암호화폐 에어드롭(Airdorp)을 빙자해 정교하게 꾸민 스캠(피싱) 사이트가 등장해 주의가 요구된다. '공짜 코인'에 혹해 사이트를 제대로 확인하지 않고 개인 키 등을 입력했다가 보유한 암호화폐 자산을 탈취당한 피해자도 나왔다. 신규 암호화폐공개(ICO)가 줄을 잇고 이오스 메인넷 공개 등으로 투자자 관심과 기대감이 부쩍 커진 상황을 노린 것으로 풀이된다.
3일 업계에 따르면 3세대 암호화폐로 주목받는 이오스 메인넷 공개 일정이 진행되면서 관련 스캠 활동도 두드러지게 증가했다. 공식 사이트로 착각하기 쉬운 에어드롭 스캠 사이트까지 등장하면서 이오스 측도 공식 트위터를 통해 스캠 위험성을 경고하고 나섰다.
암호화폐 에어드롭은 주식으로 보면 배당이나 무상증자와 유사한 개념이다. 특정 코인을 보유한 개수만큼 일정 비율에 따라 해당 코인, 혹은 신규 코인을 무상으로 지급한다. 신규 코인 홍보나 디앱(DAPP·블록체인 기반 탈중앙화 애플리케이션) 서비스 초기 사용자 확보 차원에서 주로 이뤄진다.
다만 암호화폐 거래소에서 해당 코인을 구입해 거래소 지갑에만 보관하고 있으면 일부 에어드롭은 받지 못한다. 다양한 에어드롭 이벤트 가운데 거래소 측이 공식 지원하는 에어드롭만 받을 수 있는 것이다. 이 때문에 에어드롭을 원활히 받기 위해서는 마이이더월렛과 같은 외부 개인 지갑을 사용하거나 에어드롭 이벤트 측에 잔고를 인증하는 과정이 요구된다.
암호화폐 탈취를 노리는 공격자(해커)는 이 틈을 노린다. 정교하게 꾸민 가짜 에어드롭 프로모션 사이트를 만들어 개인 키를 입력하게 유도한다. 지갑 주소를 쉽게 알아보기 힘들다는 점을 악용해 정상적인 이용자 지갑이 아닌 스캠 지갑 주소로 전송되도록 속이는 수법도 쓰인다.
스캠 사이트는 그냥 봐서는 정상 사이트와 구별하기 어렵다. URL 주소 역시 확대해서 자세히 봐야지만 구별 가능하다. 'eos'가 아닌 'e■s' 처럼 알파벳 위에 점이 하나 찍혀 있기도 하고 알파벳 O가 들어갈 자리에 숫자 0을 넣는 식이다. 공격자는 이런 스캠 사이트를 이메일이나 온라인 커뮤니티 게시판 등에 에어드롭 이벤트를 홍보하는 내용으로 전파한다.
이 같은 공격 기법은 구글이나 페이스북, 네이버 계정 등을 탈취하거나 인터넷 뱅킹 금융 정보를 빼내는 데 흔히 쓰이던 피싱 사이트와 유사하다. 기존 피싱은 대형 포털이 2차 인증 등 보안을 강화하고 가짜 사이트를 구별하는 식별장치 등을 적용해 방지 노력을 기울이고 있으나 암호화폐 분야는 무방비나 다름없다.
암호화폐·블록체인 분야 생소한 용어와 기술 구현 방식 등으로 인한 정보격차도 피해자를 늘리는 주요 요인이다.
스캠 피해 예방을 위해서는 에어드롭 관련 소식을 접할 시 성급히 참여하기보다는 공식 홈페이지나 트위터, 텔레그램 등으로 사전 확인할 필요가 있다. 보안에 결정적인 역할을 하는 개인 키 제공은 특히나 유의해야 한다.
개인 지갑으로 코인을 전송할 때도 소량을 먼저 보내 정상 지갑 주소가 맞는지 확인하는 편이 좋다. 잘못된 지갑 주소나 스캠 주소로 대량 전송해 자산을 잃는 피해도 빈번하게 발생하기 때문이다.
박정은기자 jepark@etnews.com
