암호화폐 산업이 빠르게 성장함에 따라 사용자 보안에 대한 위협도 함께 증가하고 있다. 그중 하나는 ‘타이포스쿼팅(typosquatting)’으로, 이는 정교하게 조작된 도메인을 이용해 사용자가 입력하는 작은 오탈자를 악용하려는 사이버 공격 방식이다. 예컨대 ‘coinbase.com’을 방문하려 했던 사용자가 실수로 ‘coinbsae.com’과 같은 도메인을 입력할 경우, 공격자가 만든 사기 사이트로 접속되는 식이다.
이러한 가짜 사이트는 겉보기에 실제 플랫폼과 유사한 인터페이스를 갖추고 있어, 사용자가 의심 없이 개인 키, 복구 구문, 로그인 정보 등을 입력하게 만든다. 일부 사이트는 악성 소프트웨어 설치를 유도하기도 하며, 결국 사용자는 디지털 자산 탈취 및 데이터 노출이라는 심각한 피해를 입게 된다. 특히 블록체인 특유의 익명성과 비가역성은 피해 복구를 더욱 어렵게 만든다.
실제 사례도 있다. 2019년 유럽에서 1,900만 파운드(약 349억 원) 상당의 비트코인을 탈취한 사건에서, 범인들은 가짜 거래소 사이트를 운영하며 사용자 인증 정보를 가로챘다. 이 사건은 유로폴과 영국 및 네덜란드 수사 당국의 공조로 해결됐으며, 6명이 체포됐다. 이처럼 타이포스쿼팅은 단순한 사기가 아닌 국제적 범죄로 이어질 수 있는 심각한 위협이다.
공격자는 주로 인기 있는 암호화폐 지갑, 거래소, 토큰명과 유사한 도메인을 등록해 피싱 공격을 실행한다. 예를 들어, 실제 이더리움 지갑 주소가 ‘0xAbCdEf1234567890…’이라면, 이를 ‘0xAbCdEf1234567891…’로 바꿔 유사하게 보이게 한 후 피해자를 속여 자산을 전송하도록 만든다. 이 밖에도 ‘Uniswap’을 ‘Unisswap’ 또는 ‘UniSwap Classic’으로 바꿔 가짜 토큰을 배포하는 식의 수법도 일반적이다.
타이포스쿼팅은 서비스 개발자와 사용자 양측에 막대한 피해를 준다. 개발자의 경우, 신뢰도 추락과 자금 유입 차단 같은 *평판 리스크*는 물론 명시적 자산 손실도 발생할 수 있다. 사용자는 직접적인 재정 손실, 민감한 정보 유출, 심하면 기기 감염으로 인한 광범위한 보안 침해에까지 노출된다. 무엇보다 이로 인해 암호화폐 생태계 전체의 신뢰 기반이 흔들릴 수 있다.
타이포스쿼팅과 비슷해 보이는 개념으로는 ‘사이버스쿼팅(cybersquatting)’이 있다. 두 방식 모두 유사한 도메인을 등록한다는 점에서 닮았지만, 전자는 사용자의 실수를 노려 설계된 피싱 사이트에 가깝고, 후자는 상표권이 확립되지 않은 투자 초기 단계에서 성공 가능성이 있는 도메인을 선점해 금전적 대가를 요구하는 방식이다.
법적 대응 역시 간단치 않다. 익명성을 기반으로 글로벌하게 이루어지는 타이포스쿼팅 피해는 해당 행위를 처벌할 관할권 문제, 의도성 입증, 피해의 ‘소비자 피해’로서의 인정 여부 등 복잡한 쟁점을 동반한다. 더불어 스마트 컨트랙트를 활용한 자산 탈취, 세탁 등도 갈수록 정교화돼, 단순한 피싱이 아닌 *계약 기반 범죄*로 진화하고 있다.
이에 따라 정부, 사업자, 사용자 모두가 다층적인 방어체계를 구축해야 한다. 개발자는 오탈자 도메인을 미리 방지적으로 등록하거나 지속적인 모니터링 시스템을 운용하는 방식으로 접근할 수 있고, 사용자는 각 플랫폼의 *정확한 URL*을 즐겨찾기 등록해 반복해서 확인하는 습관을 들여야 한다. 또한, 인증서 설치, 사용자 대상 보안 교육, 유관 기관과 협업을 통한 빠른 대응체계 마련 등도 유효한 대처 방안이다.
피해 발생 시에는 우선 해당 도메인을 최초 등록한 등록기관에 정식 문제 제기를 하고, 증거 확보를 위해 트랜잭션 내역을 블록 탐색기를 통해 저장하는 것이 실효적인 대응책이다. 또한, 복잡하거나 국제적으로 얽힌 사안일 경우에는 사이버 보안이나 지식재산권 전문 변호사의 자문을 받는 것이 좋다. 미국 IC3, 영국 액션프로드(Action Fraud), 호주 사이버보안센터(ACSC) 등 각 국의 관할 기관을 이용한 공식 신고도 가능하다.
암호화폐는 탈중앙화된 혁신적인 디지털 자산이지만, 그것이 범죄자의 공격 대상이 되지 않도록 같은 수준의 보안 인식과 대응 체계가 필요하다. 타이포스쿼팅은 작지만 치명적인 실수에서 발생한다는 점에서, 결국 사용자 스스로의 주의와 생태계 전반의 예방 전략이 결정적인 역할을 한다.