올해에도 피싱 스캠이 기승해 피해가 확산되고 있다는 조사결과가 나왔다.
블록체인 데이터 분석기업 체이널리시스가 발표한 '2024 가상자산 범죄 보고서'에 따르면 지난 2년간 거래승인 피싱이 급증했으며 올해 피해액만 최소 3억 7400만 달러(약 4850억 원)에 육박하는 것으로 나타났다.
거래승인 피싱은 과거 허위 가상자산 앱을 통해 불특정 다수를 범행 대상으로 삼았다. 최근에는 '로맨스 스캠'과 같이 특정 인물에게 집중하고 관계를 구축해 악의적인 블록체인 거래에 서명하도록 유도하는 방식이 유행했다.
피해자를 속여 가상자산을 송금하게 하는 기존의 가상자산 스캠과 달리, 거래승인 피싱은 사용자를 속여 거래에 서명하게 함으로써 범죄자가 피해자의 지갑에서 토큰을 빼낼 수 있는 권한을 부여한다.
이러한 스캠의 전형적인 온체인 패턴은 피해자가 자신도 모르게 두번째 주소를 승인한 다음 범죄자들이 이 두번째 주소를 이용해 새로운 목적지로 자금을 빼돌리는 식으로 진행된다.
특히 체이널리시스의 자체 조사 결과, 로맨스 스캠 수법을 사용한 것으로 알려진 주소를 역추적해 거래승인 피싱에 연루된 1013개의 주소를 확인했다. 이를 추정해 보면 2021년 5월 이후 거래승인 피싱 스캠으로 인한 피해는 약 10억 달러(약 1조 2974억원)에 달했다.
또한 거래승인 피싱 스캠으로 범죄자들이 벌어들인 수익은 2022년 5월에 최고조에 달했으며, 같은해 손실액은 5억 1680만 달러(약 6703억9296만원)로 추정됐다. 올해 11월까지 손실액은 3억 7460만 달러(약 4857억 8128만원)에 육박한 것으로 조사됐다.
보고서에 따르면 소수의 범죄자들이 스캠의 대부분을 주도하는 것으로 나타났다. 가장 많이 성공한 거래승인 피싱 주소에서만 4430만 달러(약 575억원)가 도난당한 것으로 의심되며, 이는 연구 기간 동안 도난당한 것으로 추정되는 총 금액의 4.4%에 해당한다. 가장 큰 피싱 주소 10개가 도난당한 전체 금액의 15.9%를 차지했으며, 상위 73개 주소가 전체의 절반을 차지했다.
체이널리시스는 "스캠에 대응하기 위해 사용자 교육, 패턴 인식 전술, 모니터링 등의 전략이 필요하다"며 "거래승인 피싱이 의심되는 통합 지갑을 모니터링하고 이 지갑에서 중앙화 거래소로 이동하는 자금을 동결하는 것은 추가 손실을 방지하는 데 중요한 단계"라고 말했다.