
[ND 리포트] 단 한 번의 클릭으로 100만 달러 증발, 2026년 가상자산 피싱의 위협
2026년 7월 9일, 한 가상자산 트레이더가 악성 토큰 승인 서명으로 인해 100만 달러 상당의 자산을 도난당했다. AI 기반 공격과 다중 채널 피싱이 급증하는 가운데, 승인 피싱은 올해에만 약 10억 달러의 피해를 입히며 심각한 보안 위협으로 부상했다.
2026년 7월 9일, 가상자산 시장은 단 한 번의 잘못된 서명이 초래하는 치명적인 결과를 목격했다. 한 트레이더가 악성 토큰 승인에 서명한 직후 100만 달러 상당의 자산을 도난당하는 사건이 발생했다. 이번 사건은 온체인 사기꾼들이 사용하는 '승인 피싱' 기법의 위험성을 다시 한번 부각시켰다.
2026년 현재, 이러한 공격 방식은 고액 자산가들을 노리는 가장 효과적인 수단으로 자리 잡았다. 온체인 사기꾼들은 지난해에만 140억 달러 이상의 수익을 올렸으며, 승인 피싱은 그 중심에 있다. 전문가들은 공격자들이 기술적 취약점보다는 사용자의 심리적 허점을 파고드는 사회 공학적 기법을 더욱 정교화하고 있다고 경고한다.
승인 피싱의 핵심은 사용자가 자신의 지갑에 있는 토큰을 공격자가 제어할 수 있도록 권한을 부여하게 만드는 것이다. 주로 'increaseAllowance' 함수를 호출하도록 유도하거나, 서명만으로 권한을 넘기는 'Permit' 기능을 악용한다. 사용자가 트랜잭션의 내용을 충분히 이해하지 못한 채 승인 버튼을 누르는 순간, 공격자는 해당 지갑의 자산을 무제한으로 인출할 수 있는 권한을 획득하게 된다.
온체인 사기꾼들은 지난해 140억 달러 이상의 수익을 올렸으며, 승인 피싱은 여전히 고가치 자산을 노리는 이들의 일차적인 공격 경로다.
공격자들은 정교하게 위장된 웹사이트를 통해 사용자의 지갑 연결을 유도한다. 피해자는 정상적인 탈중앙화 금융(DeFi) 서비스를 이용하는 것으로 착각하지만, 실제로는 자산 탈취를 위한 악성 스크립트가 실행된다. 이러한 수법은 지갑 인터페이스상에서 위험성을 인지하기 어렵게 설계되어 있어 숙련된 트레이더조차 속아 넘어가기 쉽다.
2026년 피싱 환경의 변화와 AI의 위협
2026년 상반기 통계에 따르면 AI 기반 피싱 공격은 전년 대비 1,380% 급증하며 보안 생태계를 위협하고 있다. AI가 생성한 피싱 메일의 성공률은 82.6%에 달하며, 이는 인간 전문가가 작성한 것보다 훨씬 높은 수치로 나타났다. 또한 QR 코드를 이용한 피싱은 400%, 음성 피싱인 보이스 피싱은 442% 증가하며 다중 채널 공격이 주류가 되었다.
- 깨끗한 기기에서 계정 비밀번호를 즉시 변경하고 더 강력한 인증 수단을 도입해야 한다.
- 브라우저에 설치된 낯선 확장 프로그램이나 애플리케이션을 모두 제거해야 한다.
- 온체인 보안 도구를 사용하여 신뢰할 수 없는 컨트랙트에 부여된 토큰 승인 권한을 즉시 취소해야 한다.
- 이메일 전달 규칙이나 계정 복구 설정에 무단 변경 사항이 있는지 철저히 검토해야 한다.
이러한 공격의 배후에는 고도로 숙련된 소수의 공격자들이 존재하며 막대한 수익을 올리고 있다. 분석에 따르면 가장 성공적인 단일 피싱 주소는 약 4,430만 달러를 탈취했으며, 이는 전체 승인 피싱 피해액의 약 4.4%를 차지한다. 상위 10개의 공격 주소가 전체 도난 자산의 상당 부분을 점유하고 있다는 사실은 이 범죄의 조직적인 성격을 잘 보여준다.
승인 피싱으로 인한 누적 피해액은 현재까지 약 10억 달러에 육박하는 것으로 추산된다. 이는 가상자산 보안 인프라의 발전에도 불구하고 사용자 개개인의 보안 의식이 여전히 가장 취약한 고리임을 시사한다. 공격자들은 기술적 취약점보다는 사용자의 심리적 허점을 파고드는 사회 공학적 기법을 더욱 정교화하고 있다.
기술적 진화와 향후 전망
특히 디바이스 코드 피싱의 확산은 기존의 다요소 인증(MFA) 체계를 무력화하고 있어 우려를 낳고 있다. 범죄 플랫폼의 기술적 장벽이 낮아짐에 따라 초보 범죄자들도 정교한 공격을 수행할 수 있는 환경이 조성되었다. 2026년 하반기에도 이러한 추세는 지속될 것으로 보이며 투자자들의 각별한 주의가 요구된다.
투자자들은 단순한 인증 절차에 의존하기보다 서명하는 모든 트랜잭션의 내용을 면밀히 확인하는 습관을 가져야 한다. 또한 정기적으로 지갑의 승인 현황을 점검하고 불필요한 권한은 즉시 취소하는 것이 자산을 지키는 최선의 방법이다. 가상자산 시장의 성장에 발맞춰 보안 위협 역시 진화하고 있음을 명심해야 한다.


본 콘텐츠는 정보 및 논평을 위한 것이며 투자 자문이 아닙니다.
기사에 대한 반응을 남겨보세요
다른 독자의 코멘트를 보고, 바로 의견을 남길 수 있습니다.