비트코인(BTC) 수탁 업체 카사의 최고 보안 책임자 제임슨 롭(Jameson Lopp)이 최근 '주소 중독(Address Poisoning)' 공격의 심각성을 경고했다. 이 공격은 사용자의 거래 기록에서 유사한 주소 패턴을 악용해 악성 주소로 송금을 유도하는 소셜 엔지니어링 수법이다.
제임슨 롭은 지난 6일 자신의 블로그를 통해 공격 사례를 분석한 내용을 공개했다. 그는 공격자들이 피해자의 거래 내역에서 앞뒤 글자만 동일한 비트코인 주소를 생성해, 실수로 잘못된 주소로 송금하도록 유도하는 방식이라고 설명했다. 그에 따르면 본격적인 공격은 2023년 7월 7일 생성된 블록 797570에서 시작됐고, 2025년 1월 28일 881172번째 블록까지 1년 반 동안 잠잠하거나 간헐적으로 발생했다. 이 기간 유사한 유형의 악성 거래는 약 4만 8,000건에 달한 것으로 분석됐다.
롯은 사용자가 비트코인을 전송하기 전 최종 주소를 반드시 확인할 것을 권고하며, 지갑 서비스들이 전체 주소를 표시하는 UI 개선이 시급하다고 강조했다. 이는 단순한 실수를 유도하는 전통적인 사기의 디지털 버전으로, 암호화폐 생태계에서의 새로운 보안 위협으로 부상하고 있다.
한편 블록체인 보안업체 사이버스(Cyvers)에 따르면, 주소 중독 공격으로 인한 피해는 2025년 3월 한 달 동안 120만 달러(약 17억 5,200만 원)에 달했다. 2월 피해액은 이보다 더 많은 180만 달러(약 26억 3,000만 원)에 육박했다. 같은 분기 동안 발생한 전체 암호화폐 해킹 피해는 16억 달러(약 2조 3,360억 원)를 넘었으며, 이 중 2월 발생한 바이비트(Bybit) 해킹 하나로만 14억 달러(약 2조 460억 원)의 피해가 발생하며 역대 최대 규모를 기록했다.
사이버 보안 전문가들은 이 같은 공격 배후에 북한 연계 해킹 조직 라자루스 그룹이 있다고 보고 있다. 라자루스는 가짜 구직 제안, 가짜 벤처캐피털 화상 회의, 소셜미디어 피싱 링크 등 복잡한 소셜 엔지니어링 수법으로 암호화폐와 민감 정보를 노린다.
주소 중독 공격이 단순히 개인 실수가 아닌 정교하게 설계된 해킹이라는 점에서, 사용자와 기업 모두의 보안 인식 제고가 절실한 상황이다. 전문가들은 거래 전 주소 확인에 대한 경각심을 강화하고, 지갑 서비스 제공자들이 보다 직관적이고 안전한 UX 제공에 나서야 한다고 강조하고 있다.