6,300만 달러(약 914억 3,850만 원) 피해… 에테리움 가스비 ‘6분의 1’ 인하, 주소 중독 공격 폭증했나

에테리움(Ethereum)이 수년간 공들인 수수료 인하가 뜻밖의 부작용을 낳고 있다. 가스비가 크게 떨어지면서 네트워크 사용량은 ‘역대급’ 수준으로 늘었지만, 동시에 지갑 주소 기록을 노리는 ‘주소 중독(Address Poisoning)’ 공격이 폭증하며 보안 리스크가 빠르게 부각되고 있다. 최근 이 문제는 ‘푸사카(Fusaka) 업그레이드’ 이후 통계로도 확인될 만큼 심각한 수준에 이르렀다는 분석이 나왔다.

에테리움 리서치 업체 리스크(Lisk)의 리서치 총괄 레온 바이트만은 2월 18일 X(옛 트위터)를 통해 “최근 분기 기준 에테리움 스테이블코인 결제 규모가 7조 5,000억 달러(약 10,871조 2,500억 원)에 달했지만, 평균 거래 수수료는 1달러(약 1,450원) 미만으로 유지되고 있다”고 지적했다. 그는 “역대급 사용량과 역대급 저렴한 수수료가 동시에 나타나는 상황은 지금 암호화폐 시장 전체에서 ‘기초 체력과 가격 사이의 가장 큰 괴리’”라고 평가했다.

하지만 이런 ‘호황’ 이면에는 더 위험한 그림자가 드리워져 있다는 경고가 뒤따른다. 온체인 리서처 안드레이 세르젠코프는 별도 리포트에서 지난해 12월 진행된 푸사카 업그레이드 이후 에테리움에서 주소 중독 공격이 폭발적으로 증가했다고 분석했다. 푸사카는 가스비를 기존 대비 6분의 1 수준으로 낮춘 것으로 평가되는데, 이로 인해 저비용 대량 스팸 공격이 사실상 ‘무제한’에 가까운 수준으로 가능해졌다는 것이다.

수수료 6분의 1로 떨어지자 ‘주소 중독’ 일일 수십만 건

주소 중독 공격은 사용자의 지갑 거래 내역을 악용하는 방식이다. 공격자는 피해자가 자주 송금하는 주소를 흉내 낸 매우 비슷한 주소에서 소액을 보내 거래 내역에 ‘진짜처럼’ 남겨둔다. 이후 피해자가 과거 송금 내역을 복사·붙여넣기 하는 과정에서 이 가짜 주소를 잘못 선택하면, 그 다음에 보내는 큰 금액이 통째로 탈취된다. 세르젠코프는 이를 ‘복권식 공격’에 비유하며, “공격자들은 극도로 싼 수수료를 활용해 수백만 건의 거래를 뿌리고, 그 중 극히 일부만 걸려도 수익이 나는 구조”라고 설명한다.

세르젠코프가 2025년 9월 1일부터 올해 2월 13일까지 101개 토큰을 분석한 결과에 따르면, 푸사카 업그레이드 이전에는 하루 평균 약 3만 건 수준의 먼지(dust) 거래가 발생했다. 먼지 거래는 극소량 토큰을 보내는 트랜잭션으로, 대부분 주소 중독·스팸 공격에 활용된다. 그러나 푸사카 이후 수수료가 대폭 인하되면서 상황이 급변했다. 푸사카 이후 일평균 먼지 거래는 16만 7,000건으로 5배 이상 폭증했고, 지난 1월에는 특정 일자에 약 51만 건까지 치솟으며 연중 최고치를 기록했다.

세르젠코프는 “이전에는 수수료 부담 때문에 대규모 주소 중독 캠페인을 벌이기 어려웠지만, 푸사카 이후에는 공격자 입장에서 사실상 ‘마케팅 비용’ 수준으로 공격을 확장할 수 있게 됐다”며 “저렴한 거래 비용이 의도치 않게 악성 행위자들에게 이상적인 환경을 제공한 셈”이라고 진단했다.

두 달 새 63억 달러 이상 피해…“보안 선행 없이 수수료만 낮췄다”

피해 규모도 크게 불어났다. 세르젠코프의 집계에 따르면 푸사카 업그레이드 이후 약 두 달 남짓한 기간 동안 주소 중독 공격으로 인한 피해액은 6,300만 달러(약 914억 3,850만 원)를 넘어섰다. 이는 직전 동일 기간 동안 발생한 490만 달러(약 71억 6,300만 원) 손실의 13배 수준이다.

