2026년 노 KYC 트레이더를 노리는 피싱 공격
노 KYC 방식으로 탈중앙화 거래를 하는 사용자는 피싱 공격자에게 매우 매력적인 표적입니다. 이유는 단순합니다. 이런 사용자는 개인키를 직접 관리하고, 자산이 중개 플랫폼을 거치지 않습니다. 공격자가 단 한 번의 서명이나 시드 문구를 빼내는 데 성공하면 지갑을 즉시 비울 수 있고, 온체인 전송은 되돌릴 수 없습니다.
CEX 사용자를 노리는 피싱은 2단계 인증이나 플랫폼 리스크 관리 시스템을 우회해야 하는 경우가 많습니다. 반면 셀프 커스터디 지갑 사용자를 대상으로 한 공격은 한 번 성공하면 실질적인 구제 수단이 거의 없습니다.
2026년의 피싱 공격은 몇 년 전보다 훨씬 정교해졌습니다. 이 글에서는 현재 자주 사용되는 주요 공격 방식과 이를 식별하고 예방하는 방법을 정리합니다.
왜 노 KYC 트레이더가 주요 표적이 될까요?
셀프 커스터디 지갑 사용자는 다음과 같은 특성 때문에 공격자에게 매력적입니다.
- 자산을 사용자가 직접 통제하므로, 서명 권한만 얻으면 즉시 자산을 이동할 수 있습니다.
- 블록체인 전송은 되돌릴 수 없어, 자산이 이동된 뒤에는 취소하기 어렵습니다.
- 플랫폼 차원의 실시간 이상 거래 모니터링이 없습니다.
- 일부 사용자는 DApp 상호작용과 서명 요청의 의미를 정확히 이해하지 못해 정상 요청과 악성 요청을 구분하기 어렵습니다.
OWASP의 피싱 공격 분석에서도 시각적 클로닝(Visual Cloning)은 현재 가장 효과적인 피싱 수법 중 하나로 언급됩니다. 공격자는 몇 시간 안에 실제 사이트와 거의 동일한 가짜 웹사이트를 만들 수 있습니다.
2026년 주요 피싱 공격 유형
유형 1: 가짜 DEX 프런트엔드
공격자는 Hyperliquid, dYdX, GMX 같은 유명 DEX의 프런트엔드를 복제한 뒤, 검색엔진 광고를 구매해 가짜 사이트를 검색 결과 상단에 노출시킵니다. 사용자가 URL을 확인하지 않고 접속해 지갑을 연결하면 악성 서명 요청이 표시됩니다.
확인해야 할 부분은 다음과 같습니다.
- 도메인이 실제 사이트와 미세하게 다릅니다. 예를 들어
o를0으로 바꾸거나, 불필요한 문자를 추가합니다. - 가짜 사이트의 SSL 인증서가 최근에 발급된 경우가 많습니다.
- 정상적인 기능 조작 전에 지갑 연결 직후 서명 요청이 바로 뜹니다.
유형 2: 악성 승인 피싱(Approval Phishing)
Chainalysis의 최신 연구에서도 승인 피싱은 빠르게 증가하는 공격 유형으로 언급됩니다. 공격자는 가짜 에어드롭, NFT 민팅, 스테이킹 보상 등을 미끼로 사용자가 “보상 수령”처럼 보이는 승인 트랜잭션에 서명하도록 유도합니다. 실제로는 지갑 안의 토큰 전송 권한을 공격자가 제어하는 주소에 넘기는 행위입니다.
승인이 완료되면 공격자는 언제든지, 보통 몇 분 안에 자동으로 토큰을 이동시킬 수 있습니다. 사용자의 지갑에는 직접 전송을 실행한 흔적이 없어 보일 수 있지만, 온체인상으로는 사용자가 다른 주소에 토큰 전송 권한을 “승인”한 것으로 기록됩니다.
유형 3: 시드 문구 사기
공격자는 다음과 같은 방식으로 사용자가 시드 문구를 입력하도록 유도합니다.
- 지갑 공식 지원팀을 사칭하며 계정에 “이상 징후”가 있어 인증이 필요하다고 주장합니다.
- “신규 버전 시드 문구 마이그레이션 가이드”를 배포하고, 마이그레이션 페이지에 기존 시드 문구를 입력하게 합니다.
