보상 허브 
2026년 3월 말, 미국, 영국, 캐나다의 4개 법 집행 기관은 30개국 이상에서 도난당한 암호화폐를 추적해 1,200만 달러를 동결하고, 2만 개 이상의 피해자 지갑 주소를 식별했으며, 120개의 사기 웹사이트를 폐쇄했습니다. 이 'Atlantic' 작전은 미국 비밀경호국, 영국 국가범죄수사청(NCA), 온타리오 주경찰, 온타리오 증권위원회가 공동 주최했습니다. 조사 과정에서 총 4,500만 달러 이상의 사기가 확인됐으며, 이 중 3,300만 달러는 여전히 조사 중입니다.
이 사기의 대부분은 '승인 피싱(Approval Phishing)'으로 불리는 소셜 엔지니어링 공격이었습니다. 이 방식은 사용자의 개인 키나 시드 문구를 탈취하지 않고, 사용자가 한 번의 트랜잭션에 서명하도록 유도해 공격자에게 토큰을 무제한으로 사용할 수 있는 권한을 부여하게 만듭니다. 사용자는 비밀번호를 넘기지 않고, 평상시와 유사한 지갑 승인 창에서 "승인" 버튼을 클릭할 뿐이므로 피해 사실을 인식하지 못하는 경우가 많습니다.
본 기사에서는 Operation Atlantic의 주요 결과, 승인 피싱의 기술적 원리, 그리고 이를 예방하는 구체적 방법을 정리합니다.
Operation Atlantic의 실제 주요 조치
이 작전은 2026년 3월 말에서 4월 초까지 1주일간 진행되었습니다. 미국 비밀경호국은 4월 9일 결과를 발표하며, 승인 피싱을 대규모로 겨냥한 첫 다국적 공조 집행이라고 평가했습니다.
수치가 모든 것을 설명합니다. 수사관들은 미국, 영국, 캐나다 등 30개국 이상에 분포한 피해자 지갑 주소 2만여 개를 확인했고, 이 중 3,000명 이상에게 직접 연락해 지갑 침해 사실을 알렸으며, 일부는 범죄자가 자금을 옮기기 전에 동결 조치했습니다. 영국의 한 피해자는 단 한 번의 승인 피싱 트랜잭션으로 약 5만2,000파운드를 잃었습니다.
또한, 수사팀은 가짜 DeFi 인터페이스, 가짜 에어드롭 페이지, 위조된 지갑 연결 창 등 사기용 웹사이트 120개를 폐쇄했습니다. The Block에 따르면, 확인된 사기 자금 3,300만 달러는 현재도 추적 중으로, 작전은 아직 종료되지 않았습니다.
Chainalysis는 실시간 온체인 추적, 피해 지갑 식별, 여러 체인에 걸친 사기 인프라 연결 등 블록체인 인텔리전스 지원을 제공했습니다. 민간 분석 기업이 국제 합동 수사팀에 포함된 것은 온체인 포렌식이 현대 암호화폐 범죄 대응에서 중심적 역할임을 보여줍니다.
승인 피싱의 기술적 원리
승인 피싱은 DeFi의 기본 기능을 악용합니다. 사용자가 탈중앙화 거래소에서 토큰을 교환하거나, Aave 같은 프로토콜에서 대출 또는 NFT 민팅을 할 때, 해당 스마트 컨트랙트에 내 토큰을 사용할 수 있는 권한을 먼저 부여해야 합니다. ERC-20 표준에는 approve() 함수가 있으며, 이때 승인 대상과 한도를 입력합니다.
정상적인 프로토콜은 사용분 만큼의 금액만 승인 요청하지만, 함수 자체에는 상한 제한이 없습니다. 악성 컨트랙트는 무제한 승인을 요청할 수 있어, 공격자에게 지갑 내 해당 토큰을 언제든 인출할 수 있는 권한을 부여하게 됩니다.
