공용 와이파이 접속 한 번에 솔라나($SOL) 탈취…‘지갑 승인 남용’ 공격 주의보

호텔 와이파이 한 번에 지갑 털렸다…‘승인 남용 공격’ 새 경고

공용 와이파이가 부른 작은 부주의가 결국 암호화폐 지갑을 비우는 결과로 이어졌다. 공격자는 사용자의 키를 훔치지 않았다. 단지 ‘정상처럼 보이는 승인 요청’에 사용자가 응답하기만을 기다렸다.

보안업체 해큰(Hacken)이 코인텔레그래프에 분석을 제공한 이 사건은 휴대용 인터넷 환경이 취약한 호텔 등에서, 어떤 식으로 위협이 현실화되는지를 보여준다. 피해자는 소셜미디어에서 ‘더 스마트 에이프(The Smart Ape)’로 알려진 인물로, 약 5,000달러(약 730만 원) 상당의 솔라나(SOL)와 NFT를 잃었다. 그는 피싱 링크를 클릭하지도 않았고, 의심스러운 앱도 설치하지 않았다. 그저 *호텔 로비에서 통화를 하고 열린 와이파이에 접속한 뒤 일반적인 지갑 요청을 승인*했을 뿐이었다.

열린 와이파이, 해커의 침투 창구

피해자가 설명한 사건의 발단은 호텔 객실에서 비밀번호 없는 '캡티브 포털(captive portal)' 형태의 와이파이에 노트북을 연결하면서 시작됐다. 당시 그는 단순히 디스코드, X(구 트위터)를 살피고 잔고를 확인했을 뿐이라고 말했다. 하지만 문제는 이처럼 ‘열린 네트워크’에서는 호텔 투숙객 전원이 같은 로컬 네트워크를 공유한다는 데 있다.

해큰의 보안 담당 드미트로 야스마노비치(Dmytro Yasmanovych)는 “공격자는 주소 변조(ARP 스푸핑), DNS 조작, 또는 가짜 액세스 포인트를 통해 정상적인 웹사이트에 악성 자바스크립트를 삽입할 수 있다. 디파이 프론트엔드가 신뢰할 수 있다 해도 실행 환경 자체는 더 이상 안전하지 않을 수 있다”고 지적했다.

오프라인 정보가 표적 만든다

피해자가 보유 자산 규모나 사용 지갑을 언급한 통화가 도청되면서 표적도 빠르게 구체화됐다. 그는 호텔 로비에서 암호화폐 보유 상태에 대해 이야기했는데, 공격자는 여기서 피해자가 솔라나 기반 지갑 ‘팬텀’(Phantom)을 사용하며 암호화폐에 노출돼 있음을 파악했다. 지갑 자체가 해킹된 것은 아니었지만, 범인은 이를 통해 타깃의 전반적 상태를 가늠할 수 있었다.

비트코인 엔지니어인 제임슨 롭(Jameson Lopp)은 “공공장소에서 암호화폐 보유 여부를 떠벌리는 것은 가장 위험한 행동 중 하나”라고 경고한 바 있다. 해큰 측도 “사이버 공격은 키보드에서 시작되지 않는다. 관찰로부터 시작된다”고 강조했다.

‘정상 승인’에 숨겨진 위협…지연형 탈취 수법

정작 지갑이 비워진 가장 결정적인 순간은 피해자가 디파이 프론트엔드 상에서 *정상적인 거래 요청이라 착각하고 승인*을 눌렀을 때다. 당시 접속한 웹사이트는 신뢰할 수 있는 디파이 서비스였지만, 열린 와이파이를 통해 주입된 코드가 정상적인 함수 위에 ‘지갑 권한 요청(approval)'을 덧씌운 것으로 분석됐다.

