이메일 통한, 2FA 인증 피싱
5일 블록체인 보안 기업 슬로미스트의 최고보안책임자(CSO) 23pds는 5일 메타마스크 사용자를 겨냥한 고도화된 이중인증(2FA) 피싱 수법에 대해 주의를 촉구했다.
23pds는 해커가 메타마스크 공식 화면과 거의 구분되지 않는 보안 경고 페이지를 보내 클릭을 유도하여 단계적으로 속이는 방식을 사용했다.
공개된 화면을 보면 첫 단계에서 ‘즉각적인 대응이 필요하다’는 허위 보안 경고로 심리적 압박을 가한 뒤, 제한 시간 안에 인증하지 않으면 계정이 제한된다는 경고로 이용자의 판단력을 흐리게 만든다.
마지막 단계에서는 ‘보안 강화를 위한 절차’라며 지갑 복구 문구(시드프레이즈) 입력을 요구한다.
메타마스크는 자체적인 2FA 기능을 제공하지 않는다. 따라서 2FA 설정을 요구하는 이메일이나 웹페이지는 모두 주의가 필요하다. 또한 공식 지원 채널이 복구 문구 입력을 요구하는 일은 없으며, 이를 입력할 경우 지갑 내 자산 전체가 탈취될 수 있다.
슬로미스트의 2025년 연례 보고서에 따르면 블록체인 관련 보안 사고로 인한 피해액은 약 29억3500만달러(약 4조6000억원)에 이른다.
출처가 불분명한 링크는 클릭하지 말고, 가급적 모든 웹사이트에서 개인 정보 입력에 주의가 필요해 보인다.