- 지갑 관리 도구 앱의 가짜 버전을 만들어 “시드 문구 설정” 단계에서 몰래 업로드합니다.
MetaMask 공식 문서에서도 명확히 안내하듯, 정상적인 지갑 앱이나 고객지원 담당자는 어떤 경우에도 시드 문구를 요구하지 않습니다. 누군가 시드 문구를 요구한다면 사기라고 봐야 합니다.
유형 4: Discord / Telegram 가짜 고객지원
주요 DeFi 프로젝트 커뮤니티에서 공격자는 프로젝트 공식 지원팀을 사칭해 사용자에게 DM을 보냅니다. 사용자가 특정 사용 문제를 설명하면, 가짜 고객지원은 “공식 점검 도구”에 접속하라고 안내합니다. 하지만 이 도구는 실제로 피싱 페이지입니다.
유형 5: 주소 오염 공격(Address Poisoning)
공격자는 대상 주소로 소액 전송을 보내 사용자의 거래 기록에 악성 주소를 남깁니다. 이 주소는 실제 수신 주소와 앞자리와 뒷자리가 매우 비슷하고, 가운데 부분만 다릅니다. 사용자가 다음 송금 때 전체 주소를 확인하지 않고 거래 기록에서 복사하면 공격자의 주소를 잘못 선택할 수 있습니다.
고위험 상황 빠른 점검
노 KYC 환경에서 지갑을 직접 연결하고 서명하는 모든 과정은 기본적으로 사용자의 확인에 의존합니다. 특히 다음 상황에서는 더 보수적으로 행동하는 것이 좋습니다.
- 검색엔진 광고를 통해 DEX나 지갑 페이지에 접속한 경우
- 지갑 연결 직후 이유를 알 수 없는 서명 요청이 표시되는 경우
- “무료 보상”, “긴급 마이그레이션”, “계정 복구”를 이유로 서명을 요구하는 경우
- 무제한 승인(Unlimited Approval)을 요구하는 경우
- Discord나 Telegram DM을 통해 전달받은 링크에 접속하는 경우
- 주소를 전체 확인하지 않고 거래 기록에서 복사하는 경우
OneKey의 피싱 방지 메커니즘
OneKey 지갑은 피싱 공격을 줄이기 위한 여러 보호 기능을 제공합니다.
- 서명 내용 해석: 복잡한 서명 요청, EIP-712 구조화 데이터 등을 사람이 읽기 쉬운 형태로 변환해 서명 전 실제 작업 내용을 확인할 수 있게 합니다.
- 트랜잭션 시뮬레이션: 서명 전에 트랜잭션 실행 결과를 예측하고, 자산 변화 미리보기를 보여줘 악성 승인을 식별하는 데 도움을 줍니다.
- 위험 경고: 무제한 승인 요청 등 고위험 컨트랙트 상호작용에 대해 경고를 표시합니다.
- 도메인 검증: 지갑 확장 프로그램에 연결되는 DApp 도메인을 기본적으로 확인하고, 알려진 악성 도메인에 대해 경고합니다.
- 오픈소스 및 감사 가능성: OneKey GitHub는 오픈소스로 공개되어 있어 사용자가 악성 코드 여부를 직접 검증할 수 있습니다.
OneKey 하드웨어 지갑을 사용하면 추가적인 물리 확인 단계도 생깁니다. 모든 서명은 기기 화면에서 직접 확인해야 하므로, 소프트웨어 레벨의 서명 탈취 위험을 줄이는 데 도움이 됩니다.
또한 Revoke.cash를 정기적으로 사용해 더 이상 쓰지 않는 컨트랙트 승인을 확인하고 정리하는 것이 좋습니다. 과거 승인 권한이 악용될 가능성을 줄일 수 있습니다.
피싱을 당했을 때의 긴급 대응
악성 승인에 서명했거나 시드 문구가 유출되었다고 의심된다면 다음 순서로 대응하세요.
- 해당 기기에서 모든 작업을 중단하고 네트워크 연결을 끊습니다.
- 시드 문구가 유출된 경우: 깨끗한 다른 기기에서 새 지갑을 만들고 가능한 모든 자산을 즉시 이동합니다.
- 악성 승인에 서명한 경우: 즉시 Revoke.cash에 접속해 관련 승인을 철회합니다.
