이더리움 ‘푸사카’ 이후 주소 독살 공격 급증…낮아진 가스비의 역설

이더리움(ETH) 네트워크가 12월 3일 ‘푸사카(Fusaka)’ 업그레이드를 실행한 뒤 가스비가 급락하면서 사용자 체감 비용은 크게 낮아졌다. 하지만 수수료 인하의 그늘도 빠르게 커지고 있다. 거래 비용이 ‘몇 센트’ 수준으로 떨어지자 주소 독살(address poisoning) 같은 사기 캠페인의 경제성이 높아지며 피해 규모가 급증했다는 분석이 나왔다.

푸사카 업그레이드는 ‘타협 없는 확장(scaling without compromise)’을 전면에 내걸고 처리량 확대와 비용 절감을 겨냥했다. 업그레이드 이후 전송·스왑 등 주요 트랜잭션 비용이 대폭 내려가면서, 과거 고액 사용자 중심이던 이더리움(ETH) 이용 환경은 한층 대중화됐다는 평가가 나온다. 다만 ‘저렴한 거래’가 일반 사용자뿐 아니라 공격자에게도 동일하게 유리한 조건을 제공한다는 점이 이번 논란의 핵심이다.

가스비 하락이 키운 ‘주소 독살’…하루 16만 건대로

이더리움(ETH) 기반 주소 독살을 분석해온 독립 연구자 안드레이 세르게엔코프(Andrey Sergeenkov)는 최근 글에서 “가스 비용이 6분의 1로 줄어든 뒤 주소 독살 트랜잭션 물량도 거의 같은 폭으로 늘었다”고 밝혔다. 그가 집계한 주소 독살 평균 건수는 하루 3만 건 수준에서 16만7,000건으로 증가해 약 5.6배 뛰었다.

주소 독살은 사용자의 과거 거래 기록에 ‘비슷하게 생긴 주소’를 끼워 넣는 방식으로 오송금을 유도하는 수법이다. 공격자는 소액(더스트) 전송으로 피해자의 지갑·히스토리에 흔적을 남긴 뒤, 사용자가 주소를 복사·붙여넣기 할 때 헷갈리도록 설계한다. 가스비가 비싸던 시절엔 대규모로 뿌리기 어렵던 공격이, 수수료가 낮아지면서 ‘물량전’으로 확장됐다는 해석이 나온다.

피해액도 함께 불었다. 세르게엔코프는 101개 토큰의 더스트 트랜잭션을 추적해 푸사카 전후 73일 구간을 비교했고, ‘확인된 수익(confirmed payoffs)’ 기준 탈취액이 푸사카 이전 490만달러(약 728억8,000만원)에서 업그레이드 이후 6,330만달러(약 941억3,000만원)로 늘었다고 설명했다. 성공적인 수익 이벤트 수도 2.6배 증가한 것으로 나타났다.

다만 업그레이드 후 구간에는 크리스마스 직전 발생한 5,000만달러(약 743억7,500만원) 규모의 단일 대형 피해가 포함돼 있어, 이를 제외해도 총 피해액은 1,330만달러(약 197억7,400만원)로 푸사카 이전 대비 2.7배 수준이라는 게 그의 주장이다.

세르게엔코프는 Protos와의 인터뷰에서 데이터셋 종료 이후에도 굵직한 피해가 추가로 확인됐다고 전했다. 2월 17일 60만달러(약 8억9,250만원), 다음 날 15만7,000달러(약 2억3,347만원), 2월 28일 3만달러(약 4,462만5,000원) 손실 사례가 대표적이다. 그는 3월 9일까지 추가 확인된 피해를 합치면 91명의 피해자에서 약 90만달러(약 13억3,875만원) 손실이 발생했다고 집계했다.

공격 트래픽도 꺾이지 않았다는 진단이다. 그는 “공격 물량이 줄지 않았고” 현재도 하루 20만~35만 건의 ‘중독(poisoning) 트랜잭션’이 발생하고 있다고 말했다. 개별 트랜잭션 비용은 싸지만, 한 번만 걸려도 보상이 크기 때문에 공격자가 넓은 그물을 던지는 데 비용을 아끼지 않는다는 설명이다.

