LIBRETIP
FIN. 머니 7 MIN READ UPDATED 2026. 04. 30.

가상자산 지갑 해킹 — 내 코인이 사라지는 5가지 경로

핫월렛 침해, 시드 구문 탈취, 피싱, 거래소 해킹, 승인 피싱까지. 가상자산이 사라지는 실제 경로와 각 위험도별 대응법을 정리합니다.

BY LIBRETIP 편집 K.H. DIGITAL SECURITY DISPATCH
VERIFIED 이 글의 기술적 사실과 가격 정보는 기준으로 검증되었습니다.

어느 날 지갑을 열었는데 잔고가 0이다. 트랜잭션 내역을 보니 내가 보낸 적 없는 전송 기록이 찍혀 있다.

“해킹당했다”고 생각하겠지만, 절반 이상은 해킹이 아니다. 본인이 직접 서명했거나, 시드 구문을 넘겼거나, 가짜 사이트에서 승인 버튼을 누른 거다. 다만 본인이 그 사실을 모를 뿐이다.

2025년 한 해 동안 도난된 가상자산은 34억 달러. 개인 지갑 침해만 15만 8천 건, 피해자 8만 명, 피해액 7억 1,300만 달러다(Chainalysis 2026 보고서 기준). 코인이 사라지는 경로는 크게 다섯 가지로 나뉜다.

1. 핫월렛 침해 — 인터넷에 연결된 지갑이 뚫린다

핫월렛은 메타마스크, 트러스트월렛처럼 인터넷에 상시 연결된 소프트웨어 지갑이다. 편리한 대신, 공격 표면이 넓다.

핫월렛의 개인키(private key — 지갑의 비밀번호에 해당하는 암호 문자열)는 브라우저 확장 프로그램이나 앱 내부에 저장된다. 악성코드가 이 저장소에 접근하면 개인키를 통째로 가져갈 수 있다. 그 순간 지갑의 소유권이 넘어간 거다.

2025년 가상자산 도난의 76%, 금액으로 22억 달러가 인프라 공격 — 개인키·시드 구문 탈취, 지갑 인프라 침해, 프런트엔드 변조 — 에서 발생했다.

🟢 일반 사용자: 핫월렛에는 당장 거래할 소액만 둬라. 큰 금액은 하드웨어 월렛(Ledger, Trezor 같은 콜드월렛)으로 옮겨라. 콜드월렛은 인터넷에 연결되지 않아 원격 탈취가 불가능하다.

🟡 민감한 상황 (거래 빈도가 높거나, DeFi를 적극 사용하는 경우): 핫월렛을 “거래용”과 “보관용”으로 분리해라. 거래용 지갑에는 잃어도 되는 금액만.

2. 시드 구문 탈취 — 12단어면 지갑째 복사된다

시드 구문(seed phrase, 복구 문구)은 지갑을 생성할 때 받는 12~24개 영어 단어 조합이다. 이 단어 조합만 있으면 어떤 기기에서든 지갑을 그대로 복원할 수 있다.

공격자가 시드 구문을 손에 넣는 방법은 의외로 단순하다.

가짜 앱: 2026년 4월, 애플 앱스토어에서 메타마스크·레저·트러스트월렛 등을 사칭한 FakeWallet 앱 26개가 발견됐다. 전부 시드 구문 입력을 유도한 뒤 서버로 전송하는 구조였다.

가짜 고객 지원: 2026년 1월, 한 사용자가 하드웨어 월렛 고객 지원을 사칭한 공격자에게 시드 구문을 알려준 뒤 비트코인·라이트코인 합산 2억 8,200만 달러를 잃었다.

클립보드 하이재커: 시드 구문이나 지갑 주소를 복사할 때 클립보드의 내용을 공격자의 주소로 바꿔치기하는 악성코드다. 크랙 소프트웨어나 디스코드 링크를 통해 주로 유포된다.

🟢 일반 사용자: 시드 구문은 종이에 적어 오프라인에 보관해라. 사진 촬영, 클라우드 저장, 메모 앱 입력 전부 금지. 어떤 서비스도 시드 구문을 요구하지 않는다 — 요구하는 순간 그건 사기다.

🔴 OPSEC 필요 (고액 자산 보유자): 시드 구문을 금속 백업 플레이트에 각인하고, 물리적으로 분산 보관해라. Shamir Backup(시드를 여러 조각으로 분할하는 방식)을 지원하는 하드웨어 월렛도 있다.

3. 피싱 — 진짜와 구분이 안 되는 가짜 사이트

“메타마스크 보안 업데이트가 필요합니다” — 이런 이메일이나 디스코드 DM을 받고 링크를 클릭하면, 진짜 메타마스크와 1픽셀도 다르지 않은 가짜 사이트가 뜬다. 거기서 지갑을 연결하거나 시드 구문을 입력하면 끝이다.

