2026년 5월 말, MetaMask를 사칭해 '필수 2026 시스템 업그레이드'를 요구하는 피싱 캠페인이 진행되어 수백 개의 EVM 지갑이 피해를 입었습니다. 온체인 조사자 ZachXBT는 5월 28일 Ethereum, Polygon, Arbitrum, Base 등에서 발생한 연관된 탈취 거래들을 추적해 이 패턴을 보고했습니다. 피해 금액은 과거 대형 해킹 사건보다 소규모지만, 피해자 수는 상당히 많으며 공격 수법이 상당히 정교했습니다.
확인된 사례의 평균 피해액은 1만~2만 달러 수준이며, 5월 30일 기준 ZachXBT의 집계에 따르면 400개 이상의 고유 주소에서 총 900만 달러 이상의 자산이 탈취된 것으로 집계됩니다. 이 공격의 중요성은 금액보다는 방법에 있습니다. 위장 이메일이나 푸시 알림을 통해 사용자는 '업데이트 미인증 시 지갑 사용 불가'라는 문구와 함께 검증 페이지로 이동하게 됩니다. 해당 페이지에서는 지갑 연결과 단일 거래 서명을 요구하며, 실제로는 피싱 컨트랙트에 대한 토큰 승인(approve) 서명을 유도하게 됩니다. 이 서명 후, 지갑의 자산은 수 초 내에 모두 인출됩니다.
피싱 진행 단계
공격은 단순하면서도 효과적입니다. 피해자는 MetaMask로 위장된 이메일 또는 알림을 받습니다. 내용은 '2026년 필수 업데이트 미진행 시 일정 기한 이후 자산 접근이 불가'하다는 경고 문구와 함께 시각적으로 metamask.io와 유사한 피싱 도메인(예: metamasks-update.com, metamask-validator.io, secure-metamask.app 등) 링크를 포함합니다.
랜딩 페이지는 MetaMask 공식 웹사이트를 거의 완벽하게 복제한 모습입니다. 사용자는 '지갑 인증' 버튼을 클릭해 WalletConnect 모달을 연 뒤, 트랜잭션에 서명합니다. 이 트랜잭션은 실제로 ERC-20 토큰의 setApprovalForAll, NFT 전송 승인, 또는 drainer 컨트랙트에 대해 무제한 권한을 주는 permit 서명입니다.
서명 직후 drainer 컨트랙트가 모든 토큰을 공격자 주소로 전송합니다. 자산은 수분 내에 체인 간 브리징, 믹싱 등을 거쳐 여러 지갑으로 이동됩니다.
효과적이었던 공격 요인
이 피싱 공격은 세 가지 측면에서 기존과 차별화됩니다. 첫째, 사칭의 정교함입니다. 이전의 MetaMask 피싱은 조잡한 이메일 템플릿과 오타, 낮은 신뢰성의 도메인을 사용했지만, 이번에는 픽셀 단위까지 정교한 복제, 자연스러운 문구, 미리 준비된 도메인, SSL 인증 등 신뢰성 확보에 주력했습니다.
둘째, 실제 서비스와 유사한 긴박감을 활용했습니다. '필수 2026 업그레이드'와 같은 메시지는 브라우저, OS, 은행 앱 등 다양한 소프트웨어에서 실제로 받아본 적 있는 방식이기에, 사용자가 경계심을 덜 느끼게 됩니다. 무료 토큰 제공이나 시드 문구 요청 등 명백한 유도는 피했습니다.
셋째, 여러 체인(Ethereum, Polygon, Arbitrum, Base)을 동시에 타깃했습니다. 이전엔 주로 Ethereum 메인넷만을 노렸으나, 이번엔 각 체인별로 drainer 컨트랙트와 주소를 맞춰 배포해, L2 사용자를 포함한 폭넓은 피해가 발생했습니다.
온체인 추적 방법
온체인 포렌식은 다음과 같이 이루어졌습니다. ZachXBT는 Ethereum의 drainer 컨트랙트를 먼저 확인하고, 여기에 자금을 공급한 월렛을 추적했습니다. 이 월렛은 Polygon, Arbitrum, Base의 대응 drainer 컨트랙트 역시 소액의 가스비를 송금받은 이력이 있었고, 자금 출처는 3주 전 중앙화 거래소 출금으로 확인됩니다.
중앙화 거래소는 비KYC 오프쇼어 플랫폼으로, 법적 소환에도 협조하지 않기 때문에 이 지점에서 추적이 중단됩니다. ZachXBT는 이 캠페인을 drainer 팀이 인프라를 구축해 피싱 제휴자에게 제공하고, 그 대가로 수익의 20~30%를 지급받는 구조로 추정하고 있습니다.
하드웨어 월렛의 방어 효과
피해자 주소의 공통점은 대부분이 핫월렛(브라우저 확장, 모바일 앱 등 소프트웨어 지갑)이라는 점입니다. 반면 Ledger, Trezor 등 하드웨어 월렛은 물리적으로 기기에서 거래 내용을 확인 후 서명해야 하기 때문에, 사용자 입장에서 낯선 컨트랙트에 대한 setApprovalForAll을 보다 쉽게 거부할 수 있습니다.
