지했으며, 상위 73개 주소가 전체의 절반을 차지했다.

이러한 스캠에 대응하기 위해 체이널리시스에서는 사용자 교육, 패턴 인식 전술, 모니터링 등의 전략을 제안했다. 거래승인 피싱이 의심되는 통합 지갑을 모니터링하고 이 지갑에서 중앙화 거래소로 이동하는 자금을 동결하는 것은 추가 손실을 방지하는 데 중요한 단계라고 조언했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★