주소 포이즈닝(address poisoning) 사기가 최근 블록체인 사용자들 사이에서 큰 문제로 부각되고 있다. 이 사기는 사용자들로 하여금 악성 주소로 자금을 송금하게 만들어, 그들의 자산을 불법으로 탈취하는 방식으로 운영된다. 특히 공격자는 사용자 지갑의 프라이빗키를 조작하는 것이 아닌, 거래 내역을 교묘하게 조작하여 사용자 스스로가 자신이 믿는 주소로 자금을 송금하게 유도하는 방식이다.

2025년에는 한 사용자가 잘못 복사한 주소로 테더(USDt) 5,000만 달러(약 7,231억 원)를 송금하는 사건이 발생했다. 또 2026년 2월에는 팬텀(Phantom) 지갑을 노린 피싱 캠페인에서 이 기법이 활용되어 약 38억 원 상당의 래핑된 비트코인(wBTC)이 탈취당했다. 이러한 사례들은 불과 인터페이스 속임수로도 수십억 원의 피해가 발생할 수 있음을 잘 보여준다.

이 같은 사건들이 잇따르자, 업계 인사들, 특히 바이낸스 공동 창업자 창펑 자오(Changpeng Zhao, CZ)는 지갑 서비스에 보다 강력한 보안 장치를 도입해야 한다고 촉구하고 있다. 문제의 본질은 프라이빗키의 유출이 아니라, 사용자의 행동 패턴과 지갑 UI 디자인이라는 인식이 확산되고 있다.

주소 포이즈닝 공격자는 전통적인 해킹 방식과는 달리, 프라이빗키를 직접적으로 공격하거나 스마트 계약의 취약점을 노리는 것이 아니다. 대신 이들은 블록체인에 공개된 정보와 사용자의 송금 습관을 악용한다. 공격자는 먼저 온체인 데이터를 분석하여 고액 자산을 보유하고 있는 지갑 주소를 찾는다. 그 후, 피해자가 자주 송금하는 주소와 매우 유사한 새로운 주소를 생성하여 사용자에게 속임수를 쓴다.

예를 들어, 이더리움(ETH) 주소는 일반적으로 ‘0x’로 시작하는 42자 길이의 조합이다. 사용자가 실제로 보면 일반적으로는 ‘앞 몇 글자 + … + 뒷 몇 글자’만 표시되기 때문에 중간의 세부 사항을 확인하는 것이 어렵다. 이러한 점을 악용하여, 공격자는 ‘앞 부분과 뒷 부분은 같지만 중앙이 다른’ 주소를 의도적으로 설계한다.

또한, 공격자는 가짜 주소에서 소량의 토큰을 송금하거나, 0 값의 거래를 생성하여 주의를 환기시킴으로써 해당 주소를 사용자의 최근 거래 내역에 자연스럽게 포함시킨다. 시간이 지남에 따라 사용자는 이 가짜 주소에 혼동을 느끼고 송금시에 잘못된 주소를 복사하여 붙여넣게 된다. 이 과정에서 피해자의 프라이빗키는 전혀 손대지 않는다.

최근에는 이더리움 레이어2 확장 솔루션의 성장으로 인해 이러한 공격이 더욱 기승을 부리고 있다는 분석이 있다. 낮은 거래 수수료 덕분에, 공격자는 많은 양의 더스트 거래를 쉽게 발생시킬 수 있다.

주소 포이즈닝의 위험성은 공격 기술이 간단하지만 성공률이 높다는 점에서 기인한다. 많은 사용자들은 복잡한 16진수 문자열을 매번 확인하기 어렵기 때문에, 자연스럽게 몇 글자만 확인하고 대충 비교하는 경향이 있다. 또한, 최근 거래 내역 옆의 ‘복사 버튼’과 같은 편리한 기능이 오히려 사기를 저지르기 쉽게 만드는 요인이 되고 있다.

따라서 사용자와 지갑 개발자 모두가 이 문제를 인식하고 예방 조치를 취해야 한다. 사용자들은 자주 송금하는 주소를 화이트리스트에 저장하고, 주소를 복사하는 것을 피함으로써 이 공격을 예방할 수 있다. 지갑 개발자 역시 더스트 거래를 필터링하거나, 유사 주소 경고 기능과 같은 추가적인 보안 기능을 구현해야 한다.

결국, 주소 포이즈닝은 블록체인 기술의 투명성이라는 장점과 함께 부각된 사용자의 심리적 취약점 죠 UI의 한계를 악용한 사기 방식이다.