공격은 보통 세 단계로 이뤄집니다. 1) 공격자는 신뢰받는 DeFi, 에어드롭, 지갑 인증 사이트를 위장한 웹사이트를 만듭니다. 2) 사용자가 지갑을 연결하면 승인 요청 트랜잭션이 발생합니다. 3) 사용자가 세부 내용을 확인하지 않고 승인하면, 공격자 주소에 무제한 접근 권한이 넘어가게 됩니다. 공격자는 즉시 인출하지 않고 며칠, 몇 주 후 transferFrom() 호출로 토큰을 인출할 수 있습니다.
최근에는 '퍼밋 서명 피싱(Permit Signature Phishing)'이라는 변형도 등장했습니다. 이 방식은 온체인 트랜잭션 대신, 오프체인 메시지에 서명해 승인을 부여하는데, 이 서명은 거래 내역에 남지 않아 피해자가 인지하기 어렵고, 공격자가 나중에 제출해 토큰을 인출할 수 있습니다.
승인 피싱이 주요 암호화폐 사기가 된 이유
수치가 설명합니다. Chainalysis의 2026 Crypto Crime Report에 따르면, 2024~2025년 승인 피싱 피해액은 10억 달러 이상이었습니다. 2026년 1월 한 달 동안만 피싱 공격으로 약 3억 달러가 유출됐으며, 이 중 대부분이 승인 기반 공격이었습니다.
출처: Chainalysis
이유는 경제성에 있습니다. 전통적 해킹(스마트컨트랙트 버그, 플래시 론, 브릿지 취약점)은 높은 기술력과 긴 준비 기간이 요구됩니다. 반면 승인 피싱은 간단히 웹사이트 제작, 소셜 미디어 광고, 가짜 에어드롭 등으로 대중을 유인해 대량의 승인을 수집할 수 있습니다. 피해자는 인출까지 오랜 시간이 걸릴 수 있어, 위험을 인지하지 못합니다.
또한 승인 권한은 만료되지 않습니다. 2023년에 수상한 DeFi 프로토콜과 상호작용해 무제한 승인을 부여했다면, 직접 취소하지 않는 한 권한은 계속 남아 있습니다. 공격자는 과거 승인을 가진 지갑 목록을 입수해 대상을 물색할 수 있습니다.
| 공격 유형 | 공격자가 필요한 것 | 피해자 행동 | 취소 가능 여부 |
|---|---|---|---|
| 개인키 탈취 | 시드 문구/개인키 | 최초 유출 이후 추가 없음 | 불가 |
| 승인 피싱 | 1회의 승인 서명 트랜잭션 | 가짜 창에서 "승인" 클릭 | 인출 전이면 가능 |
| 퍼밋 서명 피싱 | 1회의 오프체인 서명 | 메시지 서명(거래 내역 미표시) | 인출 전이면 가능 |
| 스마트컨트랙트 익스플로잇 | 프로토콜 코드 취약점 | 프로토콜 이용자 전체 영향 | 프로토콜 대응에 따라 다름 |
토큰 승인 현황 확인 및 취소 방법
개인키 탈취와 달리 승인 피싱은 인출 전이라면 언제든 취소가 가능합니다. 빠르게 권한을 취소하면 피해를 예방할 수 있습니다.
먼저 Revoke.cash에 접속해 지갑을 연결합니다. 해당 도구는 이더리움, 폴리곤, BSC, 아비트럼 등 모든 EVM 체인에서 부여된 승인 내역을 검사해 어떤 컨트랙트가 내 토큰에 접근 가능한지 보여줍니다.
알 수 없는 컨트랙트, 무제한 승인, 이상한 날짜의 승인 내역이 있다면 즉시 취소해야 합니다. 신뢰할 수 없는 프로토콜에 부여된 승인은 즉시 "revoke"를 클릭해 온체인 트랜잭션으로 권한을 0으로 바꿔주세요(소량의 가스비 발생). 권한이 취소되면 해당 컨트랙트는 더 이상 내 토큰을 옮길 수 없습니다.
이러한 점검을 매달 습관화하세요. DeFi를 오래 사용한 지갑일수록 승인 권한이 누적되어 취약점이 늘어날 수 있습니다. 가치가 큰 자산을 보관한다면, 하드웨어 월렛을 콜드 스토리지로 활용해 DeFi와 직접 연결하지 않고, 소액만 별도의 핫월렛에 남기는 것이 안전합니다. 승인 요청이 뜨면 항상 주의하세요.
