[함지현 기자의 EX 레이더] 거래소 밖은 ‘미지의 세계'

by 함지현조회 1,3302022-08-23

이번 달에 파밍 사기를 당했습니다. 파밍이란, 실제 사업을 하는 웹사이트와 유사한 사이트를 만들어 사람들을 유인하는 방식을 의미합니다. 문제는 이런 파밍 사기가 개인 디지털자산 지갑 사용이 확산되면서 더욱 기승을 부리고 있다는 것입니다.


개인 디지털자산 지갑은 이용자가 자신의 개인키를 관리하는 지갑을 의미합니다. 거래소에도 디지털자산 지갑이 있지만, 거래소 디지털자산 지갑의 개인키는 거래소가 관리합니다. 여기서 개인키는 일종의 비밀번호라고 볼 수 있습니다. 다만, 비밀번호와 차이는 분명히 있습니다. 비밀번호는 이용자가 임의로 정하고, ID와 비밀번호 간 상관관계가 없습니다. 이와 달리 개인키는 공개키(지갑 주소)와 수학적 연결 관계가 존재합니다.


개인키는 12개 또는 16개의 영어단어로 구성된 복구 구문(니모닉 코드)으로 관리할 수 있습니다. 숫자로 구성된 개인키를 쪼개 11 비트(bit) 단위로 쪼개 2진수로 변환한 후, 다시 이를 10진수로 변환합니다. 만약 개인키의 첫 번째 11 bit가 10진수로 ‘3’이 된다면, 영어 사전의 세 번째 단어 ‘able’로 치환되는 방식입니다. 이 복구 구문이 유출되면 다른 누군가가 디지털자산 지갑에서 자산을 빼돌릴 수 있습니다. 또한, 복구 구문을 잃어버리면 영원히 디지털자산 지갑에 접근할 수 없습니다.


개인 디지털자산 지갑은 디파이나 NFT 생태계에서 개인 정보를 기입하지 않아도 서비스를 활용할 수 있는 도구로 활용됩니다. 그전까지는 구글 서비스를 사용하려면 구글 ID를, 네이버를 쓰려면 네이버 ID를 만들어야 했습니다. 하지만 블록체인 생태계에서는 개인 디지털자산 지갑만 있으면 어떤 서비스도 사용할 수 있습니다. 예를 들어, 메타마스크만 있으면 NFT 거래소 ‘오픈시(Opensea)’뿐만 아니라 디파이 플랫폼 ‘유니스왑’ 등에 접속할 수 있다는 의미입니다.


이처럼 개인 디지털자산 지갑만 있으면 ‘웹3.0(디파이, NFT 등을 아우르는 포괄적인 개념)’이라는 미지의 세계에 발을 들일 수 있습니다. 그러나 그만큼 사기도 당하기 쉽습니다. 중간에서 이 사이트가 사기인지 진짜인지를 구별해주는 안전장치가 없기 때문입니다. 제가 당한 사기는 다음과 같았습니다.


디지털자산 프로젝트 A의 트위터 계정이 사전 판매 소식에 대한 글을 올렸습니다. 물론 해당 계정은 사칭이었습니다. (나중에 보니 공식 계정의 아이디 뒤에 ‘_’가 붙어 있었습니다.) 트위터의 링크를 누르니 사전 판매 사이트가 등장했습니다. 해당 사이트에서 ‘홈’ 버튼을 누르면 공식 홈페이지로 이동하는 식으로 설계해 저와 같은 피해자들이 실제 사전 판매라고 착각하게 한 것입니다. 


웹사이트에 지갑을 연결해서 지갑에 있던 이더리움을 보낸 후 거래 내역에 서명만 하면 끝이었습니다. 문제는 그 사이트가 가짜였고, 저한테는 A 코인이 들어오지 않았습니다. 순식간에 수 십만 원이 사라진 것이죠. 저만 이런 피해를 본 것이 아닙니다. 올해 2월 오픈시 이용자들도 20억 원 상당의 NFT를 갈취당했습니다. 해커들이 이용자에게 위장 거래를 보냈고, 이용자들이 오픈시가 보낸 줄 알고 그 거래에 서명한 것입니다.


거래소를 벗어난 세상에서는 거래소에서만 하던 디지털자산 현물 거래 외 다양한 서비스를 즐길 수 있습니다. 하지만 그만큼 위험한 요소도 많다는 점을 염두하셔야 겠습니다.

함지현
연구원

외부 기고자

가상자산 거래소(EX)를 둘러싼 여러 사건들을 포착해 소개하여

보다 안전한 환경에서 현명한 투자를 할 수 있도록 도움을 드리고자 합니다.