핫월렛이 해킹당했을 때: 24시간 복구 대응 플랜

2026년 5월 7일

핫월렛이 침해당했다는 사실을 알아차리는 순간은 대부분의 크립토 사용자에게 가장 당황스러운 순간입니다. 자산이 눈앞에서 빠져나가는데, 무엇부터 해야 하는지 모르는 경우가 많아요. 더 큰 문제는 공포감 때문에 2차 실수를 저지르는 것입니다. 예를 들어 “자산 복구”를 내세운 가짜 사이트에 연결해 공격자에게 한 번 더 기회를 주는 식입니다.

이 글은 핫월렛 해킹 또는 지갑 탈취 상황에서 24시간 안에 무엇을 우선해야 하는지 정리한 대응 플랜입니다. 시간대별로 해야 할 일을 나누어 손실을 최대한 줄이고, 이후 더 안전한 거래 환경을 다시 구축하는 데 초점을 맞췄습니다.

1단계: 최초 30분 — 긴급 손실 차단

이상 징후를 발견했을 때 첫 반응은 “남은 자산을 빨리 다른 곳으로 보내야겠다”가 아니라, 공격이 아직 진행 중인지부터 확인하는 것이어야 합니다.

먼저 해당 지갑과 연결된 모든 DApp 연결을 해제하세요. MetaMask 같은 지갑의 설정에서 “연결된 사이트” 목록을 찾아 모두 끊습니다. 이렇게 하면 이미 연결된 DApp이 지갑 서명 기능을 계속 호출하는 것을 막을 수 있습니다.

그다음 Revoke.cash에 침해된 지갑 주소를 입력해 활성화된 토큰 승인(Token Approval)을 확인하세요. 특히 승인 한도가 “무제한(Unlimited)”으로 설정된 항목을 우선적으로 봐야 합니다. 이런 승인은 공격자가 악용하기 쉬운 백도어가 될 수 있습니다. 의심스럽거나 모르는 승인 항목은 하나씩 철회하세요.

단, 승인 철회도 온체인 트랜잭션이므로 해당 주소에 소량의 ETH 또는 해당 체인의 네이티브 토큰이 있어야 가스비를 낼 수 있습니다. 잔액이 완전히 비어 있다면, 아주 소량의 가스비만 먼저 보내고 진행해야 합니다.

동시에 현재 지갑 잔액, 거래 내역, 승인 목록을 스크린샷이나 기록으로 남겨두세요. 이후 공격 경로를 분석할 때 중요한 자료가 됩니다.

2단계: 1~4시간 — 남은 자산 이전

고위험 승인을 철회했다면, 남아 있는 자산을 침해된 지갑과 전혀 연결되지 않은 새 주소로 옮겨야 합니다.

OneKey 하드웨어 지갑이 있다면 지금 사용하는 것이 좋습니다. 어떤 DApp과도 연결된 적 없는 하드웨어 지갑 주소는 현재 상황에서 가장 안전한 수신 주소가 될 수 있습니다. 하드웨어 지갑이 없다면 완전히 깨끗한 기기, 가능하면 초기화한 스마트폰에서 새 지갑을 생성하세요. 니모닉 문구는 즉시 종이에 적어 오프라인으로 보관하고, 스크린샷을 찍거나 클라우드에 저장하지 마세요.

자산 이전 순서는 가치가 큰 것부터 권장합니다. ETH, 주요 스테이블코인 등 큰 금액의 주요 자산을 먼저 옮긴 뒤, 소액 토큰을 처리하세요.

주의할 점은 침해된 기기에서 새 지갑을 만들거나 새 니모닉을 입력하지 않는 것입니다. 공격자가 기기에 키로거를 심어두었다면, 새 지갑의 니모닉까지 노출되어 새 지갑도 즉시 위험해질 수 있습니다.

Chainalysis의 드레이너(drainer) 관련 연구에 따르면, 공격자는 초기 접근 권한을 얻은 뒤 수분 내에 고가치 자산을 자동으로 비우는 경우가 많습니다. 속도는 중요하지만, 당황해서 안전하지 않은 기기에서 조작하는 것은 더 큰 위험을 만들 수 있습니다.

3단계: 4~12시간 — 전체 감사와 정리

남은 자산을 옮긴 뒤에는 상세 감사 단계로 들어갑니다.

Revoke.cash에서 침해된 주소의 승인 내역을 다시 전체적으로 점검하고, 모든 승인이 철회되었는지 확인하세요. 해당 주소를 더 이상 쓰지 않더라도 승인 기록은 공격 분석에 도움이 됩니다. 또한 같은 시드에서 파생된 다른 주소를 사용했다면, 잘못된 보안 습관이 다른 주소에도 영향을 줄 수 있습니다.

침해된 기기에 설치된 브라우저 확장 프로그램도 모두 확인해야 합니다. 설치 시점, 권한 범위, 출처를 하나씩 점검하세요. 모르는 확장 프로그램이나 지나치게 넓은 권한을 요구하는 확장 프로그램은 즉시 삭제해야 합니다.

