에테리움(Ethereum)이 수년간 공들인 수수료 인하가 뜻밖의 부작용을 낳고 있다. 가스비가 크게 떨어지면서 네트워크 사용량은 ‘역대급’ 수준으로 늘었지만, 동시에 지갑 주소 기록을 노리는 ‘주소 중독(Address Poisoning)’ 공격이 폭증하며 보안 리스크가 빠르게 부각되고 있다. 최근 이 문제는 ‘푸사카(Fusaka) 업그레이드’ 이후 통계로도 확인될 만큼 심각한 수준에 이르렀다는 분석이 나왔다.

에테리움 리서치 업체 리스크(Lisk)의 리서치 총괄 레온 바이트만은 2월 18일 X(옛 트위터)를 통해 “최근 분기 기준 에테리움 스테이블코인 결제 규모가 7조 5,000억 달러(약 10,871조 2,500억 원)에 달했지만, 평균 거래 수수료는 1달러(약 1,450원) 미만으로 유지되고 있다”고 지적했다. 그는 “역대급 사용량과 역대급 저렴한 수수료가 동시에 나타나는 상황은 지금 암호화폐 시장 전체에서 ‘기초 체력과 가격 사이의 가장 큰 괴리’”라고 평가했다.

하지만 이런 ‘호황’ 이면에는 더 위험한 그림자가 드리워져 있다는 경고가 뒤따른다. 온체인 리서처 안드레이 세르젠코프는 별도 리포트에서 지난해 12월 진행된 푸사카 업그레이드 이후 에테리움에서 주소 중독 공격이 폭발적으로 증가했다고 분석했다. 푸사카는 가스비를 기존 대비 6분의 1 수준으로 낮춘 것으로 평가되는데, 이로 인해 저비용 대량 스팸 공격이 사실상 ‘무제한’에 가까운 수준으로 가능해졌다는 것이다.

수수료 6분의 1로 떨어지자 ‘주소 중독’ 일일 수십만 건

주소 중독 공격은 사용자의 지갑 거래 내역을 악용하는 방식이다. 공격자는 피해자가 자주 송금하는 주소를 흉내 낸 매우 비슷한 주소에서 소액을 보내 거래 내역에 ‘진짜처럼’ 남겨둔다. 이후 피해자가 과거 송금 내역을 복사·붙여넣기 하는 과정에서 이 가짜 주소를 잘못 선택하면, 그 다음에 보내는 큰 금액이 통째로 탈취된다. 세르젠코프는 이를 ‘복권식 공격’에 비유하며, “공격자들은 극도로 싼 수수료를 활용해 수백만 건의 거래를 뿌리고, 그 중 극히 일부만 걸려도 수익이 나는 구조”라고 설명한다.

세르젠코프가 2025년 9월 1일부터 올해 2월 13일까지 101개 토큰을 분석한 결과에 따르면, 푸사카 업그레이드 이전에는 하루 평균 약 3만 건 수준의 먼지(dust) 거래가 발생했다. 먼지 거래는 극소량 토큰을 보내는 트랜잭션으로, 대부분 주소 중독·스팸 공격에 활용된다. 그러나 푸사카 이후 수수료가 대폭 인하되면서 상황이 급변했다. 푸사카 이후 일평균 먼지 거래는 16만 7,000건으로 5배 이상 폭증했고, 지난 1월에는 특정 일자에 약 51만 건까지 치솟으며 연중 최고치를 기록했다.

세르젠코프는 “이전에는 수수료 부담 때문에 대규모 주소 중독 캠페인을 벌이기 어려웠지만, 푸사카 이후에는 공격자 입장에서 사실상 ‘마케팅 비용’ 수준으로 공격을 확장할 수 있게 됐다”며 “저렴한 거래 비용이 의도치 않게 악성 행위자들에게 이상적인 환경을 제공한 셈”이라고 진단했다.

두 달 새 63억 달러 이상 피해…“보안 선행 없이 수수료만 낮췄다”

피해 규모도 크게 불어났다. 세르젠코프의 집계에 따르면 푸사카 업그레이드 이후 약 두 달 남짓한 기간 동안 주소 중독 공격으로 인한 피해액은 6,300만 달러(약 914억 3,850만 원)를 넘어섰다. 이는 직전 동일 기간 동안 발생한 490만 달러(약 71억 6,300만 원) 손실의 13배 수준이다.

그는 보고서에서 “수수료를 낮추는 것 자체는 잘못이 아니다. 문제는 저렴한 트랜잭션이 필연적으로 증폭시키는 보안 취약점을, 업그레이드 이전에 충분히 보완하지 못했다는 점”이라고 지적했다. 이어 “에테리움 재단이 ‘수조 달러 가치의 자산을 지키는 보안’을 표방하는 이상, 성장 지표 못지않게 사용자 안전을 가장 엄격한 우선순위에 두어야 한다”고 강조했다.