야스마노비치에 따르면 이는 최근 부상 중인 ‘승인 남용 공격(approval abuse)’의 전형적인 사례다. 그는 “공격자는 지갑 키를 훔치지도, 즉시 자산을 빼내지도 않는다”며 “정상처럼 보이는 서명을 먼저 가로챈 뒤, 며칠 혹은 몇 주가 지나 실제 이체를 실행한다”고 설명했다.

피해자는 호텔을 떠난 뒤 지갑에서 솔라나와 여러 토큰, NFT가 다른 주소로 이체된 것을 발견했다. 해당 지갑은 그의 보조 지갑이었기에 손실 규모는 적었지만, 단 한 번의 승인으로 모든 피해가 발생했다는 사실은 경각심을 일으킨다.

보안 생활수칙, ‘가입 전에 확인하고 승인 전엔 의심하라’

해큰은 이번 사례를 통해 여행 중 공공 와이파이를 반드시 ‘적대적 환경’으로 간주하라고 조언한다. 구체적으로는 핫스팟을 이용하거나 신뢰할 수 있는 VPN을 활용하고, 디파이 거래는 보안이 강화된 최신 장비에서 최소한의 브라우징 환경으로만 수행할 것을 권고했다.

더불어 자산을 여러 지갑으로 분산 관리하고, 모든 온체인 승인 내역을 정기적으로 점검 및 철회하며, 공공장소에서 암호화폐 또는 지갑 관련 발언을 삼가야 한다.

이번 사건은 암호화폐 도난이 단순히 피싱 링크나 악성 앱에 의해서만 발생하는 것이 아님을 잘 보여준다. 공공 와이파이, 통화 한 번, 지갑 승인 한 번이면 누구도 예외가 될 수 없다. 안전한 자산 관리의 시작은 ‘의심’에서 비롯된다.

🔐 “승인 눌렀을 뿐인데… 지갑 털리는 시대, 대응은 학습뿐”

공공 장소에서 암호화폐 보유를 언급한 통화, 열린 와이파이 접속, 그리고 '정상처럼 보이는 지갑 승인' 단 한 건. 이 3단 퍼즐이 맞춰지는 순간, 암호화폐는 털렸다.

이번 사건은 단순히 기술을 모르는 사람만의 문제가 아니다. 디파이 프론트엔드에 주입된 악성 코드, '지연형' 권한 탈취, '승인 남용(Approval Abuse)'이라는 새로운 공격 벡터가 결합된 고도화된 수법이다. 문제는 피해자가 별다른 경계 없이 ‘정상 요청’이라 판단한 것을 아무 의심 없이 승인했다는 점이다.

이제 코인을 보관하는 것만큼, ‘어디서 어떤 네트워크로, 무엇을 승인하고 있는가’를 판단하는 눈이 필요하다.

토큰포스트 아카데미의 5단계 The DeFi User 과정은 단순한 디파이 매뉴얼이 아니다. 내 지갑이 어떤 계약에 얼마의 권한을 넘겼는지 검토하고, 승인 내역을 철회하는 실전 지식을 다룬다.

그리고 2단계 The Analyst 과정부터는 토크노믹스와 온체인 데이터를 통해 사기성 프로젝트를 판별하는 능력을 키운다. ‘보안은 기술이 아니라 생활’이라는 말처럼, 이젠 투자를 배우는 것과 함께 ‘지키는 법’도 함께 배워야 한다.

📌 흔들리는 시장, 이제는 뇌동매매보다 ‘체계적 학습’이 필요한 시대입니다. 당신의 지갑이 언제든 타깃이 될 수 있는 현실에서, 투자와 보안을 함께 다루는 국내 최초 암호화폐 통합 실전 아카데미, TokenPost Academy와 함께 하세요.

[토큰포스트 아카데미 수강 신청하기]

커리큘럼: 기초 지갑 보안부터 토크노믹스 분석, 디파이, 선물·옵션까지… 7단계 완성형 마스터클래스

혜택: 월 2만 원 멤버십 가입 시 첫 달 1,000원 이벤트 진행 중

바로가기: https://www.tokenpost.kr/membership

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.