이 점이 하드웨어 월렛의 강점입니다. drainer 컨트랙트가 서명을 요청하더라도, 사용자가 별도의 신뢰할 수 있는 화면에서 직접 승인 여부를 확인해야 하므로, 실수로 승인할 확률이 훨씬 낮아집니다. 이 인증 과정의 '번거로움'이 오히려 방어책이 되는 셈입니다.
소프트웨어 차원에서도 주요 월렛(예: MetaMask)은 거래 승인 전 시뮬레이션 및 무제한 승인 경고 기능을 최신 버전에서 기본 제공하고 있습니다. 구버전 사용 또는 해당 안내를 무시한 사용자가 주로 피해를 입었습니다.
EVM 사용자를 위한 보안 수칙
방어 방법은 새롭지 않습니다. 암호화폐 보안 체크리스트를 참고해 전체적인 절차를 확인할 수 있습니다. 이메일이나 알림으로 도착한 '필수 업그레이드' 또는 '인증 요구' 메시지는 기본적으로 피싱으로 의심해야 하며, 실제 월렛 소프트웨어 업데이트는 앱 내에서만 진행됩니다. 요청이 진짜인지 확신이 안 든다면, 반드시 공식 URL을 직접 입력해 접근하시기 바랍니다.
사용하지 않는 토큰 승인은 취소하세요. 무료 도구인 Revoke.cash를 통해 활성화된 모든 승인 내역을 확인할 수 있습니다. 더 이상 사용하지 않는 프로토콜에 남은 권한은 공격의 표적이 될 수 있으니, 필요 없는 승인은 취소하고, 자주 쓰는 프로토콜은 새로 승인하세요. 상당 금액을 보관하는 주소에는 반드시 하드웨어 월렛을 사용하시고, 여건이 안 된다면 별도의 브라우저 프로필(확장 프로그램 미설치 상태)에서만 암호화폐를 다루시기 바랍니다.
트랜잭션 세부 내용을 반드시 확인한 후 서명하세요. setApprovalForAll 또는 permit 서명의 전체 내용에서 승인 대상 컨트랙트와 권한 범위를 반드시 확인해야 합니다. 모르는 컨트랙트, 무제한 승인 요청이 보이면 거부가 정답입니다.
자주 묻는 질문
내가 피해자인지 어떻게 확인할 수 있나요?
최근 10일 내 본인이 인지하지 못한 승인 또는 전송 트랜잭션이 있는지 지갑 내역을 확인하세요. Etherscan token approvals에서 모든 승인 내역을 조회할 수 있습니다. 모르는 컨트랙트에 대한 승인이 있다면 주의가 필요합니다. 탈취 트랜잭션이 확인된다면, 자산은 이미 이동된 상태일 가능성이 높으나 ZachXBT와 지역 수사 기관에 신고하는 것이 권장됩니다.
MetaMask는 왜 이 도메인들을 완전히 막지 못하나요?
MetaMask는 피싱 도메인 차단 리스트를 운영 중이며, 신고 시 새로운 도메인을 추가합니다. 하지만 공격자는 차단 속도보다 더 빨리 새 도메인으로 전환하며, 이 리스트만으로 완전한 방어는 어렵습니다.
L2 지갑이 메인넷 지갑보다 더 안전한가요?
아닙니다. 이번 캠페인의 drainer 컨트랙트는 모든 EVM 체인에서 작동합니다. L2는 가스비가 저렴해 사용 유인이 있을 뿐, 공격 면은 동일합니다.
중앙화 거래소로 자산을 옮기는 것이 더 안전한가요?
위험 요소에 따라 다릅니다. 신뢰성 높은 중앙화 거래소는 보험, 콜드스토리지, 준비금 증명 등을 통해 피싱 위험을 줄여주지만, 거래소 자체의 리스크와 상대방 리스크가 생깁니다. 대다수 사용자는 장기 보관용 하드웨어 월렛, 소액 핫월렛, 거래용 적정 금액만 거래소에 보관하는 것이 권장됩니다.
결론
이번 피싱 캠페인은 약 1주일 만에 400개 이상의 지갑에서 900만 달러 이상을 탈취했습니다. drainer 인프라는 여전히 가동 중이며, 도메인 교체와 정교한 사칭 기법으로 인해 유사 수법이 계속될 가능성이 높습니다. 방어 방법은 명확합니다. 하드웨어 월렛 사용, 외부 '필수 업그레이드' 메시지에 대한 경계심, 승인 권한 정기 점검, 트랜잭션 시뮬레이션 확인 등 기본 수칙을 다시 점검하시기 바랍니다. 앞으로 2주 내에 MetaMask 외 Rabby, Phantom, Trust 등 주요 월렛 사칭 사례로 수법이 전환될 가능성이 높으니, 월렛 관련 이메일은 은행 PIN을 요구하는 것과 같이 경계하시기 바랍니다.
이 글은 정보 제공 목적이며, 금융 또는 투자 조언이 아닙니다. 암호화폐 거래에는 상당한 위험이 수반됩니다. 투자 결정을 내리기 전 반드시 스스로 조사하시기 바랍니다.
