코인 피싱 피하는 법
크립토 자산은 한 번 빠져나가면 되돌릴 수 없습니다. 그래서 해커는 가격을 예측하거나 시장을 흔드는 대신, 사용자를 속여 직접 키나 서명을 내주게 만듭니다. 이 글은 대표적인 피싱 수법과 실전 방어법을 정리합니다. 투자 권유가 아니며 보안 정보 제공이 목적입니다.
피싱은 왜 코인에서 더 위험한가
은행 이체는 정지·환불이 가능하지만, 블록체인 거래는 한 번 승인되면 취소가 불가능합니다. 또한 자산을 지키는 권한이 비밀번호가 아니라 개인키와 시드 문구에 있어, 이를 한 번이라도 노출하면 곧바로 전액 탈취로 이어집니다. 피싱이 가격 예측이나 차트 분석보다 훨씬 직접적인 위협인 이유입니다.
가짜 사이트와 DM 수법
가장 흔한 수법은 진짜와 거의 똑같은 가짜 사이트와 사칭 메시지입니다.
- 가짜 사이트: 검색 광고 상단이나 비슷한 철자의 도메인(예: 0과 O, l과 1 혼동)으로 유도합니다.
- 사칭 DM: 텔레그램·디스코드·X에서 "운영진", "에어드랍 당첨", "지갑 인증 필요"를 사칭합니다.
- 긴급성 압박: "10분 내 인증 안 하면 자산 동결" 같은 시간 압박으로 판단을 흐립니다.
절대 하면 안 되는 것
| 행동 | 이유 |
|---|---|
| 시드 문구·개인키 입력 | 입력하는 순간 자산 전체가 탈취됩니다. 어떤 정상 서비스도 요구하지 않습니다. |
| 링크를 통한 지갑 연결 | 가짜 사이트에서 악성 서명을 유도할 수 있습니다. |
| 모르는 토큰·NFT 클릭 | 입금된 미끼 자산이 악성 사이트로 연결되기도 합니다. |
| 화면 공유·원격 제어 허용 | "기술 지원"을 빙자해 지갑을 통째로 노립니다. |
드레이너 서명을 조심하라
최근 가장 교묘한 수법은 시드를 묻지 않고 악성 서명(드레이너, drainer)을 받아내는 방식입니다. 지갑 연결 후 뜨는 서명 창에서 무심코 승인(Approve)이나 setApprovalForAll에 동의하면, 해커가 내 토큰을 마음대로 옮길 권한을 얻습니다. 시드를 한 번도 보여주지 않았는데 자산이 사라지는 이유가 이것입니다. 웹3 지갑에서 서명할 때는 "무엇을 승인하는지" 내용을 반드시 읽어야 합니다.
- 서명 요청에 지출 한도(amount)가 무제한(unlimited)이면 의심합니다.
- 의미를 모르는 서명은 거부하고, 사이트 정체를 먼저 확인합니다.
- 이미 연결한 권한은 토큰 승인 취소(revoke) 도구로 주기적으로 점검합니다.
실전 방어 체크리스트
- URL은 직접 북마크: 거래소·지갑은 검색·DM 링크 대신 미리 저장한 즐겨찾기로만 접속합니다.
- 시드는 오프라인 보관: 화면·사진·클라우드·문자에 남기지 않습니다. 자세한 내용은 시드 관리 글을 참고하세요.
- 고액은 분리: 큰 금액은 평소 안 쓰는 지갑이나 하드웨어 지갑에 두어 노출 위험을 줄입니다(지갑 종류 참고).
- 2단계 인증(2FA)은 문자보다 앱 기반(OTP)을 사용합니다.
- 한 박자 쉬기: 긴급·당첨·무료를 강조하면 일단 멈추고 공식 채널로 사실을 확인합니다.
피싱은 기술 해킹이 아니라 심리를 노린 속임수입니다. "정상 서비스는 시드를 묻지 않는다"와 "서명 내용을 읽는다" 두 원칙만 지켜도 대부분의 피해를 막을 수 있습니다. 본 글은 보안 정보 제공이며 투자 권유가 아닙니다.
NOONOO TRADING 무료 채팅방에서 실시간 트레이딩을 같이 보세요.
무료 채팅방 입장 →📈 OKX 신규 가입 시 거래 수수료 할인
OKX 수수료 할인 가입 →