[특집] NFT사기 종류와 예방법

슬기로운 아트 생활을 위한 주의점

NFT세계는 매우 재미있지만 한편으로는 험난하기도 합니다. 여러 가지 기술적 문제뿐만 아니라 다양한 종류의 사기 행각과 해킹이 상시적으로 일어나기 때문입니다. NFT아트를 컬렉팅하거나 거래를 할 때도 난처한 상황에 처할 때가 많습니다. 사기와 해킹은 초보자와 경력자를 가리지 않고 모두 당할 수 있습니다. 이와 관련하여 여러 가지 NFT사기(스캠) 유형과 반드시 알아두어야 하는 예방법을 정리했습니다. 큰돈이나 작품을 허무하게 잃어버리는 일을 예방할 수 있으니 모르는 부분이 있다면 꼭 숙지해 두는 것이 좋겠습니다.

1. 복제 혹은 표절된 NFT

원본 NFT를 복제하는 것은 전형적인 NFT 사기 유형입니다. 블록체인을 복제할 수는 없지만 이미지는 얼마든지 복제할 수 있습니다. 같은 이미지로 따로 컬렉션을 만들어 마치 원본인 것처럼 착각하게 만드는 경우가 있습니다. 

5억 개의 디지털 아트워크를 보유한 아티스트 온라인 커뮤니티인 DeviantArt의 아트들은 여러 NFT 플랫폼에서 9만 개 이상의 작품 사본을 발견할 정도였다고 합니다. 작품을 구매하기 전 오리지널 컬렉션이 어떤 것인지 확인해야 합니다. 오픈씨 같은 경우에는 유명한 아트 혹은 프로젝트일 때 인증 표시를 따로 해주지만 그렇지 않은 경우가 더 많으므로 주의해야 합니다. 오리지널 컬렉션을 확인할 수 있는 방법이 몇 가지 있습니다. 

1) 해당 컬렉션을 만든 이의 소셜미디어(인스타그램, 트위터, 디스코드)와 관련된 사이트(아티스트 홈페이지)가 원래 주인의 계정과 연결되어 있는지 확인해 보고 원래의 아티스트이거나 팀원이라면 오리지널일 가능성이 높습니다. 연결된 계정이 정상이라 하더라도 확실하게 확인하려면 연결된 계정의 주인에게 메시지를 보내 해당 컬렉션이 맞는지 확인합니다. 

2) 컬렉션의 론칭 날짜, 거래량, 거래내역, NFT발행개수를 확인합니다. 많은 거래량이 발생했고 거래내역이 충분히 기록되어 있으면 오리지널 컬렉션일 가능성이 높습니다.

3) 대형 컬렉션 작품이 아닌 개별 에디션 작품들이라면 아티스트의 기존 작품들을 살펴보거나 평판을 살펴보는 것도 도움이 됩니다. 종종 표절로 의심되는 NFT들이 발견되곤 하기 때문입니다. 유명 아티스트의 작품을 매우 비슷하게 모방하거나 그대로 베끼기도 합니다. 저자의 허락 없이 모방된 것을 잘못 구매할 경우 큰 가치 하락이 있을 수 있으니 주의해야 합니다. 

Grant Yun의 작품(왼쪽)과 모방 그림 사례(오른쪽)

4) https://nftreally.io 에서 검색해 봅니다. 아직 베타버전이지만 URL을 검색하면 오리지널 컬렉션 여부를 알려줍니다. 사이트에서 표시해 주는 유효성 검사를 통해 신뢰도를 측정해 볼 수 있습니다. 

2. 피싱 사기/ 링크 클릭 유도/ 시드 구문(Seed Phrase=백업구문) 요구

피싱 사기는 주로 낚시성 링크를 통해 이루어집니다. 링크를 클릭하면 사기꾼들이 진짜 웹사이트인 것처럼 꾸며 놓은 가짜 웹페이지가 나오고 암호화폐 지갑을 연결하라는 메시지가 나옵니다. 이때 지갑을 연결하도록 유도하고 개인 지갑 키 혹은 시드 구문을 요구하면 100% 사기입니다.