최근 30일 안에 방문한 DApp 주소도 되짚어 보세요. 알려진 피싱 사이트 데이터베이스와 비교해 가짜 프론트엔드에 접속한 적이 있는지 확인하는 것이 좋습니다.

운영체제 수준의 점검도 필요합니다. 알 수 없는 예약 작업, 낯선 자동 실행 프로그램, 클립보드 이상 동작이 있는지 확인하세요. 클립보드 하이재킹은 흔한 공격 방식입니다. 사용자가 주소를 복사하면 악성코드가 몰래 공격자의 주소로 바꿔치기합니다.

4단계: 12~24시간 — 공격 경로 추적과 새 보안 체계 구축

분석을 마치면 공격이 발생한 대략적인 경로를 좁힐 수 있어야 합니다. 대표적인 공격 벡터는 다음과 같습니다.

  • 피싱 링크: 가짜 DEX, 에어드롭 페이지, 지갑 복구 페이지에 접속해 니모닉을 입력했거나 악성 승인에 서명한 경우
  • 악성 승인: 특정 DApp과 상호작용하면서 숨겨진 전송 권한이 포함된 승인 트랜잭션에 서명한 경우
  • 니모닉 유출: 니모닉을 스크린샷, 클라우드 메모, 이메일 등 디지털 형태로 저장해 공격자가 확보한 경우
  • 클립보드 하이재킹: 기기가 악성코드에 감염되어 복사한 전송 주소가 공격자 주소로 바뀐 경우
  • 악성 확장 프로그램: 가짜 지갑 또는 도구 확장 프로그램을 설치해 개인키가 몰래 업로드된 경우

공격 경로가 어느 정도 확인되면 침해된 기기는 완전히 초기화하세요. 단순 백신 검사만으로는 충분하지 않을 수 있습니다. 고도화된 악성코드는 백신 탐지를 피할 수 있으므로 공장 초기화 또는 운영체제 재설치를 권장합니다.

새 보안 체계는 계정 추상화 표준인 EIP-4337과 하드웨어 서명을 중심으로 설계하는 것이 좋습니다. EIP-4337은 더 세밀한 권한 관리와 소셜 복구 같은 기능을 가능하게 하고, 하드웨어 서명은 개인키를 온라인 환경에서 물리적으로 분리합니다. 또한 온체인 서명마다 EIP-712 기반의 읽을 수 있는 서명 내용을 확인해, 무엇에 서명하는지 모르는 “블라인드 서명”이 다시 공격 지점이 되지 않도록 해야 합니다.

24시간 복구 타임라인

  • 0~30분: 지갑과 DApp 연결 해제, Revoke.cash에서 승인 확인 및 철회, 잔액·거래 내역·승인 목록 기록
  • 1~4시간: 깨끗한 기기와 새 주소 준비, 남은 자산을 가치가 큰 순서대로 이전
  • 4~12시간: 승인 내역 재점검, 브라우저 확장 프로그램과 최근 방문 DApp 감사, 운영체제 이상 여부 확인
  • 12~24시간: 공격 경로 분석, 침해 기기 초기화 또는 재설치, 하드웨어 지갑 중심의 새 보안 환경 구축

재발을 막는 방법

핫월렛 침해는 단발성 사고라기보다, 오랫동안 쌓인 보안 습관의 결과인 경우가 많습니다. 재발 방지를 위해서는 다음 원칙을 지켜야 합니다.

첫째, 주요 자산은 항상 하드웨어 지갑의 콜드 스토리지 주소에 보관하세요. 핫월렛에는 당장 필요한 최소 금액만 남기는 것이 좋습니다.

둘째, 최소 월 1회 Revoke.cash에 접속해 모든 토큰 승인을 점검하고, 더 이상 사용하지 않는 프로젝트의 승인은 정리하세요.

셋째, 니모닉 입력을 요구하는 웹사이트, 앱, “고객센터 직원”을 극도로 경계해야 합니다. OWASP의 피싱 공격 문서에 기록된 많은 실제 사례처럼, 공격자는 공식 화면을 정교하게 모방하고 긴박감을 조성하는 데 능숙합니다. 정상적인 지갑 서비스는 “검증”이나 “복구”를 이유로 니모닉 입력을 요구하지 않습니다.

OneKey로 보안 기반 다시 만들기

지갑 탈취를 겪은 뒤 가장 현실적인 재구축 전략은 기존 설정을 더 높은 보안 기준의 도구로 교체하는 것입니다. OneKey 하드웨어 지갑은 개인키를 물리적으로 분리해 보관하고, 멀티체인 자산 관리를 지원합니다. 또한 OneKey Perps를 함께 사용하면 KYC 없이도 보다 일관된 환경에서 무기한 선물 거래 워크플로를 이어갈 수 있습니다.

