[긴급] 웹3 생태계 위협하는 거래 시뮬레이션 스푸핑, 가상화폐 탈취 피해 속출

보안전문가들, 이와 같은 공격에 대응하기 위해 Web3 지갑 개발자와 사용자가 협력 강조

최근 웹3(Web3) 지갑의 거래 시뮬레이션 기능을 악용한 새로운 공격 기법 '거래 시뮬레이션 스푸핑(Transaction Simulation Spoofing)'이 보고되며 가상화폐 사용자의 피해가 증가하고 있다. 이 공격은 사용자를 속여 사기성 거래를 승인하도록 유도하며, 스캠스니퍼(ScamSniffer)가 보고한 한 사례에서는 143.45 이더리움(Ethereum), 약 46만 달러 상당의 가상화폐가 탈취됐다.

이 공격 기법은 Web3 지갑 사용자들이 신뢰하는 거래 시뮬레이션 기능을 직접 겨냥하는 방식으로, 가상화폐 생태계의 새로운 보안 과제로 떠오르고 있다.

거래 시뮬레이션은 사용자가 블록체인 거래를 승인하기 전 예상 결과를 확인할 수 있는 기능이다. 이 기능은 거래 금액, 수수료, 온체인 상태 변화 등의 정보를 제공해 사용자에게 투명성과 보안을 제공한다.

하지만 공격자들은 이 기능과 거래 실행 사이의 시간 차이를 악용한다. 피해자를 악성 웹사이트로 유도해 합법적인 플랫폼처럼 보이는 ‘클레임(Claim)’ 기능을 실행하도록 한 뒤, 거래 시뮬레이션에서는 소량의 이더리움을 지급하는 것처럼 표시한다. 그러나 시뮬레이션과 실행 사이의 짧은 시간 동안 공격자는 온체인 상태(On-Chain Contract State)를 조작해 거래 목적을 바꿔 피해자의 가상화폐를 자신의 지갑으로 전송되도록 만든다.

스캠스니퍼에 따르면, 한 피해자는 거래 시뮬레이션 후 30초 만에 서명을 완료했고, 이로 인해 143.45 이더리움을 모두 잃었다.

이 공격 기법은 기존 피싱보다 더 정교하다. 피해자가 거래 시뮬레이션 결과를 신뢰하고, 이를 기반으로 거래를 승인하게 만든다. 스캠스니퍼는 “이 공격은 거래 시뮬레이션처럼 신뢰받는 기능을 악용하는 방식으로, 탐지가 매우 어렵다. 시뮬레이션 단계에서는 모든 것이 정상적으로 보이지만, 실행 전에 상태를 조작해 최종 결과를 바꾸는 것이 특징”이라고 밝혔다.

보안전문가들은 이와 같은 공격에 대응하기 위해 Web3 지갑 개발자와 사용자가 협력해야 한다고 강조했다. 우선, Web3 지갑은 시뮬레이션 새로고침 주기를 단축해 블록 생성 시간과 일치시키는 방법을 고려해야 한다. 이는 상태 조작 시간을 줄이는 데 효과적이다. 또한 거래 실행 직전에 시뮬레이션 결과를 강제로 새로고침하도록 설계해 사용자에게 정확한 정보를 제공할 필요가 있다. 마지막으로, 오래된 시뮬레이션 결과에 대해 만료 경고를 표시해 사용자에게 추가적인 주의를 요구하는 기능도 유용하다.

스캠스니퍼의 한 관계자는 “거래 시뮬레이션은 사용자들에게 투명성과 보안을 제공하는 중요한 기능이지만, 이러한 신뢰를 악용하는 공격이 늘고 있다. 지갑 개발자들은 더 나은 방어 메커니즘을 도입해야 하고, 사용자들은 거래 세부 사항을 꼼꼼히 확인하는 습관을 길러야 한다”고 말했다.

사용자들에게는 다음과 같은 권고 사항이 제시됐다. 우선, 신뢰할 수 없는 플랫폼은 사용하지 않는 것이 중요하다. 특히 ‘무료 지급’을 제안하는 웹사이트는 대부분 의심스러운 경우가 많다. 또한 거래 서명 전에 주소와 금액을 세심히 검토해야 하며, 조금이라도 의심스러운 경우 거래를 중단해야 한다.

거래 시뮬레이션 스푸핑은 Web3 생태계가 직면한 중요한 보안 과제로 떠오르고 있다. 스캠스니퍼는 “이 공격은 모든 기능이 악용될 가능성을 보여주는 사례다. 사용자는 경각심을 가져야 하며, 지갑 개발자들은 이러한 위협을 완화하기 위한 새로운 기능을 설계해야 한다”고 강조했다.

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★