---

<예방법>

1) 링크를 발견했을 때는 도메인 URL을 꼼꼼히 확인해야 합니다. 예를 들어 metamask.com인지 metamask.io인지 도메인 스펠링까지 확인하여 진짜 웹사이트인지 확인해야 합니다. 트위터나 디스코드에서도 인증되지 않은 계정을 통해 피싱 사이트 링크를 올려놓고 클릭하도록 유도하는 경우가 많으니 주의해야 합니다. 

2) 시드구문(백업구문)은 어떤 상황에서도 절대 노출시켜선 안됩니다. 시드 구문을 요구하면 100% 사기이므로 시드 구문을 요구하는 사람이나 웹사이트는 무조건 차단하고 신고합니다. 메타마스크를 포함한 암호화폐 지갑을 만들 때는 언제나 지갑의 시드구문이 자동으로 생성되는데 만약 이 구문이 타인에게 노출되면 지갑에 있는 모든 자산을 도둑맞을 수 있습니다. 시드구문은 내 지갑 계정에 접속하는 비밀번호와 다른 고유의 암호인데 보통 12개의 영단어로 이루어져 있습니다. 시드구문은 해킹의 우려도 있으므로 카톡, PC, 스마트폰, 이메일 등 ‘모든’ 온라인 계정이나 기기에 저장하면 안 됩니다. 불편하더라도 종이에 적어 따로 보관해야 합니다. 

메타마스크 시드구문 화면

3) 개인 메시지로 받은 링크를 클릭하지 않습니다. 많은 피싱 사기가 개인 메시지를 통한 링크 접속으로 일어납니다. 인스타그램, 트위터, 디스코드에서 개인 메시지로 모르는 사람이 접근해 링크 클릭을 유도하는 경우 스팸이거나 사기일 확률이 매우 높습니다. 좋은 조건을 제시하는 경우는 더더욱 사기일 가능성이 높으므로 의심부터 해야 합니다. 이럴 경우 차단하는 것이 가장 좋지만 꼭 확인하고 싶다면 링크를 클릭하지 말고 메시지를 보낸 사람이 어떤 사람인지 확인해보아야 합니다. 딱히 확인할 방법이 없다면 무시하는 것이 좋습니다. 

4) 웹사이트에서 메타마스크 지갑 연결 팝업이 뜰 경우, 다시 한번 확인합니다. 피싱 웹사이트에 지갑을 연결하는 경우 지갑의 모든 자산을 잃어버릴 수 있습니다. 지갑을 연결하도록 유도한 후 해킹 프로그램을 통해 연결된 지갑의 자산을 훔쳐 갑니다. 만약 지갑을 연결했는데 의심스럽다면 즉시 https://revoke.cash 에 접속해 revoke(취소)를 실행합니다. revoke는 스마트 컨트랙트 승인 내역을 취소해 연결을 해제하는 것입니다.  지갑을 revoke 사이트에서 연결 후 목록이 보이면 원하는 NFT나 토큰의 오른쪽에 REVOKE 버튼을 눌러 진행하면 됩니다. 역시 가스비가 필요합니다.

REVOKE.CASH

5) 버너 지갑(Burner Wallet) 사용하기

버너 지갑은 자신이 주로 사용하는 지갑이 아닌 두 번째 암호화폐 지갑을 말합니다. 민팅을 하거나 의심되는 사이트에 연결할 때 나중에 없애도 되는 임시 지갑 용도로 사용하는 것입니다. 버너 지갑은 메타마스크에서 ‘계정 생성’을 통해 새로운 주소를 추가로 만드는 것이 아닙니다. 시드 구문이 아예 다른 새로운 지갑을 만드는 것을 말합니다. 첫 번째 방법은 본 지갑이 설치되어 있는 브라우저가 아닌 다른 브라우저에 새로 메타마스크를 설치하는 것입니다. 메타마스크 본 지갑이 크롬에 설치되어 있다면 네이버웨일, 파이어폭스 등 다른 브라우저에 새로운 시드 구문으로 된 메타마스크를 설치해 버너 지갑으로 이용하는 것입니다. 주요 NFT는 본 지갑을 사용하고, 그 외의 일상적인 경우에는 버너 지갑이 설치된 다른 브라우저의 메타마스크 지갑을 사용하면 됩니다. 

