블록체인 보안 업계는 경계를 늦추지 않고 있습니다. 새롭고 교묘한 피싱 캠페인이 인기 암호화폐 지갑인 메타마스크 사용자를 노리고 있습니다.
이 공격의 특징은 사기범들이 가짜 '이중 인증'(2FA) 스트림을 사용하여 피해자가 자발적으로 복구 암호를 넘기도록 속이고 있습니다.
사기 수법의 구조: 진화한 사회공학적 기법
보안 회사 블록체인 슬로우미스트 온 엑스의 CSO에 따르면, 이 작전은 평균 이상의 기술적, 심리적 정교함이 돋보이는 것으로 나타났습니다. 속임수 과정은 겉으로 보기에 공식적인 커뮤니케이션으로 시작됩니다. 피해자는 메타마스크의 기술 지원팀에서 직접 보낸 것처럼 보이는 이메일을 받습니다.
이 메시지는 MetaMask의 전문 브랜드, 늑대 로고 및 오리지널 색상 팔레트를 활용하여 이중 인증 의무화 요건 도입을 알립니다. 공격자들은 효과를 극대화하기 위해 공식 도메인과 거의 동일한 도메인을 사용합니다. 문서화된 한 사례에서는 주의가 산만한 사용자나 긴급한 요청에 몰두하는 사용자에게는 거의 보이지 않는 글자 하나에 차이가 있었습니다.
2FA 가짜 트랩
사용자는 링크를 클릭하면 미러 사이트로 이동하여 합법적인 보안 절차로 안내를 받습니다. 마지막 단계에서 사용자는 2FA 보안 검사를 완료했다는 구실로 '시드 문구'(니모닉 복구 문구)를 입력하라는 요청을 받습니다.
이것이 바로 돌아올 수 없는 지점입니다. 검색 문구는 디지털 지갑의 마스터 키입니다. 전문가들이 지속적으로 강조하는 바와 같이, 이를 손에 넣으면 누구나
- 소유자의 승인이나 모르게 자금을 이체할 수 있고
- 몇 초 만에 다른 장치에서 지갑을 다시 생성할 수 있으며
- 관련 개인 키를 완전히 제어하고
- 거래에 완전히 독립적으로 서명하고 실행할 수 있습니다.
본질적으로 사기꾼이 시드 문구를 획득하면 비밀번호나 장치 승인을 우회하여 정상적인 보안 보호를 무효로 만들 수 있습니다.
🚨MetaMask 出现新型 '2FA 安全验证' 骗局 @MetaMask @tayvano_
- 23pds (山哥) (@im23pds) 2026년 1월 5일
注意防范 pic.twitter.com/RJM78If9zb
2025년의 역설: 손실은 줄었지만 위험은 더 커졌다
이러한 위협의 출현은 독특한 시장 상황에서 발생합니다. 2025년 데이터에 따르면 암호화폐 업계에서 피싱과 관련된 손실이 급격히 감소한 것으로 나타났습니다(피싱). 2024년에 약 4억 9,400만 달러를 도난당한 것과 비교하면 약 83% 감소한 약 8,400만 달러로 집계되었습니다.
그러나 이러한 감소가 보안에 대한 잘못된 인식으로 이어져서는 안 됩니다. 2026년 초 밈 코인에 대한 새로운 관심과 소액(개인) 투자자들의 참여 증가에 힘입어 시장 회복의 첫 징후가 보이자 사이버 범죄자들은 더욱 정교한 방법으로 공격에 복귀했습니다.
자신을 보호하는 방법
이 사기의 역설은 보호를 위해 태어난 도구인 2FA의 매우 긍정적인 명성을 악용하여 사용자를 속인다는 점입니다. 전문가들은 어떤 지갑 제공업체도 보안 기능을 활성화하거나 기술적 인증을 위해 복구 문구를 요구하지 않는다는 예외를 인정하지 않는 황금률을 반복해서 강조합니다.
디지털 자산에 대한 새로운 열정이 넘치는 분위기에서 피싱 방법론에 대한 인식과 신중한 자격증명 관리만이 진정으로 효과적인 유일한 방어책입니다. 어떤 이유로든 시드 문구를 다른 사람과 절대 공유해서는 안 된다는 원칙은 변함이 없습니다.