그는 보고서에서 “수수료를 낮추는 것 자체는 잘못이 아니다. 문제는 저렴한 트랜잭션이 필연적으로 증폭시키는 보안 취약점을, 업그레이드 이전에 충분히 보완하지 못했다는 점”이라고 지적했다. 이어 “에테리움 재단이 ‘수조 달러 가치의 자산을 지키는 보안’을 표방하는 이상, 성장 지표 못지않게 사용자 안전을 가장 엄격한 우선순위에 두어야 한다”고 강조했다.

다만 이번 피해 통계에는 대형 단일 사건이 크게 영향을 미친 측면도 있다. 세르젠코프에 따르면, 푸사카 이후 손실 가운데 상당 부분은 2025년 12월 19일 발생한 한 차례의 대규모 탈취에서 나왔다. 당시 공격자는 주소 중독 기법을 활용해 테더(USDT) 5,000만 달러(약 7,247억 5,000만 원)를 한 번에 빼앗았다. 이 단일 사례를 제외하더라도, 푸사카 이후 주소 중독 피해액은 1,330만 달러(약 192억 7,400만 원)로, 업그레이드 이전 대비 2.7배 높았다.

이 같은 수치는 단순 ‘일회성 해킹’이 아니라 구조적 취약점이 나타났음을 시사한다. 수수료 인하로 네트워크 이용이 폭발하는 동안, 사용자 인터페이스(UI), 지갑 경고 시스템, 주소 검증 메커니즘 등은 이에 맞춰 충분히 강화되지 못했다는 평가다.

‘사용자 경험 vs 보안’ 에테리움의 딜레마

최근 에테리움 생태계에서는 스테이킹 잔고와 잠김 물량 증가, L2 확장 솔루션 확대 등 긍정적인 지표가 잇따르고 있다. 스테이블코인 결제량이 분기 기준 7조 달러를 훌쩍 넘기고, 거래 한 건당 수수료가 1달러(약 1,450원)도 되지 않는다는 점은 개발자와 사용자 모두에게 매력적인 환경이다. 그러나 주소 중독 사례처럼, 트랜잭션 비용을 낮추는 정책은 언제든 악성 행위자에게도 동일한 ‘혜택’을 제공한다.

시장에서는 이번 사태를 두고 “에테리움이 본격적인 대중화 국면에 들어간 만큼, 단순 프로토콜 레벨 업그레이드뿐 아니라 지갑·프론트엔드 층의 보안 UX 개선이 병행돼야 한다”는 목소리가 나온다. 거래 기록에 표시되는 주소 형식 개선, 자주 사용하는 주소에 대한 별도 라벨링, 대규모 송금 시 추가 확인 절차 도입 등 기본적인 장치만으로도 주소 중독 리스크를 줄일 수 있다는 지적이다.

결국 푸사카 이후 드러난 주소 중독 급증은 에테리움이 풀어야 할 고전적인 딜레마를 다시 한번 부각시킨다. 수수료 인하와 확장성이라는 ‘성장 지표’가 강화될수록, 이를 악용하는 공격의 경제성도 함께 올라간다는 점이다. 에테리움이 진정한 ‘세계 금융 인프라’를 지향한다면, 다음 업그레이드에서는 성능뿐 아니라 사용자 보호 장치가 얼마나 촘촘히 설계됐는지가 더욱 중요한 평가 기준이 될 가능성이 크다.

◆ "수수료는 싸졌는데, 지갑 보안은 그대로인가?"…이젠 '사용자 실력'이 방패다

푸사카 업그레이드로 에테리움 트랜잭션 수수료는 6분의 1 수준까지 떨어졌지만, 주소 중독 공격처럼 저비용 대량 스팸을 기반으로 한 보안 리스크는 오히려 기하급수적으로 커지고 있습니다.

거래 한 건당 1달러도 안 되는 가스비, 분기 7조 달러를 넘는 스테이블코인 결제량은 분명 ‘성장 지표’지만, 이 환경을 가장 먼저 활용하는 쪽이 선량한 투자자라 보장할 수는 없습니다.

