거래소 사용자를 위한 사기 패턴 분석

거래소에서 거래할 때 자금을 안전하게 지키려면 사기의 기술적 메커니즘을 이해해야 한다. 이 문서에서는 피싱, 가짜 지원, 악성 에어드랍의 구조를 분석하고 링크 및 컨트랙트 검증 방법을 다룬다.

피싱의 기술적 구조

피싱은 사용자의 개인 키나 로그인 정보를 탈취하는 목적의 가짜 웹사이트다. 공격자는 도메인 이름을 미세하게 변경하거나 SSL 인증서를 사용하여 정상적인 서비스처럼 위장한다. 사용자는 URL을 문자 단위로 검증하고 브라우저에 표시된 인증서를 확인해야 한다.

가짜 지원팀의 사회 공학

거래소 지원팀을 사칭하여 사적인 메시지를 보내는 공격이 빈번하다. 이들은 자금 세탁 조사나 계정 잠금 해제라는 명목으로 지갑 주소나 시드 구문을 요구한다. 합법적인 지원팀은 절대 메시지나 채팅을 통해 자격 증명이나 자금 전송을 요구하지 않는다.

에어드랩 트랩과 서명 권한

무료 코인을 미끼로 지갑 연결을 유도하는 악성 에어드랩 사기가 유행한다. 웹사이트에서 "서명(Sign)"을 요청하면, 이는 단순 인증이 아닌 자금 이체 권한을 영구적으로 부여하는 스마트 컨트랙트 실행일 수 있다. 서명 요청 데이터를 직접 읽을 능력이 없다면 연결을 거부하는 것이 맞다.

링크 검증과 도메인 분석

이메일이나 채팅방의 링크를 클릭하는 것은 신뢰할 수 없는 채널로 이동하는 행위다. 나는 항상 수동으로 주소창에 공식 도메인을 입력하거나, 검증된 북마크를 사용하여 접근한다. 링크를 클릭했을 때 페이지가 즉시 리다이렉트된다면 해당 페이지를 종료하고 다시 확인해야 한다.

스마트 컨트랙트 소스 코드 검증

디앱과 상호작용할 때는 배포된 스마트 컨트랙트의 투명성을 의심해야 한다. 블록 탐색기에서 해당 컨트랙트 주소의 소스 코드가 검증(Source Verified) 상태인지 확인한다. 소스 코드가 없거나, 거버넌스 기능이 특정 주소에게 무제한 권한을 부여하는 코드가 포함되어 있다면 위험하다.

보안 점검 체크리스트

거래 전후로 다음 사항을 점검하여 공격 표면을 최소화한다.

• URL의 철자가 정확한지 두 번 확인한다.
• 지갑 연결 시 요청되는 권한을 읽고 이해한다.
• 의심스러운 메시지는 무시하고 거래소 내 공식 채널을 통해 문의한다.
• 타인이 보낸 계약서나 실행 파일을 실행하지 않는다.

거래소 내부 월렛에 자금을 보관하고, 외부 지갑 연결 시 항상 컨트랙트 소스 코드를 먼저 확인하라.