‘타협 없는 확장’의 역설…지갑·UX 방어는 아직 미완

이더리움(ETH)의 수수료 인하 노력 자체는 성과가 뚜렷하다는 평가가 많다. 초기에는 더 저렴하고 빠른 레이어2(L2) 네트워크로 수요를 유도해 메인넷 부담을 낮췄고, 이후 데이터 저장 방식 개선인 ‘블롭(blobs)’ 도입과 푸사카 업그레이드를 거치며 가스비가 눈에 띄게 낮아졌다.

다만 보안 측면에서 ‘낮은 수수료와 공격량 증가’의 상관관계가 알려져 있었음에도 업그레이드가 강행됐고, 프로토콜 차원의 대응이 충분히 논의되지 않았다는 비판이 나온다. 세르게엔코프는 “지갑이 준비되지 않았는데 프로토콜은 계속 확장하고 있다”며, 이더리움 재단이 프로토콜 차원의 대응책을 제안·구현하지 않았다고 지적했다. 그는 비탈릭 부테린(Vitalik Buterin)이 사용자 보호를 지갑과 사용자경험(UX) 영역에 맡기는 방향을 취하고 있다고도 덧붙였다.

실제로 관련 연구를 인용해, 조사 대상 53개 지갑 중 주소 독살 의심 주소로 전송하려 할 때 ‘명시적 경고’를 띄운 지갑은 3개뿐이었다고 주장했다. 사용자가 과거 거래 내역이나 블록 탐색기에서 주소를 복사하는 습관을 바꾸지 않는 한, 사고 여지가 상시 존재한다는 뜻이다.

한편 네임파이(Namefi) 최고경영자(CEO) 저우 즈빅터(Z. Victor Zhou)는 ‘앞자리에 0을 활용하는 방식(leading zeros)’이 유사 주소 생성 비용을 급격히 높일 수 있다고 제안했다. 그는 “노트북 GPU로 1분만 계산하면 공격자가 32년이 걸려야 위조할 수 있는 주소를 만들 수 있다”며 공격자 대비 방어자에게 유리한 ‘비대칭’을 강조했다.

주소 독살만이 아니다…저렴한 가스비가 부르는 새 공격면

주소 독살은 ‘저렴한 가스비’가 키우는 공격 벡터 중 하나일 뿐이라는 지적도 나온다. 보안 연구자 다니엘 본 팡게(Daniel Von Fange)는 가스비가 낮아지면 더 복잡한 공격 트랜잭션도 가능해져 “아주 작은 돈”도 수익성 있게 만들 수 있다고 분석했다.

레이어2(L2) 환경에서도 ‘MEV(최대추출가치)’ 기반 스팸 활동이 확장 효과를 상쇄해, 일반 사용자 입장에서는 기대했던 수수료 절감이 희석되는 현상이 관측됐다는 문제 제기도 있다. 선의의 업그레이드가 결과적으로 공격자에게 새로운 기회를 제공할 수 있다는 얘기다.

세르게엔코프는 “프로토콜이 바뀔 때마다 시스템은 구조적으로 새로운 공격 벡터를 만들어낸다”고 말했다. 예로 지갑 위임 기능을 도입한 EIP-7702를 들며, 이후 윈터뮤트(Wintermute) 리서치가 해당 코드를 사용한 주소의 80%가 악성 활동과 연관됐다고 밝힌 점을 언급했다.

사용자 수칙만으로는 한계…‘공격이 성립하지 않는 환경’이 필요

세르게엔코프는 개인 차원의 예방책으로 “거래 기록이나 블록 탐색기에서 주소를 복사하지 말라”고 조언했다. 피곤하거나 아플 때 등 판단력이 흐려진 상태에서는 송금을 피하라는 현실적인 경고도 덧붙였다.

다만 그는 교육과 주의 환기만으로는 ‘수많고 빠르게 변형되는’ 공격을 따라잡기 어렵다고 봤다. 결국 사용자가 단 한 번의 실수로 전 재산을 잃지 않도록 하는, 그리고 공격의 위험 대비 보상이 맞지 않아 공격 자체가 성립하지 않는 환경을 만드는 방향의 개선이 필요하다는 주장이다. 푸사카 업그레이드로 이더리움(ETH) 확장 정책이 한 단계 진전한 만큼, 비용 혁신과 함께 사용자 보호 장치도 동시에 강화될지 시장의 시선이 모인다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.