유니스왑 창업자 헤이든 애덤스가 구글 검색·앱스토어에 반복 노출되는 '사기 유니스왑' 광고를 경고한 가운데, 한 이용자가 수십만 달러 규모 자산을 한 번에 잃은 사례가 공개됐다.

온체인 데이터에 따르면 올해 1월 한 달 피싱·해킹 피해액은 3억7,030만 달러로 11개월 새 최대치를 기록했으며, 검색·광고 플랫폼 책임론과 함께 이용자 보안 습관의 중요성이 부각되고 있다.

3억7,030만 달러 털린 1월… '가짜 유니스왑' 검색 피싱, 수년째 계속된다 / TokenPost.ai

유니스왑 설립자 “사기 광고, 수년째 신고해도 계속 돌아온다” 경고

유니스왑(UNI) 창업자 헤이든 애덤스가 검색엔진과 앱 마켓에 등장하는 ‘사기 유니스왑 광고’에 대해 강력한 경고를 내렸다. 실제로 한 이용자가 이 같은 피싱 사이트에 속아 수십만 달러, 우리 돈으로 수억 원대 자산을 한 번에 잃은 사례가 공개되면서 파장이 커지고 있다.

애덤스의 경고는 올 1월 암호화폐 업계에서 각종 사기와 피싱으로 탈취된 금액이 최근 11개월 사이 최대치를 기록한 직후 나왔다.

애덤스는 21일(현지시간) X(구 트위터)에 “사기 광고는 수년 동안 신고해도 계속 돌아온다”고 지적했다. 그는 “앱스토어 승인만 몇 달을 기다리던 동안에도 사기 유니스왑 앱이 버젓이 올라와 있었다”고 말했다.

현재 피싱 조직들은 구글 등 주요 검색엔진에서 ‘유니스왑’ 같은 키워드를 정조준해 광고를 집행하고 있다. 사용자가 유니스왑을 검색하면 가장 상단에 ‘공식 사이트처럼 보이는’ 광고 링크가 뜨고, 이를 진짜로 착각한 이용자가 지갑을 연결해 트랜잭션(거래 승인)을 눌렀다가 자산이 통째로 빠져나가는 구조다.

“운 나쁜 게 아니라, 잘못된 선택이 쌓여 터진 것”

X 이용자 ‘이카(Ika)’는 최근 “난 모든 걸 잃었다, 이제 무엇을 해야 할까?”라는 글을 올리며 자신이 당한 피해 사례를 공개했다. 그가 밝힌 지갑 가치 규모는 미드 ‘식스 피겨(mid six-figure)’ 수준, 즉 대략 수십만 달러로, 우리 돈으로 치면 억대 자산에 해당한다.

이카는 “2년 동안 철저하게 규율을 지키며 행동해 왔다. 반은 웹3 업계 일자리를 찾으려 했고, 반은 충분히 빨리 돈을 벌어 일자리가 필요 없는 상태를 만들고 싶었다”고 적었다. 그럼에도 어느 순간 지갑이 완전히 비워졌다는 것이다.

그는 “지갑이 털린 건 운이 나빠서가 아니다. 오랜 시간 이어진 잘못된 결정들의 ‘최종 결과’라고 믿는다”고 했다. 단 한 번의 실수가 아니라, 보안 습관·검증 과정·사이트 확인 등에서 ‘작은 허점’이 쌓여 결국 참사가 터졌다는 자성이다.

이카가 올린 장문의 경험담은, 그가 가짜 유니스왑 링크가 포함된 구글 검색 결과 상단 화면을 캡처해 공유한 직후 올라왔다. 검색 결과 첫 줄에 표시된 링크가 공식 도메인을 교묘히 흉내 내고 있었고, 그는 이를 실제 유니스왑 인터페이스로 착각한 것으로 보인다.