- Hyperliquid, dYdX 등에서 진행 중인 포지션이 있다면 모두 정리합니다. 공격자가 포지션 수익을 노리고 자금을 탈취할 수 있습니다.
- 해당 지갑으로 로그인했던 모든 DApp 계정을 교체하거나 연결을 해제합니다.
시간이 매우 중요합니다. 대부분의 드레이너(Drainer) 공격은 승인 권한을 얻은 뒤 몇 분 안에 자동으로 지갑을 비우도록 설계되어 있습니다. 대응이 늦어질수록 자산을 지킬 가능성은 크게 낮아집니다.
자주 묻는 질문
Q1. 피싱 사이트가 제 시드 문구를 훔칠 수 있나요?
피싱 사이트가 지갑 안에서 시드 문구를 직접 꺼내갈 수는 없습니다. 하지만 페이지에 가짜 “지갑 인증” 또는 “마이그레이션” 입력창을 넣어 사용자가 직접 시드 문구를 입력하도록 유도할 수 있습니다. 사용자가 직접 입력하지 않는 한, 페이지가 시드 문구를 가져갈 수는 없습니다.
Q2. OneKey 하드웨어 지갑을 쓰면 피싱을 완전히 막을 수 있나요?
하드웨어 지갑은 소프트웨어 악성코드가 시드 문구를 훔치는 것을 방지하고, 사용자가 모르는 사이 자동으로 서명이 이뤄지는 것을 막는 데 도움이 됩니다. 하지만 사용자가 위험을 인지하지 못한 채 악성 요청을 직접 확인하면 하드웨어 지갑도 이를 대신 판단해 막아주지는 못합니다. 그래서 서명 내용을 이해하는 것이 중요합니다.
Q3. 올바른 DEX 사이트에 접속했는지 어떻게 확인하나요?
공식 사이트를 북마크에 저장하고 북마크를 통해서만 접속하세요. 프로젝트의 공식 Twitter/X 계정이나 공식 문서 링크에서 URL을 확인하는 것도 좋습니다. 검색엔진 광고 결과를 그대로 신뢰하지 말고, URL의 모든 문자를 확인하세요. 특히 l과 1, 0과 o처럼 비슷하게 보이는 문자를 주의해야 합니다.
Q4. 무제한 승인과 제한 승인은 무엇이 다른가요?
무제한 승인(Unlimited Approval)은 특정 컨트랙트가 사용자의 지갑에서 지정된 토큰을 원하는 수량만큼 언제든지 가져갈 수 있도록 허용하는 권한입니다. 제한 승인은 정해진 수량만 인출할 수 있게 합니다. 일반적인 사용에서는 무제한 승인보다 해당 거래에 필요한 금액만 승인하는 것이 더 안전합니다.
Q5. 지갑 승인은 얼마나 자주 확인해야 하나요?
최소 한 달에 한 번은 확인하는 것이 좋고, 중요한 거래를 마친 직후에도 점검하는 것을 권장합니다. Revoke.cash를 사용하면 여러 체인의 승인 상태를 빠르게 확인하고 관리할 수 있습니다.
마무리: 기술적 보호와 사용 습관이 함께 필요합니다
2026년의 셀프 커스터디 지갑 대상 피싱 공격은 이미 고도로 전문화되고 자동화되었습니다. 단순히 “조심하자”는 태도만으로는 충분하지 않습니다. 능동적인 보호 기능을 갖춘 지갑을 사용하면서, 서명 확인·URL 검증·승인 정리 같은 체계적인 보안 습관을 함께 만들어야 합니다.
OneKey 지갑을 다운로드해 서명 내용 해석과 트랜잭션 시뮬레이션 기능을 활용해 보세요. 정기적으로 승인 권한을 정리하고, 탈중앙화 무기한 선물 거래를 할 때는 OneKey Perps를 통해 보다 일관된 보안 워크플로에서 거래하는 것을 권장합니다.
위험 고지: 이 글은 교육 목적의 참고 자료이며 투자 조언, 법률 조언 또는 보안 보장을 의미하지 않습니다. 암호화폐 피싱 공격은 계속 진화하고 있으며, 이 글의 방법만으로 완전한 보호를 보장할 수 없습니다. 온체인 전송으로 도난당한 자산은 일반적으로 회수하기 어렵습니다. 충분히 위험을 이해한 뒤 신중하게 행동하세요.
