구매한 적 없는 NFT가 지갑에..클릭했더니 내 코인이 사라졌다

홍효진 기자 2022. 7. 8. 06:16
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

보유 중인 가상화폐와 NFT를 훔쳐가는 '소매넣기' 수법에 따른 피해 사례가 늘고 있다.

스캠 NFT를 사용자 지갑에 몰래 넣어 악성코드를 심는 방식이다.

스니커즈 NFT에 장착해 외형 변경과 능력치 향상에 쓰이는 '더 스니커즈 스킨'(THE SNKRZ SKIN) NFT의 표기명 중 '스킨'을 '스킨스'(SKINS)로 바꾼 스캠 NFT가 이용자 지갑에 숨어든 것.

닫기
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
#직장인 A씨는 사용 중인 가상화폐 지갑 '팬텀'(Phantom)에서 수상한 점을 발견했다. 구매한 적 없는 처음 본 대체불가토큰(NFT)이 지갑 안에 들어와 있었기 때문이다. 낯선 NFT는 솔라나(SOL) 블록체인에서 이벤트로 배포됐다는 설명과 함께, 웹사이트로 들어가 지갑을 연결해 달라고 안내했다. 에어드롭(무상지급)된 NFT로 착각한 A씨는 링크에 접속해 해당 사이트에 지갑을 연결했다. 그 순간 A씨가 갖고 있던 솔라나 4개(약 19만원)와 NFT 2개가 모두 사라졌다.
'소매넣기'에 사라진 내 코인…구별 어려운 스캠 NFT

카카오 클레이튼 기반 W2E(Walk to Earn) 프로젝트 '더 스니커즈'의 스캠 NFT(왼쪽)와 본 NFT. /사진=블로거 '두신' 제공

카카오 클레이튼 기반 W2E(Walk to Earn) 프로젝트 '더 스니커즈'의 스캠 NFT(왼쪽)와 본 NFT. /사진=블로거 '두신' 제공
보유 중인 가상화폐와 NFT를 훔쳐가는 '소매넣기' 수법에 따른 피해 사례가 늘고 있다. 스캠 NFT를 사용자 지갑에 몰래 넣어 악성코드를 심는 방식이다. 유명 NFT를 교묘하게 베끼거나 이벤트로 위장하는 탓에 피해를 입게 될 가능성이 크다.

특히 기존 NFT를 사칭할 경우 스캠 NFT와 본 NFT의 차이를 육안으로 구별하기란 쉽지 않다. 클레이튼 기반 W2E(Walk to Earn) 프로젝트 '더 스니커즈'(THE SNKRZ)도 스캠 NFT에 몸살을 앓고 있다. 스니커즈 NFT에 장착해 외형 변경과 능력치 향상에 쓰이는 '더 스니커즈 스킨'(THE SNKRZ SKIN) NFT의 표기명 중 '스킨'을 '스킨스'(SKINS)로 바꾼 스캠 NFT가 이용자 지갑에 숨어든 것. 이밖에도 대문자 '아이'(I)를 소문자 '엘'(l)로 바꾸는 등 교묘한 수를 쓰는 사례도 발견됐다.

/사진='www.solanaofficialdrop.com' 홈페이지 캡처

/사진='www.solanaofficialdrop.com' 홈페이지 캡처

스캠 NFT와 연결된 웹사이트 자체도 사기일 수 있다. 7일 해외 사기 사이트 조회 플랫폼 '스캠어드바이저'에 따르면 실제 A씨가 지갑을 연결했던 웹사이트 주소인 'solanaofficialnft.com'의 경우 신뢰도 점수 21점(100점 만점)으로, 스캠 사이트일 가능성이 높은 것으로 확인됐다. 스캠어드바이저는 "분석 결과 해당 웹사이트를 운영하는 업체는 러시아 모스크바에 위치해 있는 것으로 파악됐다"며 "소유주 정보가 명확하지 않고 도메인도 5일 전에 만들어진 것에 불과한 웹사이트"라고 설명했다.

분석에 따르면 이 웹사이트는 SSL(데이터를 안전하게 전송하기 위한 인터넷 통신 규약 프로토콜) 인증을 받긴 했지만, 가장 낮은 수준의 인증인 'DV SSL'로 알려졌다. DV 인증은 도메인을 확인하고 단순 암호화하는 수준으로, 인증서 발급 자체가 쉽고 빠르다. 이에 스캐머들은 사용자를 속일 피싱사이트 제작에 DV 인증을 적용하기도 한다. 보안 연결이 사용되고 있어도 스캠 사이트일 가능성이 있다.
내 지갑에 손 뻗는 검은 손…'블록체인 유저' 친화적 보안 필요
NFT와 관련된 지갑 해킹 문제는 블록체인상의 뚜렷한 보안 인프라가 없다는 점이 근본적 원인으로 꼽힌다. 탈중앙화된 특성 탓에 소통 주체가 명확하지 않다보니 피해 사실을 알릴 창구도 미흡한 상황이다. 한 블록체인 업계 관계자는 "지금의 블록체인 생태계가 보안을 담보할 수 있다고 보기 어려워 개인들의 주의가 필요하다"며 "NFT나 코인이 지갑에 들어와도 연결하지 않는 것이 최선"이라고 말했다.

최화인 블록체인 에반젤리스트는 "우리가 실생활에서 전화번호를 수집해 문자메시지를 보내는 것처럼 가상화폐 지갑 주소를 아는 건 굉장히 쉽다"며 "블록체인 세계가 투명하다고는 하지만 이용자 친화적이지 않은 측면이 크다. 기술적 수준이 충족되지 않으면 사실상 DAO(탈중앙화 자율조직)·거버넌스 등에 아예 참여하기 어려운 구조"라고 지적했다.

최 에반젤리스트는 "중앙화된 거래소라면 콜센터에 상담 전화를 하는 등 피해를 알릴 수라도 있지만 이런 구조에선 피해자 구제 방법이 없다"며 "스마트 계약 코딩 기술자에 따라 보안 수준이 달라지는데, 지금의 블록체인 생태계는 소수의 기술자가 헤게모니를 잡고 있다보니 이용자 중심의 구조가 마련되지 않은 상태"라고 덧붙였다.

이기혁 중앙대 융합보안학과 교수는 "가상화폐 지갑은 다른 업체에서 만들어진 걸 사용하는 것이기 때문에 지갑 제작 업체와 해당 지갑과 상호 연동되는 확장 프로그램들의 소프트웨어 보안이 중요하다"며 "사실상 지금의 블록체인 생태계 내 개발자들은 개발 보안을 완전히 이해한 상태가 아닌 경우가 많아 보안성을 담보할 수 없는 상황"이라고 말했다.

[관련기사]☞ 지하철 3호선서 손석구 만난 사연…사진 요청하자 "그럽시다"송민호, 복권 당첨→팬들에 선물 "아이스크림 드세요"…얼마길래한지민, '유퀴즈' 상금 100만원 획득…사비 보태 어디에 썼나 보니강유미, 결혼 3년만의 파경 심경 고백…"뼈아픈 상처, 힘든 시간"남주혁 뜨고 나니 연락 '뚝', 결혼식도 불참…'친구' 강남 손절했나
홍효진 기자 hyost@mt.co.kr

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>

Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지

이 기사에 대해 어떻게 생각하시나요?
머니투데이에서 직접 확인하세요. 해당 언론사로 이동합니다.