SNS 통해 호감을 표시, 신뢰 형성한 뒤 범죄…로맨스스캠 수법
[서울=뉴시스]송혜리 기자 = “수익률이 좋은 가상자산 투자를 알려 줄게, 내가 너를 좋아하기 때문에 특별히 알려주는 거야.”
소셜네트워크(SNS) 등으로 친분을 쌓은 뒤, 가상자산 거래 권한을 빼앗는 사기수법이 등장했다. 사용자를 속여 가상자산 거래를 승인하게 유도하는 ‘거래승인 피싱(Approval phishing)’에 ‘로맨스 스캠’이 결합된 형태다.
기존 거래승인 피싱은 불특정 인물을 대상으로 하는 수법이었으나, 이처럼 최근에는 특정 인물에게 접근해 관계를 구축해 악의적이 블록체인 거래에 서명하도록 유도하는 형태가 늘고 있어 사용자들의 각별한 주의가 필요하다.
◆사용자 속여 거래에 서명하게 해…토큰 빼낼 수 있는 권한 받아
16일 블록체인 데이터 분석기업 체이널리시스가 발표한 ‘2024 가상자산 범죄 보고서’에 따르면 지난 2년 간 전세계에서 ‘거래승인 피싱(Approval phishing)’이 급증했으며, 올해 피해액만 최소 3억7400만 달러(약 4850억원)에 육박하는 것으로 나타났다.
거래승인 피싱은 사실 오래된 사기 수법이다. 범죄자는 피해자를 속여 악성 블록체인 거래에 서명하게 함으로써, 피해자의 토큰을 마음대로 빼돌릴 수 있는 권한을 얻는다.
거래승인 피싱은 특히 이더리움과 같은 스마트 컨트랙트 지원 블록체인의 탈중앙화 앱(dApp, 디앱)에서 자주 발견됐다. 거래승인 피싱 범죄자들은 가상자산 보유자들이 디앱 거래승인 절차에 서명하는 데 익숙하다는 점을 악용했다.
◆”친해지자”…접근해 가상자산 거래 권한 탈취
과거 거래승인 피싱은 허위 가상자산 앱을 통해 불특정 다수를 범행 대상으로 삼았다.
하지만 최근에는 특정 인물에게 접근해 관계를 구축하고, 악의적인 블록체인 거래에 서명하도록 유도하는 방식으로 전술을 바꿨다. ‘로맨스 스캠’이 바로 이런 수법의 대표적인 사례다.
로맨스 스캠은 SNS를 통해 호감을 표시하며 신뢰를 형성한 후, 금전을 요구하는 사기 수법이다. 로맨스(romance)와 신용사기를 뜻하는 스캠(scam)의 합성어다. 돼지도살 스캠 이라고도 하는 데, 피해자를 현혹해 암호화폐를 구입하고 돈을 불려줘 투자 액수를 높인 뒤 이를 가로채는 사기수법이기 때문이다. 돼지를 살찌게 한 뒤 도살해 많은 고기를 얻는 것을 비유했다.
체이널리시스는 로맨스 스캠 수법을 사용한 것으로 알려진 주소를 역추적해 거래승인 피싱에 연루된 1013개의 주소를 확인했다. 이를 통해 2021년 5월 이후 거래승인 피싱 스캠으로 인한 피해는 약 10억 달러(약 1조2974억 원)로 추정했다.
거래승인 피싱 스캠으로 범죄자들이 벌어들인 수익은 2022년 5월에 최고조에 달했다. 2022년 손실액은 5억1680만달러(약 6703억원)로 추정되며, 올해 11월까지 손실액은 3억7460만달러(약 4857억원)에 이른다.
특히, 성공률이 높은 소수의 범죄자들이 이러한 스캠의 대부분을 주도하는 것으로 나타났다. 가장 많이 성공한 거래승인 피싱 주소에서만 4430만달러(약 575억원)가 도난당한 것으로 의심되며, 이는 연구 기간 동안 도난 당한 것으로 추정되는 총 금액의 4.4%에 해당한다.
체이널시스 측은 “사용자가 잘못된 거래승인 대상을 신뢰하거나 거래승인 권한의 수준을 이해하고 있지 못한 경우, 승인 거래에 서명하지 않도록 하는 등 사용자를 교육하는 노력을 기울여야 한다”고 당부했다.
◎공감언론 뉴시스 chewoo@newsis.com