파일코인 지갑의 멀티시그 사기 사건의 진실은 무엇이며, 사용자는 어떻게 자산을 보호할 수 있을까?
최근 TRON(TRON) 및 TokenPocket 커뮤니티에서 일부 사용자들이 자신의 지갑이 이유 없이 '멀티시그(다중 서명)'로 설정되어 암호화 자산을 정상적으로 송수신할 수 없게 되었으며, 더욱 심각한 경우 자산이 도난당하는 사례가 발생하고 있습니다.
앞서 언급된 사용자들이 겪은 문제는 바로TronLink 지갑과 TokenPocket 지갑을 대상으로 한 멀티시그 사기입니다.
암호화 세계에 막 입문한 신규 사용자들에게 있어 자신의 지갑을 올바르게 사용하는 것은 항상 피할 수 없는 중요한 주제입니다. 암호화 세계 전체는 마치 어두운 숲과 같으며, 지갑을 둘러싼 사기 행위도 끊임없이 등장하고 있어 사용자가 조금만 방심해도 자산을 잃어버릴 수 있습니다.
그렇다면 이 멀티시그 메커니즘은 정확히 무엇이며, 왜 일부 사용자들이 피해를 입게 된 것일까요? TRON(TRON)의 보안 설계에 문제가 있는 것인지, 아니면 사기범들이 고의로 만든 함정인지 알아보겠습니다. 앞서 언급한 지갑을 사용 중이거나 TRON(TRON)의 멀티시그 메커니즘 원리를 이해하여 사기를 예방하고 싶은 분들께 본 기사가 도움이 되길 바랍니다.
왜 다중 서명(multisig) 설정을 당하게 되는가?
먼저 TRON(TRON)의 멀티시그 메커니즘에 대해 알아보겠습니다.
일반적으로 지갑 내에서 이루어지는 모든 거래는 사용자가 직접 '서명'을 해야 실행됩니다. 이 서명은 사용자가 설정한 비밀번호 입력이나 스마트폰의 지문 인식 등을 통해 이루어질 수 있습니다. 이러한 상황에서 '계정 내 자금의 이동 여부는 오직 본인만 결정'하게 되며, 본인의 서명만으로도 계정 내 암호화 자산을 이체할 수 있습니다.
하지만 '복수 인원이 공동으로 자금 이동을 결정'해야 하는 상황도 존재합니다. 예를 들어 팀이나 회사가 공동으로 관리하는 암호화 자산이 있거나, 보안을 위해 본인이 소유한 두 개의 지갑을 이용해 두 지갑 모두가 거래에 동의해야만 해당 거래가 승인되도록 설정하는 경우입니다. 이처럼 하나의 계정이 여러 개인키(private key)로 관리될 수 있으며, 계정에서 생성된 거래는 여러 개인키로 서명이 가능해져 서로 다른 권한을 가진 복수 인원이 함께 암호화 자산을 공동 관리할 수 있습니다.
TRON(TRON)의 TronLink 지갑과 TokenPocket 지갑 인터페이스에서는 다양한 사용 목적과 필요에 따라 멀티시그 기능을 설정할 수 있습니다.
이미지 출처: TRON 지갑 문서
멀티시그란 무엇인지 이해했으니, 이제 사용자들이 왜 멀티시그 설정을 당하게 되는지 살펴보겠습니다.
첫 번째, 사용자가 직접 멀티시그를 설정한 경우
초보 사용자들이 지갑 기능을 익히는 과정에서 실수로 멀티시그를 설정하는 경우입니다. 자산을 이체하려 할 때 이미 멀티시그가 설정되어 있다면, 최소 2개 이상의 지갑 주소가 해당 거래에 대한 서명과 확인을 모두 완료해야 합니다. 따라서 사용자가 소유한 단일 지갑만으로는 거래를 완료할 수 없어 거래가 중단되는 현상이 발생합니다.
이러한 상황은 사용자의 실수로 인한 것이며, 자산 자체는 여전히 안전합니다. 해결 방법도 간단합니다. 다중 서명 조건을 충족시키거나 멀티시그 설정을 해제하고 단독 서명으로 거래를 수행하면 됩니다.
두 번째, 개인키 유출로 인해 타인이 멀티시그를 설정한 경우
가장 흔한 사례는 피싱 사이트를 통해 가짜 지갑을 다운로드 받았을 때입니다. 사용자가 가짜 지갑 소프트웨어를 사용하면 개인키와 복구 문구(영문: mnemonic phrase)도 생성됩니다.
그러나 이 가짜 지갑은 사용자의 개인키 또는 복구 문구를 도용할 수 있으므로, 지갑에 대한 통제권이 타인에게 넘어간 셈입니다. 이때 공격자는 멀티시그 메커니즘을 활용해 자신의 주소와 사용자의 주소를 함께 멀티시그 계정으로 설정할 수 있습니다. 사용자가 단독으로 자산을 전송하려 할 때 거래가 진행되지 않는 것을 발견하게 되며, 공격자는 사용자의 개인키를 확보한 상태에서 자신의 멀티시그 계정과 결합해 자산을 전부 빼돌릴 수 있습니다.
세 번째, 타인이 고의로 개인키를 노출시켜 유입된 자금을 회수 불가능하게 만드는 경우
이 방법은 오래됐지만 여전히 초보 사용자들에게 치명적인 피해를 주고 있습니다. 사기범이 직접 자신의 지갑 개인키를 사용자에게 공개하며, 그 지갑에는 꽤 많은 양의 다른 자산이 포함되어 있을 수도 있습니다. 사기범은 자신이 조작법을 모른다고 거짓말을 하며, 사용자에게 일정량의 TRX를 해당 지갑으로 송금하고 그에 상응하는 금액의 스테이블코인을 다시 출금해 달라고 요청할 수 있습니다.
