2026년 5월 12일, 이더리움이 Clear Signing 표준을 공식 활성화했다. 이제 트랜잭션 서명 요청에서 알아볼 수 없는 16진수 문자열 대신 일반 언어로 된 설명이 표시된다. Ledger, Trezor, MetaMask는 첫날부터 지원을 통합했다. 사용자가 서명하기 전에 실제로 무엇에 동의하는지 처음으로 명확하게 확인할 수 있게 된 것이다.
가볍게 볼 변화가 아니다. Scam Sniffer의 보고서에 따르면 2026년 1분기 디지털 서명 피싱으로 4,741명의 피해자에게서 627만 달러가 탈취됐고. 이는 전 분기 대비 207% 증가한 수치다. 공격의 핵심은 단순하다 또한 사용자가 이해하지 못한 채 서명한다는 것. Clear Signing은 바로 그 지점을 겨냥한다.
Clear Signing 전후, 무엇이 달라졌나
사실, 핵심 수치 (출처: Scam Sniffer, 2026년 1분기):
- 서명 피싱 피해액 Q1 2026: 627만 달러
- 피해자 수: 4,741명
- Q4 2025 대비 증가율: 207%
- Clear Signing 통합 완료 지갑: Ledger, Trezor, MetaMask
Clear Signing 이전에 Ledger 같은 하드웨어 지갑은 서명 요청을 다음과 같이 표시했다. 0x095ea7b3000000000000000000000000.... 이 코드를 읽을 수 있는 일반 사용자는 사실상 없다. 피싱 공격자들은 이 점을 정확히 노렸다. 웹 인터페이스에서는 무해해 보이는 트랜잭션을 제시하면서 지갑은 읽을 수 없는 16진수만 표시한다는 사실을 알고 있었다. 사용자는 자신이 무엇을 허용하는지 모른 채 서명했고, 대부분의 경우 악성 컨트랙트에 대한 무제한 승인이었다. 이후 공격자가 언제든 지갑을 비울 수 있었다.
이제는 같은 지갑이 이렇게 표시한다. “Approve USDC spending: unlimited, to contract 0x1a2b...”, 검증된 프로토콜 이름과 금액을 명확히 표시한다. 크립토 지갑 보안을 오랫동안 연구해온 전문가들은 이 단순한 변화가 블라인드 승인 위험을 의미 있게 줄인다고 평가한다. 완전히 제거하지는 못한다 그리고 공격자들은 적응한다. 하지만 주의 깊은 사용자를 속이는 비용이 크게 높아진다.
Ethereum Foundation과 연결된 공식 계정은 X에서 이 표준을 미리 예고한 바 있다: @ethereum Clear Signing 관련 최근 게시물 보기.
Ethereal news weekly #24
, Ethereal news (@EtherealnewsHQ) May 22, 2026
🎟 @EFDevcon Devcon 8 early bird tickets
🧑💻 @ApeFramework ApeWorX collective: nonprofit for Python dev tooling
🧪 @ethPandaOps glamsterdam-devnet-4 launchedhttps://t.co/O0HUJ8dGKu
2026년 크립토 사기 공격 벡터별 분포
크립토 사기 공격 벡터별 분포, 2026년 1분기 (추정치)
출처: Scam Sniffer · Chainalysis · SpazioCrypto 분석 · 2026년 5월
크립토 사기 공격 벡터별 분포, 2026년 1분기 (추정치)
출처: Scam Sniffer · Chainalysis · SpazioCrypto 분석 · 2026년 5월
차트는 Clear Signing이 왜 최우선 대응책인지를 보여준다. Scam Sniffer와 Chainalysis 데이터에 따르면 “블라인드 서명 및 서명 피싱” 벡터가 2026년 1분기 전체 사기 피해의 약 38%를 차지한다. 가장 창의적인 공격은 아니지만, 확장성이 가장 높다. 악성 컨트랙트가 심긴 클론 사이트 하나로 수천 명을 공격할 수 있고, 피해자 중 누구도 자신이 무엇을 승인했는지 알지 못한다. Wallet poisoning(트랜잭션 기록에 유사 주소 삽입)이 두 번째를 차지한다.
Clear Signing, 블라인드 서명 문제를 완전히 해결하나
완전하지는 않다 그리고 지나치게 단순화하면 안 된다. Clear Signing이 활성화돼도 세 가지 구체적인 한계가 남는다. 첫째, 사용자가 이용하는 dApp이 지갑이 트랜잭션을 명확한 언어로 해석하는 데 필요한 메타데이터를 올바르게 구현했을 때만 작동한다. 부주의하게 만들어졌거나 급하게 출시된 dApp은 여전히 불완전한 데이터를 표시할 수 있다. 둘째, 지갑이 트랜잭션을 올바르게 표시해도 사용자가 합법적인 앱을 사용하고 있다고 확신하는 고급 소셜 엔지니어링 공격을 막지 못한다. 셋째, Ethereum Foundation이 표준의 기술 사양을 공개했지만, DeFi 프로토콜 전반의 도입에는 시간과 코드 업데이트가 필요하다.
그럼에도 SpazioCrypto 지갑 가이드의 기본 원칙은 변하지 않는다. 인터페이스가 아무리 신뢰할 수 있어 보여도, 이해하지 못한 트랜잭션에는 절대 서명하지 마라. Clear Signing은 서명 내용을 더 쉽게 이해할 수 있게 해준다. 판단을 대신해주지는 않는다.
최근 몇 주간 가장 많이 회자된 사례는 ZachXBT가 기록한 것이다. G. Love라는 사용자가 2026년 4월 11일 Mac App Store에서 Ledger Live 가짜 복사본을 다운로드해 5.92 BTC(약 42만 달러)를 잃었다. 자금은 KuCoin으로 추적됐다. 이 경우 Clear Signing은 도움이 되지 않았을 것이다. 공격 벡터는 앱 자체였고, 알아볼 수 없는 트랜잭션 서명이 아니었다. 하드웨어 지갑 사용자에게 원칙은 변하지 않는다. 소프트웨어는 반드시 제조사 공식 사이트에서만 다운로드하고, App Store나 제3자 링크는 절대 이용하지 마라.
Ledger는 2025~2026년 두 차례 데이터 침해를 겪었다. 2025년 4월과 2026년 1월(마지막은 결제 처리업체 Global-e를 통해), 약 100만 명의 고객 이름과 연락처가 유출됐다. 이 데이터는 Clear Signing이 차단하지 못하는 개인화된 피싱 캠페인에 활용된다. 자신의 이름과 주소가 포함된, Ledger 발신으로 위장한 이메일을 받는다면, 유일한 방어는 지갑이 아니라 사용자 자신의 의심이다. SpazioCrypto는 크립토 보안 분야의 주요 위협 알림을 위해 PeckShield와 CertiK의 경보를 지속적으로 모니터링하고 있다. Clear Signing은 수년간 기다려온 실질적인 개선이다. 다음 단계는 금액 한도가 있는 승인의 표준화다. 아직 대부분의 DeFi 인터페이스에는 이 기능이 없다. 2026년에도 “unlimited approve”에 서명하는 사용자는, Clear Signing이 활성화돼 있어도, 여전히 스스로 위험을 감수하는 것이다.