다만 이번 피해 통계에는 대형 단일 사건이 크게 영향을 미친 측면도 있다. 세르젠코프에 따르면, 푸사카 이후 손실 가운데 상당 부분은 2025년 12월 19일 발생한 한 차례의 대규모 탈취에서 나왔다. 당시 공격자는 주소 중독 기법을 활용해 테더(USDT) 5,000만 달러(약 7,247억 5,000만 원)를 한 번에 빼앗았다. 이 단일 사례를 제외하더라도, 푸사카 이후 주소 중독 피해액은 1,330만 달러(약 192억 7,400만 원)로, 업그레이드 이전 대비 2.7배 높았다.

이 같은 수치는 단순 ‘일회성 해킹’이 아니라 구조적 취약점이 나타났음을 시사한다. 수수료 인하로 네트워크 이용이 폭발하는 동안, 사용자 인터페이스(UI), 지갑 경고 시스템, 주소 검증 메커니즘 등은 이에 맞춰 충분히 강화되지 못했다는 평가다.

‘사용자 경험 vs 보안’ 에테리움의 딜레마

최근 에테리움 생태계에서는 스테이킹 잔고와 잠김 물량 증가, L2 확장 솔루션 확대 등 긍정적인 지표가 잇따르고 있다. 스테이블코인 결제량이 분기 기준 7조 달러를 훌쩍 넘기고, 거래 한 건당 수수료가 1달러(약 1,450원)도 되지 않는다는 점은 개발자와 사용자 모두에게 매력적인 환경이다. 그러나 주소 중독 사례처럼, 트랜잭션 비용을 낮추는 정책은 언제든 악성 행위자에게도 동일한 ‘혜택’을 제공한다.

시장에서는 이번 사태를 두고 “에테리움이 본격적인 대중화 국면에 들어간 만큼, 단순 프로토콜 레벨 업그레이드뿐 아니라 지갑·프론트엔드 층의 보안 UX 개선이 병행돼야 한다”는 목소리가 나온다. 거래 기록에 표시되는 주소 형식 개선, 자주 사용하는 주소에 대한 별도 라벨링, 대규모 송금 시 추가 확인 절차 도입 등 기본적인 장치만으로도 주소 중독 리스크를 줄일 수 있다는 지적이다.

결국 푸사카 이후 드러난 주소 중독 급증은 에테리움이 풀어야 할 고전적인 딜레마를 다시 한번 부각시킨다. 수수료 인하와 확장성이라는 ‘성장 지표’가 강화될수록, 이를 악용하는 공격의 경제성도 함께 올라간다는 점이다. 에테리움이 진정한 ‘세계 금융 인프라’를 지향한다면, 다음 업그레이드에서는 성능뿐 아니라 사용자 보호 장치가 얼마나 촘촘히 설계됐는지가 더욱 중요한 평가 기준이 될 가능성이 크다.

◆ "수수료는 싸졌는데, 지갑 보안은 그대로인가?"…이젠 '사용자 실력'이 방패다

푸사카 업그레이드로 에테리움 트랜잭션 수수료는 6분의 1 수준까지 떨어졌지만, 주소 중독 공격처럼 저비용 대량 스팸을 기반으로 한 보안 리스크는 오히려 기하급수적으로 커지고 있습니다.

거래 한 건당 1달러도 안 되는 가스비, 분기 7조 달러를 넘는 스테이블코인 결제량은 분명 ‘성장 지표’지만, 이 환경을 가장 먼저 활용하는 쪽이 선량한 투자자라 보장할 수는 없습니다.

주소 형식 검증, 빈번 송금 주소 라벨링, 대규모 송금 시 추가 확인 같은 보안 UX는 이제 선택이 아니라 필수입니다. 문제는, 이런 장치를 이해하고 제대로 설정하는 역량이 곧 각자의 자산을 지키는 ‘최후의 방어선’이 됐다는 점입니다.

◆ "주소 한 줄이 수천만 원을 가른다"…지갑·UI 보안까지 다루는 토큰포스트 아카데미

토큰포스트 아카데미는 단순히 코인을 고르고 차트를 읽는 법에 그치지 않고, 에테리움·디파이 환경에서 실질적으로 필요한 지갑 보안, 온체인 이해, 리스크 관리까지 단계적으로 다루는 7단계 마스터클래스입니다.

에테리움 주소 중독 공격 같은 ‘현실 리스크’에 대응하려면, 다음과 같은 영역을 체계적으로 이해하는 것이 중요합니다.