사용자는 자신이 이득을 본다고 생각하며 상대방의 개인키나 복구 문구를 가져와 지갑을 임포트한 후, 해당 지갑으로 TRX를 송금하게 됩니다. 이 순간 멀티시그 함정이 작동하게 됩니다.
사기범이 제공한 지갑은 이미 멀티시그로 설정되어 있기 때문에, 당신이 그들의 개인키를 확보했다 하더라도 해당 자산을 자유롭게 조작할 수 없습니다. 그리고 당신이 송금한 자산은 돌이킬 수 없게 됩니다.
이미지 출처: TP 지갑
네 번째, 피싱 링크 클릭으로 인한 권한 변경
이 경우는 사용자가 피싱 링크를 클릭함으로써 지갑 권한이 악의적으로 변경된 것입니다. 예를 들어 사기범이 각종 쿠폰이나 선불 충전을 저렴하게 판매한다는 웹사이트를 만들어 유도하고, 사용자가 제공된 링크를 통해 충전을 시도하면 악성 권한 상승 코드가 실행됩니다. 사용자가 이를 확인하고 비밀번호를 입력해 서명을 완료하면, 자신의 지갑 주소 권한이 변경되는 결과를 초래하게 됩니다.
TP 지갑이 제시한 실제 사례에 따르면, 사용자가 피싱 링크를 클릭하고 이체를 시도할 때 지갑은 즉시 경고 메시지를 표시하며 이번 작업이 단순한 송금이 아니라 '계정 권한 업그레이드 호출'임을 알립니다. 사용자가 확인 버튼을 누르면 사기범에게 멀티시그 권한을 부여하게 되며, 지갑 주소가 악의적인 멀티시그로 설정된 이후에는 이체 시 문제가 발생하거나, 공격자가 더 많은 권한을 이용해 자금을 빼돌릴 수 있게 됩니다.
이미지 출처: TP 지갑
멀티시그 보안의 핵심은 먼저 개인키 보안이다
위에서 설명한 네 가지 일반적인 멀티시그 피해 사례를 통해 알 수 있듯이, 사용자의개인키 유출 또는 타인의 피싱 링크나 지갑을 경솔하게 믿는 것이 자산 손실의 직접적인 원인입니다.
이러한 사기 수법에서 멀티시그 메커니즘은 본래 의도와 달리 사기범에 의해 악용되는 수단으로 '등에 업힌' 셈입니다.
이는 분명히 TRON(TRON)의 멀티시그 메커니즘이 추구하는 목적이 아닙니다.
TRON 지갑의 멀티시그 메커니즘을 마치 집 안의 자산을 옮기기 위해 여러 자물쇠 구멍을 동시에 열어야 하는 고보안 자물쇠 조합이라고 생각해볼 수 있습니다. 하지만 이런 보안 기능이 효과를 발휘하기 위해서는 전제 조건이 있습니다. 즉,사용자가 본인의 기존 권한을 철저히 지켜야 한다는 점입니다. 만약 모든 자물쇠의 열쇠가 한 사람의 손에 모두 모여 있다면, 아무리 우수한 자물쇠라도 의미가 없어집니다.
현재의 지갑 사기 문제와 TRON의 멀티시그 메커니즘을 함께 고려해 보면 대부분의 경우 사용자의 무심코 저지른 실수가 주요 원인이라는 것을 쉽게 알 수 있습니다. 또한 멀티시그 메커니즘 자체에는 문제가 없으며, 문제는 오히려 환경에서 비롯됩니다—암호화 세계에서 사용자와 사기범 간의 기술 역량 차이, 초기 산업 생태계에서 성숙한 기술적 경고, 탐지, 반격 조치의 부재 등이 주요 원인입니다.
다만 현재 상황에서 TRON(TRON)은 사용자 측에 멀티시그 기능을 제공하면서 개발자 측에서도 한 걸음 더 나아가 기술적 수단을 통해 사기 가능성을 최대한 낮출 수는 없을까요?
현재 TRON(TRON)의 멀티시그 기능은 TronLink 지갑과 TokenPocket 지갑에서만 사용 가능합니다.
현재 멀티시그는 민감한 개인키 서명이 관련되므로, TRON(TRON)은 API 참조 매뉴얼에서 개인키 서명과 관련된 인터페이스 서비스를 이미 폐쇄한 상태입니다.
이 외에도 지갑 및 기타 관련 제품들은 각자의 요구에 따라 다중 서명 기능을 평가하고, 사용자에게 관련 경고 정보를 표시할지 여부와 그 방식을 결정할 수 있습니다. 따라서 TRON(TRON)의 멀티시그 기능이 사용자에게 노출되는 것은 필수 사항이 아닙니다. 이러한 옵션이 나타날 때에도 보안성과 신뢰성을 희생해서는 안 됩니다.
그러나 결국 자산의 최종적인 안전성은 사용자 스스로의 보안 의식 강화에서 비롯됩니다. 하늘에서 떨어지는 호재를 기대하기보다는, 유혹과 함정에 대한 경계심을 더 많이 갖추고 가능한 모든 사기 수법에 주의한다면, 암호화 세계 전체의 보안 수준도 더욱 높아질 것입니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
