피싱 링크를 어떻게 식별하나요?

피싱(Phishing) 공격은 신뢰할 수 있는 사이트나 서비스처럼 위장하여 사용자를 속이는 방식으로, 가상자산 생태계에서 가장 흔하고 위험한 공격 유형 중 하나입니다. 피싱 링크를 식별하고 피하는 방법을 알아야 자산을 안전하게 지킬 수 있습니다.

왜 중요한가

기술이 아무리 좋아도, 사용자가 직접 악의적인 링크를 클릭하고 서명하면 모든 보안이 무력화됩니다. 가상자산 피싱 공격은 정교하게 제작된 가짜 DeFi 사이트, 지갑 앱, 에어드랍 안내 등 다양한 형태로 나타납니다.

피싱 링크 식별 방법

1. URL 주의 깊게 확인

피싱 사이트는 실제 사이트와 매우 유사한 URL을 사용합니다:

• 진짜: onekey.so
• 가짜: 0nekey.so, onekey-so.com, 0nekey.app (숫자 0과 영문자 O 혼용 등)

항상 주소창의 URL을 직접 확인하고, 검색 결과 광고 링크는 특히 주의하세요.

2. HTTPS 확인

HTTPS(자물쇠 아이콘)가 없는 사이트는 매우 위험합니다. 단, HTTPS가 있어도 피싱 사이트일 수 있으므로 URL 자체를 반드시 확인하세요.

3. 공식 채널에서만 링크 접근

• 공식 트위터, 디스코드에서 링크 확인
• 즐겨찾기(북마크)에 자주 사용하는 DeFi 사이트를 저장
• 검색 엔진을 통한 접근 시 광고 결과 주의

4. 과도한 권한 요청 의심

정상적인 DeFi 프로토콜은 절대:

• 시드 구문이나 개인 키를 요구하지 않습니다
• 과도하게 큰 긴급 트랜잭션 서명을 요구하지 않습니다
• "에러 수정"을 위해 지갑 다시 연결을 반복 요청하지 않습니다

5. 공식 도구 활용

• Revoke.cash: 의심스러운 컨트랙트 승인 취소
• ScamSniffer, Wallet Guard: 피싱 사이트 경고 브라우저 확장 프로그램
• OWASP 피싱 공격 설명: 피싱 공격 유형 학습

주요 피싱 유형

가짜 에어드랍: "무료 토큰 청구" 링크를 통해 악의적인 컨트랙트에 서명 유도

가짜 지갑 업데이트: 지갑 앱 업데이트처럼 위장하여 시드 구문 입력 요구

가짜 DeFi 프로토콜: 인기 DeFi 사이트를 완벽하게 복제한 가짜 사이트

Discord/Telegram 사기: 공식 채널처럼 위장한 그룹에서 피싱 링크 유포

검색 광고: 구글 등에서 피싱 사이트를 광고로 상단 노출

OneKey App 진입 방법

OneKey App은 알려진 피싱 사이트를 차단하는 보호 기능을 내장하고 있습니다. OneKey 하드웨어 지갑은 서명 요청 시 기기 화면에서 직접 확인을 요구하여 피싱 사이트에 의한 무단 서명을 방지합니다. 항상 OneKey 공식 웹사이트에서 앱을 다운로드하세요.

위험 및 유의사항

• 아무리 공식처럼 보여도, 시드 구문이나 개인 키를 요구하면 무조건 사기입니다.
• SNS나 메신저로 받은 링크는 특히 주의하세요.
• OWASP 피싱 공격 설명에서 다양한 피싱 유형을 학습하세요.

자주 묻는 질문

Q: 피싱 사이트를 방문만 해도 피해가 발생하나요? A: 단순 방문만으로는 대부분 피해가 없지만, 지갑을 연결하거나 트랜잭션에 서명하면 피해가 발생합니다.

Q: 피싱 사이트에 서명했다면 어떻게 해야 하나요? A: 즉시 Revoke.cash에서 해당 승인을 취소하고, 자산을 새 지갑으로 이전하는 것을 고려하세요.

지금 시작하기

피싱 공격에 대한 경각심을 높이고 OneKey App을 다운로드하여 내장 보안 기능을 활용하세요. Revoke.cash를 북마크하고 정기적으로 컨트랙트 승인을 점검하세요.