주소 형식 검증, 빈번 송금 주소 라벨링, 대규모 송금 시 추가 확인 같은 보안 UX는 이제 선택이 아니라 필수입니다. 문제는, 이런 장치를 이해하고 제대로 설정하는 역량이 곧 각자의 자산을 지키는 ‘최후의 방어선’이 됐다는 점입니다.

◆ "주소 한 줄이 수천만 원을 가른다"…지갑·UI 보안까지 다루는 토큰포스트 아카데미

토큰포스트 아카데미는 단순히 코인을 고르고 차트를 읽는 법에 그치지 않고, 에테리움·디파이 환경에서 실질적으로 필요한 지갑 보안, 온체인 이해, 리스크 관리까지 단계적으로 다루는 7단계 마스터클래스입니다.

에테리움 주소 중독 공격 같은 ‘현실 리스크’에 대응하려면, 다음과 같은 영역을 체계적으로 이해하는 것이 중요합니다.

🟢 1단계 The Foundation (기초 & 지갑 보안)

- Wallet security (IMPORTANT) ⚠️: 주소 복사·붙여넣기, 서명 요청, 피싱 트랜잭션 등 일상적인 사용 과정에서 발생하는 보안 리스크와 예방법

- Hot wallets vs cold wallets: 빈번 송금용 지갑과 장기 보관용 지갑을 분리해 리스크를 최소화하는 구조 설계

- Using MetaMask: 메타마스크를 비롯한 주요 지갑에서 거래 내역·주소 표시를 어떻게 확인하고 검증해야 하는지 실전 중심으로 학습

🔵 2단계 The Analyst (온체인 & 데이터 기반 이해)

- Onchain Analysis Intro / Blockchain Explorer 활용: 이더스캔 등에서 거래 내역과 주소를 직접 검증하는 법을 익히면, UI만 믿고 송금하는 위험을 줄일 수 있습니다.

- Market Timing Metrics: 단순 가격이 아닌 온체인 지표로 시장 사이클을 읽으며, 과도한 불장·공포 구간에서 보안 사고에 더 주의해야 할 시점을 스스로 판단하도록 돕습니다.

🟣 5단계 The DeFi User (디파이와 스테이블코인 안전 사용)

- DeXs explained / Liquidity pools & Yield Farming: 탈중앙 거래소와 스마트컨트랙트 상호작용 구조를 이해하면, ‘누구에게’ 토큰을 보내고 맡기는지 주소·컨트랙트 검증이 자연스러운 습관이 됩니다.

- Lending & Borrowing (LTV, Liquidation): 담보·대출 구조를 이해하는 과정에서, 지갑·컨트랙트 수준의 리스크 관리까지 함께 다룹니다.

이처럼 토큰포스트 아카데미는 ‘수수료가 싸졌으니 더 많이, 더 자주 보내보자’가 아니라,

“이 주소가 진짜 맞는가?”, “이 트랜잭션은 어떤 구조 위에서 작동하는가?”를 스스로 점검하는 투자자를 목표로 설계되어 있습니다.

◆ 2026년, 에테리움에서 살아남는 기준은 ‘수익률’이 아니라 ‘리스크 관리’

푸사카 이후 두 달 남짓한 기간에만 주소 중독 공격 피해가 6,300만 달러를 넘겼다는 통계는, 더 이상 ‘초보 실수’로 치부할 수 없는 구조적 리스크를 보여줍니다.

수수료 인하와 확장성이 커질수록, 이를 악용하는 공격의 경제성도 함께 올라갑니다. 이제는 코인 공부만으로는 부족합니다.

- 지갑과 UI 보안,

- 온체인 데이터 리터러시,

- 디파이·스테이블코인 운용 구조까지 이해하는 ‘전일적 실력’이 있어야만 다음 업그레이드, 다음 공격 패턴에서도 자산을 지킬 수 있습니다.

토큰포스트 아카데미는 이런 시대에 맞춰, 기초(지갑·보안) → 분석(온체인·토크노믹스) → 심화(DeFi·파생)까지 이어지는 7단계 커리큘럼으로 투자자의 방어력과 공격력을 동시에 끌어올립니다.

토큰포스트 아카데미 수강 신청하기

커리큘럼: 기초 보안부터 온체인 분석, 디파이, 선물·옵션, 매크로 사이클까지 7단계 마스터클래스

파격 혜택: 첫 달 무료 이벤트 진행 중!

바로가기: https://www.tokenpost.kr/membership

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.