유니스왑 겨냥한 ‘정교한 피싱’…버튼 위치까지 베꼈다

유니스왑을 노린 피싱은 이번이 처음이 아니다. 2024년 10월, 코인텔레그래프는 사기꾼들이 유니스왑 웹사이트의 ‘도메인 권위(domain authority)’가 상대적으로 낮다는 점을 노려, 진짜 사이트와 거의 똑같은 화면을 구현한 피싱 사이트를 만든 사례를 보도한 바 있다.

당시 가짜 사이트는 겉보기에는 정식 유니스왑과 사실상 구분이 어려웠지만, 세부 버튼 구성이 달랐다. 원래 ‘시작하기(get started)’가 위치해야 할 자리에 ‘지갑 연결(connect)’ 버튼이 들어가 있었고, ‘문서 읽기(read the docs)’가 있어야 할 곳에는 ‘브리지(bridge)’ 버튼이 들어가 있었다. 사용자가 자연스럽게 지갑 연결과 자산 이동을 유도당하도록 설계된 것이다.

이처럼 유니스왑처럼 널리 알려진 디파이(DeFi·탈중앙화 금융) 프로토콜의 명성을 악용하는 피싱은, 초보자뿐 아니라 숙련 이용자까지 노리는 ‘정교한 사회공학 공격’으로 진화하고 있다.

1월에만 3억 7,030만 달러 털려…11개월 새 최대

시장 전반을 봐도 경고등은 켜져 있다. 온체인 데이터에 따르면 지난 1월 한 달 동안 각종 해킹과 사기, 피싱으로 탈취된 암호화폐 규모는 3억 7,030만 달러(약 5,366억 원)에 달해, 최근 11개월 기준 월간 최대치를 기록했다. 이는 2025년 1월과 비교해 거의 4배에 가까운 폭증이다.

블록체인 보안업체 서틱(CertiK)은 1월 한 달 동안 집계한 40건의 공격·사기 사례를 분석한 결과, 전체 피해액의 ‘대부분’이 단 한 명의 피해자에게서 나왔다고 밝혔다. 이 피해자는 사회공학(소셜 엔지니어링) 기법으로 유도된 공격에 당해 약 2억 8,400만 달러(약 4,114억 원)를 잃은 것으로 추산된다.

사회공학 공격은 기술적 취약점보다는 ‘사람’을 노리는 방식이다. 공식 프로젝트 팀원이나 투자자, 파트너처럼 가장해 신뢰를 얻은 뒤, 링크 클릭·지갑 연결·권한 승인 등을 자연스럽게 유도해 자산을 탈취한다. 유니스왑 사칭 광고나 검색결과 피싱 역시 이 범주에 들어간다.

검색·광고 플랫폼 책임론 커질 듯…사용자도 “최종 방어선”

이번 사건을 계기로 유니스왑 같은 디파이 프로토콜뿐 아니라, 구글 등 검색·광고 플랫폼의 책임 문제도 다시 도마에 오를 전망이다. 오랫동안 ‘사기 광고’ 신고가 이어졌음에도 여전히 최상단에 피싱 링크가 노출되고 있어서다.

다만 현실적으로 모든 피싱 링크를 실시간 걸러내기 어렵다는 한계도 뚜렷하다. 그 결과, 실제 자산을 지키는 ‘최종 방어선’은 여전히 개별 이용자에게 놓여 있다는 지적이 힘을 얻고 있다. 특히

- 검색 결과 최상단 ‘광고’ 표시 여부 확인

- 도메인 철자와 공식 주소 대조

- 지갑 연결·권한 승인 전 다시 한 번 점검

같은 기본적인 체크리스트를 지키지 않으면, 숙련자도 한 번의 실수로 수년간 쌓은 자산을 잃을 수 있다는 경고가 이어진다.

유니스왑 사칭 사기와 1월 대규모 피싱 피해는, 디파이와 웹3 생태계가 성장할수록 보안 리스크도 함께 커지고 있음을 상기시킨다. 규제, 플랫폼 책임, 사용자 교육이 맞물려 대응 전략을 재정비하지 않는다면, 비슷한 ‘모든 것을 잃었다’는 사례는 앞으로도 반복될 가능성이 크다.