2025년 바이비트 해킹(15억 달러)도 결국 피싱에서 시작됐다. 공격자는 거래소 직원의 인프라에 접근해 서명 인터페이스를 조작했다. 직원이 화면에서 본 트랜잭션과 실제로 서명된 트랜잭션이 달랐다. 개인 사용자한테도 같은 원리가 적용된다 — 눈에 보이는 것과 실제 실행되는 것이 다를 수 있다.

2026년 초 2개월간 피싱 피해액만 1억 1,200만 달러, 전년 대비 1,400% 증가했다.

🟢 일반 사용자: 지갑 연결 요청이 오면 URL을 직접 확인해라. 북마크해둔 공식 사이트에서만 접속해라. 이메일·디스코드·텔레그램으로 온 링크는 전부 의심해라.

🟡 민감한 상황: 트랜잭션 서명 전에 내용을 반드시 읽어라. “이 컨트랙트에 무제한 접근을 허용합니다” 같은 문구가 보이면 거부해라.

4. 거래소 해킹 — 내 잘못이 아닌데 돈이 사라진다

내 보안이 아무리 완벽해도, 코인을 맡겨둔 거래소가 뚫리면 의미가 없다.

바이비트 — 2025년 2월, 15억 달러 탈취. 역대 최대 규모. 북한 라자루스 그룹 소행으로 FBI가 공식 확인. 거래소가 자체 자금으로 보전했다.

DMM 비트코인 — 2024년 5월, 3억 800만 달러(4,502.9 BTC) 탈취. 2025년 12월 영업 종료, 고객 자산은 SBI VC Trade로 이관됐다.

와지르엑스 — 2024년 7월, 2억 3,000만 달러 탈취. 인도 최대 거래소였지만 자산의 절반이 한 번에 날아갔다.

거래소 해킹에서 눈여겨볼 점은, 바이비트와 와지르엑스의 공격 방식이 동일했다는 거다. 운영자가 트랜잭션을 검토하는 인터페이스와 실제 서명 장치 사이의 간극을 이용했다. 화면에는 정상 거래가 보이는데, 서명 장치에는 다른 트랜잭션이 전달된 거다.

🟢 일반 사용자: 거래소에 전 재산을 두지 마라. 거래할 금액만 넣고, 나머지는 본인이 개인키를 가진 지갑으로 옮겨라. “Not your keys, not your coins” — 개인키가 없으면 그 코인은 당신 거가 아니다.

🟡 민감한 상황: 거래소 선택 시 준비금 증명(Proof of Reserves)을 공개하는 곳, 해킹 사고 시 자체 보전 이력이 있는 곳을 확인해라.

5. 승인 피싱(Approve Scam) — 서명 한 번에 전 재산이 빠져나간다

다섯 가지 중 가장 교묘하다.

이더리움 기반 토큰(ERC-20)을 DEX(탈중앙 거래소)에서 거래하려면, 먼저 해당 토큰에 대한 “승인(approve)“을 해야 한다. “이 컨트랙트가 내 지갑의 USDT를 사용할 수 있게 허용합니다” 같은 서명이다.

문제는 많은 DeFi 서비스가 기본값으로 “무제한 승인(unlimited approve)“을 요청한다는 거다. 한 번 서명하면, 그 컨트랙트는 지갑 안의 해당 토큰을 언제든, 얼마든 빼갈 수 있다.

공격자는 이걸 악용한다. 에어드롭 이벤트, NFT 민팅, 가짜 DeFi 사이트 — 어떤 형태든, 지갑 연결 후 approve 서명을 유도한다. 서명하는 순간 지갑 안의 토큰에 대한 접근 권한이 넘어간다. 공격자는 그 즉시 빼갈 수도 있고, 몇 달 뒤 토큰이 쌓였을 때 한꺼번에 빼갈 수도 있다.

2024~2025년 승인 기반 피싱과 익스플로잇 피해액이 2억 달러를 넘었다. 2026년 3월에는 미국 비밀경호국과 영국 국가범죄수사국이 합동으로 “Operation Atlantic”을 발족해 승인 피싱을 집중 단속하기 시작했다.

🟢 일반 사용자: Revoke.cash에서 지갑을 연결하고 기존 승인 내역을 확인해라. 더 이상 쓰지 않는 서비스의 승인은 취소(revoke)해라. 앞으로 승인할 때는 무제한이 아니라 필요한 금액만 승인해라.

🟡 민감한 상황: DeFi를 적극 쓴다면, 한 달에 한 번은 승인 내역을 점검해라. 알 수 없는 컨트랙트에 승인이 걸려 있으면 즉시 취소해라.