Operation Atlantic이 시사하는 암호화폐 범죄 대응의 미래
Operation Atlantic은 단발성 사례가 아니라 새로운 모델입니다. 미국 연방, 영국 국가, 캐나다 주, 증권규제기관, 민간 분석기업이 협력해 온체인 정보를 기반으로 실시간 대응을 실현했습니다.
작전 기간 동안 3,000명 이상 피해자에게 직접 연락했다는 점도 특징적입니다. 전통 금융 사기는 피해 확인에 수년이 걸릴 수 있지만, 블록체인 공개 장부는 실시간 피해 지갑 식별과 경고를 가능하게 합니다. 이는 암호화폐 특유의 강점이며, 앞으로 더 활용될 전망입니다.
그러나 4,500만 달러 중 1,200만 달러만 동결되어, 전체 피해액 대비 회수율은 약 27%에 불과합니다. 글로벌 승인 피싱 피해 규모에 비하면 극히 일부입니다. 이 모델의 실효성은 입증됐으나, 문제 규모에 맞춰 확장하는 것이 다음 과제입니다. 앞으로는 유로폴, 인터폴, 아시아 금융 규제기관 등 다양한 기관의 참여로 유사 작전이 더 확대될 수 있습니다.
자주 묻는 질문(FAQ)
암호화폐에서 승인 피싱이란?
승인 피싱은 사용자가 트랜잭션에 서명해 공격자에게 토큰 사용 권한을 부여하도록 유도하는 방식입니다. 개인키나 시드 문구를 빼앗지 않고, DeFi 표준 ERC-20 승인 함수를 악용해 정상 지갑 이용을 위장합니다.
승인 피싱 피해 시 자금을 되찾을 수 있나요?
권한이 아직 사용되지 않았다면 즉시 취소해 남은 자산을 보호할 수 있습니다. 이미 인출된 경우, Operation Atlantic처럼 법 집행기관의 조치에 따라 일부 반환 가능성이 있습니다. 신속히 지역 수사기관 또는 IC3(FBI 인터넷 범죄신고센터)에 신고하면 도움을 받을 수 있습니다.
내 지갑이 승인 피싱에 노출됐는지 확인하는 방법은?
Revoke.cash에 지갑을 연결해 모든 승인 내역을 점검하세요. 알 수 없는 컨트랙트에 무제한 승인, 낯선 날짜의 승인 등이 있으면 경계해야 합니다. 불확실한 링크 클릭, 낯선 사이트 방문, 예기치 않은 에어드롭 수령 시기도 함께 확인하세요.
거래소에 암호화폐를 두면 승인 피싱 방지에 도움이 되나요?
네. 승인 피싱은 자가 보관(셀프 커스터디) 지갑에서만 발생합니다. 규제 거래소인 Phemex와 같은 곳에 자산이 있다면, 거래소가 커스터디를 관리하고 제3자 스마트컨트랙트와 직접 연결되지 않아 승인 피싱 리스크가 없습니다. 대신 거래소의 보안에 의존한다는 점은 유의해야 합니다.
결론
Operation Atlantic은 승인 피싱이 국경을 넘는 주요 암호화폐 범죄임을 보여주었습니다. 작전으로 1,200만 달러가 동결되었으나, 2026년 1월 한 달간 승인 피싱 피해액이 3억 달러에 달해, 범죄 규모와 집행력의 격차가 큽니다. 본질적으로, 내 지갑의 모든 활성 승인은 직접 취소하지 않는 한 계속 위험 요소로 남습니다. DeFi를 몇 달 이상 사용하며 승인 내역을 한 번도 점검하지 않았다면 잠재적 위험이 존재할 수 있습니다. Revoke.cash 점검은 5분이면 충분하며, 셀프 커스터디 지갑 사용자를 위한 가장 효과적인 보안 조치입니다.
본 기사는 정보 제공용으로 작성되었으며, 금융 또는 투자 조언이 아닙니다. 암호화폐 거래는 상당한 위험을 수반하므로, 거래 전 반드시 충분한 사전 조사를 하시기 바랍니다.