OneKey 공식 채널에서 제품과 보안 설계를 확인하고, 공개된 오픈소스 코드를 GitHub에서 검토할 수 있습니다. DEX 프론트엔드에 연결할 때는 WalletConnect 문서를 참고해 하드웨어 지갑을 안전하게 연결하는 방식도 익혀두는 것이 좋습니다.

지금 보안 환경을 다시 정비해야 한다면 OneKey를 다운로드하거나 하드웨어 지갑을 설정해 보세요. 이후 거래가 필요할 때는 OneKey Perps를 실전 워크플로에 포함해, 개인키 보관과 거래 실행을 더 분리된 방식으로 운영하는 것을 권장합니다.

FAQ

Q1. 지갑이 해킹된 것을 발견하면 첫 번째로 무엇을 해야 하나요?

첫 단계는 급하게 전송하는 것이 아니라, 해당 지갑과 모든 DApp 연결을 끊고 Revoke.cash에서 토큰 승인을 철회하는 것입니다. 이렇게 하면 공격자가 이미 승인된 컨트랙트를 통해 자산을 계속 이동시키는 것을 막을 수 있습니다. 동시에 자금이 빠져나가고 있다면 남은 자산 이전을 고려해야 하지만, 반드시 깨끗한 기기에서 진행해야 합니다.

Q2. 도난당한 암호화폐를 되찾을 수 있나요?

대부분의 경우 이미 전송된 온체인 자산은 되돌릴 수 없습니다. 블록체인 거래의 비가역성은 기본 특성입니다. 매우 드문 경우, 공격자가 자산을 규제 대상 중앙화 거래소로 옮겼고 금액이 큰 경우 거래소에 동결 요청을 할 수 있지만 성공 가능성은 낮습니다. 현실적인 목표는 손실을 최대한 줄이고, 남은 자산을 보호하며, 재탈취를 막는 것입니다.

Q3. 클립보드 하이재킹 공격이란 무엇이고, 어떻게 확인하나요?

클립보드 하이재킹은 악성코드가 클립보드 내용을 감시하다가 암호화폐 주소 형식을 감지하면 공격자의 주소로 자동 교체하는 공격입니다. 확인 방법은 간단합니다. 주소를 복사한 뒤 메모장 같은 텍스트 편집기에 붙여넣고 원래 주소와 완전히 같은지 비교하세요. 다르면 클립보드가 하이재킹되었을 가능성이 큽니다. 예방하려면 신뢰할 수 있는 기기에서만 조작하고, 전송 주소의 앞 5자리와 뒤 5자리를 항상 대조하세요.

Q4. 니모닉이 유출됐다면 새 주소를 만들면 충분한가요?

같은 니모닉에서 파생된 새 주소라면 소용이 없습니다. 공격자가 니모닉을 알고 있다면 해당 시드에서 파생되는 모든 주소를 만들 수 있습니다. 반드시 완전히 새로 무작위 생성된 니모닉을 사용하고, 깨끗한 기기에서 지갑을 만들어야 안전한 분리가 가능합니다.

Q5. Hyperliquid나 dYdX가 플랫폼 차원에서 자산을 동결해 줄 수 있나요?

Hyperliquid와 dYdX는 모두 탈중앙화 플랫폼이며, 중앙화된 자산 동결 메커니즘이 없습니다. 자산이 스마트컨트랙트를 통해 이동하면 플랫폼이 임의로 개입하기 어렵습니다. 그래서 사후 복구보다 하드웨어 지갑, 승인 관리, 피싱 방지 같은 사전 방어가 훨씬 중요합니다.

결론: 위기는 더 나은 보안 체계를 만드는 계기입니다

핫월렛 침해는 분명 고통스러운 경험입니다. 하지만 동시에 보안 체계를 전문적으로 다시 설계할 기회이기도 합니다. 이 글의 24시간 타임라인에 따라 손실을 줄이고 복구를 진행한 뒤, OneKey로 하드웨어 지갑 기반의 보안 환경을 구축해 보세요. 거래를 계속해야 한다면 OneKey Perps를 함께 사용해 개인키 보호와 거래 실행을 더 안전하게 분리하는 워크플로를 마련할 수 있습니다.

리스크 안내

이 글은 교육 목적의 참고 자료이며, 법률·재무·보안 자문이 아닙니다. 암호화폐 거래와 온체인 활동에는 높은 위험이 따르며, 어떤 보안 조치도 100% 안전을 보장하지 않습니다. 자산 손실이 발생했다면 관련 수사기관에 신고하고, 모든 온체인 기록을 증거로 보관하는 것을 권장합니다. 모든 결정은 위험을 충분히 이해한 뒤 본인의 책임으로 내려야 합니다.

OneKey로 암호화 여정 보호하기

View details for OneKeyOneKey

OneKey

세계에서 가장 진보한 하드웨어 지갑.

View details for 앱 다운로드앱 다운로드

앱 다운로드

스캠 경고. 모든 코인 지원.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

암호화 의문을 해결하기 위해, 한 번의 전화로.