위험도별 체크리스트

🟢 일반 사용자 — 이것만 하면 된다:

  1. 큰 금액은 하드웨어 월렛(콜드월렛)에 보관
  2. 시드 구문은 종이에 적어 오프라인 보관 — 사진·클라우드·메모앱 금지
  3. 지갑 연결·서명 요청은 URL 직접 확인 후 진행
  4. 거래소에 전 재산 두지 않기
  5. Revoke.cash에서 토큰 승인 내역 점검

🔴 고액 자산 보유자 — 여기까지 해야 한다:

  1. 멀티시그 월렛(서명 2개 이상 필요한 지갑) 사용
  2. 시드 구문 금속 백업 + 물리적 분산 보관
  3. 하드웨어 월렛 펌웨어 업데이트 직접 확인 (공식 사이트에서만)
  4. 트랜잭션 서명 시 하드웨어 월렛 화면에서 주소·금액 대조

정리

코인이 사라지는 경로를 하나씩 보면 패턴이 보인다. 인프라가 뚫리는 경우(핫월렛 침해, 거래소 해킹)와 본인이 직접 권한을 넘기는 경우(시드 탈취, 피싱, 승인 피싱)로 나뉘는데, 2025년 피해액 기준으로 둘 다 수십억 달러 규모다.

기술적으로 가장 효과적인 방어는 단순하다. 개인키와 시드 구문을 인터넷에서 분리하는 것. 하드웨어 월렛 하나면 위 다섯 가지 경로 중 세 가지(핫월렛 침해, 시드 탈취, 피싱)를 물리적으로 차단할 수 있다.

거래소 해킹은 본인이 통제할 수 없으니, 거래소에는 거래할 만큼만 둬라. 승인 피싱은 서명 습관의 문제다 — 뭘 승인하는지 읽고, 안 쓰는 승인은 취소해라.

지금 당장 할 수 있는 한 가지: Revoke.cash에 접속해서 지갑의 토큰 승인 내역을 확인해라. 5분이면 된다.

자주 묻는 질문

메타마스크 같은 핫월렛은 안전한가요?
핫월렛은 인터넷에 상시 연결되어 있어 콜드월렛보다 공격 표면이 넓습니다. 소액 거래용으로는 괜찮지만, 큰 금액은 하드웨어 월렛(콜드월렛)에 보관하는 게 현실적인 선택입니다. 2025년 한 해 동안 개인 지갑 침해만 15만 8천 건, 피해액 7억 1,300만 달러가 보고됐습니다.
시드 구문(복구 문구)을 사진으로 찍어두면 안 되나요?
안 됩니다. 클라우드에 자동 백업되면 해킹 시 그대로 노출됩니다. 2026년 4월 애플 앱스토어에서 발견된 FakeWallet 앱 26개는 전부 시드 구문 탈취가 목적이었습니다. 시드 구문은 종이에 적어 오프라인에 보관하는 게 가장 안전합니다.
토큰 승인(approve)을 한 번 하면 계속 유효한가요?
네. 한 번 무제한 승인(unlimited approve)을 하면 해당 컨트랙트가 지갑 안의 그 토큰을 언제든 빼갈 수 있습니다. Revoke.cash 같은 도구로 기존 승인 내역을 확인하고, 더 이상 쓰지 않는 승인은 취소해야 합니다.
거래소가 해킹당하면 내 돈은 어떻게 되나요?
거래소 정책에 따라 다릅니다. 2025년 바이비트 해킹(15억 달러)에서는 거래소가 자체 자금으로 보전했지만, 2024년 DMM 비트코인은 해킹 후 영업을 종료했습니다. 거래소에 전 재산을 두지 않는 게 원칙입니다.
#가상자산#암호화폐#지갑해킹#시드구문#피싱#승인피싱

계속 읽기

코인을 현금으로 바꾸는 3가지 방법 — 거래소, P2P, OTC 비교

가상자산을 원화로 현금화하는 세 가지 경로(국내 거래소, P2P, OTC 장외거래)의 KYC 수준, 수수료, 추적 가능성, 리스크를 기술적으로 비교합니다.

개인 코인지갑, 거래소 말고 직접 관리하는 법 — SafePal 실전 가이드

거래소에 코인을 맡기면 안 되는 이유, 하드웨어 지갑과 소프트웨어 지갑의 차이, SafePal S1 설정부터 코인 전송까지 실전 단계를 정리합니다.

중고거래 사기 안 당하는 결제·인증 체크리스트

당근마켓·번개장터·중고나라 안전결제 사칭 수법의 구조를 분석하고, 거래 전 확인해야 할 7가지 체크리스트와 사기 당했을 때 즉시 대응법을 정리합니다.

댓글

댓글은 giscus를 통해 GitHub Discussions에 저장됩니다.