메타마스크 본 지갑에 버너 지갑 구문 가져오기

또 다른 방법으로는 하나의 브라우저에서 두 개의 다른 지갑을 이용하는 것입니다. “버너 지갑을 생성 후 메타마스크 우측 상단 점 3개 클릭-> 계정 세부 정보 -> 비공개 키 내보내기 -> 비공개 키 복사까지 그대로 따라 합니다. 이렇게 비공개 키가 복사되면 본 메타마스크 지갑에 로그인 후 “우측 상단 내 계정 클릭 -> 계정 가져오기 -> 복사한 비공개 키 붙여 넣기”순으로 실행합니다. 그러면 한 번의 로그인으로 본 지갑과 버너 지갑 두 개가 모두 표시되어 번갈아가며 사용할 수 있습니다. 

3. 계정 확인을 요구하는 메타마스크 이메일 사기

메타마스크 운영팀에서 보낸 이메일로 가장해 스팸 메일을 보내는 경우가 있습니다. 이메일에 연결된 스팸 링크를 사용해 계정을 인증하면 자산을 탈취당할 수 있습니다. 메타마스크 지갑의 경우, 공식 도메인 'MetaMask.io'를 통해 지갑과 관련된 인증을 수행하고 스폰서 광고나 기타 비공식 링크를 클릭하지 말아야 합니다. 

메타마스크 피싱 이메일 [출처: trendmicro]

4. 해킹

NFT에서 해킹은 거의 일상적으로 발생합니다. 블록체인은 해킹이 거의 불가능하지만 NFT관련 웹사이트나 소셜미디어 계정은 해킹의 표적이 되기 쉽습니다. 해킹을 당한 웹사이트, 디스코드, 소셜미디어 계정의 링크를 클릭할 경우 문제가 생길 수 있습니다. 해킹이라 하더라도 링크를 클릭하지 않는 것이 중요합니다. 만약 개인 계정이 해킹을 당했다면 빠르게 계정 운영센터(헬프센터)에 신고해 추가적인 피해를 막아야 합니다. 

해킹된 디스코드와 피싱 웹사이트(stazie 트위터)

해킹을 예방하는 가장 좋은 방법은 ‘렛저’라는 오프라인 저장소를 따로 이용하는 것입니다. 렛저는 콜드 월렛의 한 종류로 온라인에 연결되어 있지 않고 오프라인 상태의 암호화폐 지갑입니다. NFT작품을 보유하고 있는데 해킹의 위험에 대비하고자 한다면 렛저를 구매해 그 지갑에 따로 보관하는 것이 좋습니다. 

해킹된 트위터 계정과 피싱 사이트

일반적인 온라인 암호화폐 지갑은 언제나 온라인에 연결해 작동하는데 렛저는 온라인에 연결되어 있지 않고 특정 상황에서만 별도로 작동합니다. USB처럼 PC에 연결해 사용하는데 렛저에 NFT를 따로 보관하거나 렛저에 보관된 NFT를 거래할 때마다 직접 손으로 기기를 눌러야 작동합니다. 온라인에 연결되어 있지 않으므로 해킹의 위험으로부터 벗어날 수 있습니다. https://www.ledgerkorea.co.kr 에서 구매가 가능합니다.

렛저 나노 X

이외에도 다양한 사기 유형이 있어 항상 주의해야 합니다. 한 번 당하면 큰 손실로 이어질 수 있으니 예방할 수 있는 방법은 모두 동원하는 것이 좋습니다.