암호화폐 시장은 개방적이고 규제가 느슨해 사기꾼들의 주요 타깃이 됩니다. 이 가이드는 가장 흔한 8가지 사기 유형을 다룹니다.
피싱 사이트는 합법적인 거래소나 지갑 웹사이트를 거의 완벽하게 모방한 가짜 페이지입니다. 사기꾼들은 검색 엔진 광고, 스푸핑된 이메일, 소셜 미디어를 통해 사용자를 유도해 자격 증명을 입력하게 합니다.
가장 흔한 기법은 도메인 이름에 미세한 변경을 가하는 것입니다: 문자 "l"을 숫자 "1"로 교체, 여분의 하이픈 추가(예: binance-pro.com), 또는 다른 최상위 도메인 사용. 일부 고급 피싱 페이지는 유효한 HTTPS 인증서도 보유합니다.
피싱에 대한 가장 효과적인 방어는 직접 설정한 북마크를 통해서만 거래소에 접속하는 것입니다.
Telegram, Twitter/X, Discord의 사기꾼들이 공식 거래소 지원 직원을 사칭하며 사용자에게 먼저 연락합니다. 흔한 패턴: 공식 커뮤니티에 질문을 올리면 몇 분 내에 "직원"이 개인 메시지를 보냅니다.
최종 목표는 거의 항상 시드 문구나 개인 키를 빼내거나, "확인" 주소로 자금을 이체시키는 것입니다. 실제 거래소 지원은 절대 DM을 먼저 보내지 않으며 비밀번호를 요구하지도 않습니다.
또 다른 유형은 "화면 공유" 사기입니다: 가짜 상담원이 문제를 "해결"하기 위해 원격 제어 소프트웨어 설치를 요청한 후 자산을 이체합니다.
고수익 사기는 "차익거래 봇"이나 "퀀트 전략"을 사용해 무위험 수익을 낸다고 주장하며 매일 1-5%의 안정적인 수익을 약속합니다. 실제로는 폰지 사기로, 신규 투자자 자금으로 기존 투자자에게 지급하다가 붕괴됩니다.
일반적인 위험 신호: 시장 상황에 관계없이 의심스럽게 안정적인 수익, 원금 자유 인출 불가, 강제 추천 요구, 익명 또는 모호한 팀, 검증 가능한 거래 기록 없음.
암호화폐에서 폰지 사기는 다양한 형태로 나타납니다: DeFi "고APY" 유동성 풀, 채굴기 "호스팅" 서비스, "AI 트레이딩" 플랫폼, 전통적인 MLM 구조.
가짜 에어드랍 사기는 "지갑을 연결해 무료 토큰을 받으세요"라는 미끼로 피해자를 유인합니다. 지갑을 연결하고 거래에 서명하면, 실제로는 지갑을 비우는 악성 컨트랙트를 승인하는 것입니다.
"유명인 증정" 사기도 만연합니다: 일론 머스크, CZ 등을 사칭한 가짜 게시물이 "1 BTC 보내면 2 BTC 반환"을 약속합니다. 피해자들은 합산 수억 달러를 잃었습니다.
거래소 먹튀는 플랫폼 운영자가 사용자 자금을 가지고 사라질 때 발생합니다. 일반적으로 명확한 법인 없이 규제받지 않는 소규모 거래소에서 발생합니다. 패턴: 높은 리베이트로 입금 유도 → 출금 기능 "점검" → 사이트 사라짐.
FTX 붕괴(2022년 11월)는 역사상 가장 큰 거래소 재난 중 하나로, 100억 달러 이상의 사용자 자금이 유용되었습니다. 규모가 크더라도 위험이 있으며, 준비금 증명을 갖춘 규제된 거래소를 선택하는 것이 필수적임을 일깨워줬습니다.
Binance, OKX, Bybit, Bitget 등 주요 거래소는 제3자 감사를 받고, 준비금 증명을 공개하며, 수년간의 운영 이력을 보유하고 있어 가장 안전한 선택입니다.
Binance, OKX, Bybit 등 주요 규제 거래소는 여러 국가에서 라이선스를 보유하고, 준비금 증명을 공개하며, 투명하게 운영됩니다. 검증된 플랫폼에서 시작하는 것이 먹튀 사기를 피하는 가장 효과적인 방법입니다.
안전한 거래소 비교하기 →"당신의 키가 아니면, 당신의 코인이 아닙니다." 시드 문구(12 또는 24 단어)는 모든 개인 키를 생성합니다 — 이를 가진 사람이 지갑을 완전히 제어합니다.
큰 금액의 경우, 하드웨어 지갑(Ledger, Trezor)이 가장 안전한 보관 방법입니다. 개인 키는 오프라인 칩에 저장되며 컴퓨터가 악성코드에 감염되어도 안전합니다.
시드 문구는 물리적으로 백업해야 합니다 — 손으로 쓰거나 금속판에 새기기. 절대 사진 찍거나 클라우드에 저장하지 마세요.
이중 인증(2FA)은 비밀번호 외에 두 번째 보호 레이어를 추가합니다. 비밀번호가 유출되더라도 두 번째 요소 없이는 공격자가 로그인할 수 없습니다.
Google Authenticator, Authy, 또는 하드웨어 보안 키(YubiKey)를 사용하세요. SMS 기반 2FA는 피하세요 — SIM 스왑 공격으로 전화번호를 공격자의 기기로 이전할 수 있습니다.
2FA 설정 시 시드 문구와 동일한 방식(물리적 백업)으로 복구 코드를 반드시 안전하게 보관하세요.
API 키는 타사 소프트웨어(거래 봇, 포트폴리오 트래커)가 거래소 계정에 접근하는 것을 허용합니다. 키가 유출되거나 권한이 과도하게 설정되면 공격자가 대신 거래하거나 출금 권한이 활성화된 경우 자금을 직접 이체할 수 있습니다.
많은 사용자들이 API 키를 신뢰할 수 없는 타사 도구에 붙여 넣거나 공개 코드 저장소(GitHub)에 하드코딩합니다. 자동화된 스캐너는 보통 몇 분 내에 이를 발견해 악용합니다.
모범 사례: 최소 필요 권한 부여(출금 절대 활성화 금지), IP 화이트리스트 제한, 정기적인 키 교체, 소스 코드에 평문으로 작성 금지.
주요 규제 거래소에 가입하고, KYC를 완료하고, 2FA를 활성화하는 것이 기본적인 3단계 보호 조치입니다. Cex101은 세계 주요 거래소의 전체 비교를 정리했습니다.
추천 거래소 보기