티스토리 뷰
목차
메타마스크 등 디파이 지갑의 해킹 방지를 위한 필수 보안 수칙인 연결 해제와 토큰 승인 취소(리보크) 방법, 그리고 관리 도구 사용법을 완벽하게 정리해 드립니다.
무제한 승인(Approve)의 위험성과 보안 취약점 이해
우리가 유니스왑이나 팬케이크스왑 같은 디파이 서비스를 처음 이용할 때 스마트 컨트랙트가 내 지갑에 있는 코인을 이동시킬 수 있도록 허락하는 '승인(Approve)' 과정을 반드시 거치게 되는데 이것이 바로 해킹의 시발점이 되는 경우가 많습니다. 대다수의 디파이 프로토콜은 사용자의 편의를 위해 매번 거래할 때마다 승인을 요청하지 않도록 최초 1회에 한해 '무제한 승인(Infinite Approval)'을 요구하는 것이 관행처럼 굳어져 있습니다. 이는 해당 사이트가 내 지갑에 있는 특정 토큰의 전량을 내가 잠을 자거나 로그아웃을 한 상태에서도 언제든지 빼갈 수 있는 권한을 부여하는 것과 동일한 의미를 가집니다. 만약 내가 이용했던 디파이 사이트가 해킹을 당하거나 악의적인 개발자가 만든 스캠 사이트였다면, 내 지갑의 프라이빗 키나 비밀번호가 유출되지 않았더라도 이 승인 권한을 악용하여 지갑 속 자산을 순식간에 탈취할 수 있습니다. 따라서 2026년의 스마트한 투자자는 서비스를 이용한 직후에는 반드시 이 권한을 회수하여 지갑을 '잠금' 상태로 되돌리는 작업을 습관화해야 합니다.
단순 연결 해제(Disconnect)와 리보크(Revoke)의 결정적 차이
많은 사용자들이 메타마스크 지갑 내에 있는 '연결된 사이트' 메뉴에서 휴지통 버튼을 눌러 연결을 끊으면 안전하다고 착각하지만 이는 보안상 큰 오해이며 실질적인 위험을 제거하지 못합니다. 메타마스크에서 수행하는 '연결 해제(Disconnect)'는 단지 해당 웹사이트가 내 지갑의 잔고나 활동 내역을 더 이상 조회하지 못하게 만드는 '로그아웃' 개념일 뿐이며 블록체인 원장에 기록된 스마트 컨트랙트의 승인 권한을 삭제하는 것은 아닙니다. 진정한 의미의 보안 조치는 블록체인 네트워크상에 기록된 승인 내역 자체를 0으로 되돌리거나 삭제하는 '리보크(Revoke)' 트랜잭션을 발생시키는 것입니다. 리보크는 일종의 블록체인 거래이므로 소정의 가스비(수수료)가 발생하지만, 이는 내 자산을 지키기 위한 필수적인 비용으로 간주해야 합니다. 연결 해제는 사생활 보호를 위한 것이고 리보크는 자산 보호를 위한 것임을 명확히 구분하여 실행해야만 지능화된 해킹 공격으로부터 내 지갑을 안전하게 지킬 수 있습니다.
리보크캐시(Revoke.cash)를 활용한 권한 관리 실전
가장 대중적이고 신뢰할 수 있는 권한 관리 도구인 '리보크캐시(Revoke.cash)'를 사용하면 내 지갑에 연결된 수많은 디파이 서비스들의 승인 현황을 한눈에 파악하고 손쉽게 정리할 수 있습니다. 사이트에 접속하여 지갑을 연결하면 이더리움, BNB 체인, 폴리곤 등 다양한 네트워크별로 내가 어떤 코인을 어떤 컨트랙트에 승인했는지 목록이 나타나며, 특히 '무제한(Unlimited)'으로 설정된 위험 항목들은 별도로 경고 표시가 되어 있어 우선적으로 관리할 수 있습니다. 정리하고 싶은 항목 우측의 'Revoke' 버튼을 누르면 메타마스크 팝업이 뜨고 가스비를 승인하는 절차를 거쳐 해당 권한이 즉시 삭제됩니다. 2026년에는 리보크캐시가 피싱 사이트 판별 기능까지 탑재하여 더욱 안전해졌지만, 반드시 공식 URL을 확인하고 접속해야 하며 구글 검색 광고에 노출된 가짜 사이트에 접속하여 지갑을 연결하는 실수를 범하지 않도록 주의해야 합니다. 정기적으로, 예를 들어 매주 주말이나 월말에 한 번씩 리보크캐시에 접속하여 불필요한 찌꺼기 권한들을 청소하는 '디지털 위생' 관리가 필요합니다.
이더스캔(Etherscan) 등 블록체인 탐색기를 통한 리보크
외부 서드파티 앱을 연결하는 것이 불안하다면 각 블록체인 네트워크의 공식 탐색기인 이더스캔(Etherscan), 비에스씨스캔(BscScan) 등에서 제공하는 '토큰 승인(Token Approval)' 기능을 이용하는 것이 가장 안전한 방법입니다. 이더스캔의 경우 'More' 메뉴 하단에 있는 'Token Approvals'를 클릭하고 내 지갑 주소를 입력하여 검색하면 현재 활성화된 ERC-20 토큰과 NFT(ERC-721)의 승인 내역을 상세하게 조회할 수 있습니다. 여기서 'Connect to Web3' 버튼을 눌러 지갑을 연결한 뒤 리보크하고자 하는 항목의 'Revoke' 버튼을 누르면 리보크캐시와 동일하게 트랜잭션을 생성하여 권한을 철회할 수 있습니다. 이 방식은 블록체인 데이터 원본을 보여주는 공식 사이트에서 진행하므로 해킹 위험이 거의 없고 데이터의 정확성이 가장 높다는 장점이 있습니다. 다만 각 체인별로 별도의 익스플로러 사이트에 접속해야 하는 번거로움이 있을 수 있으므로 자신이 주로 사용하는 메인넷의 탐색기 주소를 즐겨찾기 해두는 것이 좋습니다.
해킹 방지를 위한 지갑 분리 운용과 습관
리보크를 생활화하는 것 외에도 근본적인 해킹 방지를 위해서는 용도에 따라 지갑을 철저하게 분리하여 운용하는 전략이 반드시 필요합니다. 장기간 보유할 목적의 거액 자산이나 메인 투자 시드는 렛저(Ledger)나 트레저(Trezor)와 같은 하드웨어 월렛(콜드월렛)에 보관하고, 어떠한 경우에도 디파이 사이트에 직접 연결하지 않아야 합니다. 반면 에어드랍 작업이나 신규 디파이 프로토콜 체험, 밈코인 트레이딩 등 리스크가 있는 활동을 할 때는 소액만 넣어둔 '버너 지갑(Burner Wallet)'을 별도로 생성하여 사용하고, 문제가 발생하더라도 해당 지갑만 버리면 되도록 리스크를 격리해야 합니다. 또한 메타마스크 설정에서 '실험적 기능' 탭에 있는 오픈씨 API 연동이나 보안 알림 기능을 켜두면 스캠 사이트에 접속했을 때 경고를 받을 수 있습니다. 귀찮더라도 자산을 지키는 보안 절차를 생략하지 않는 것이야말로 변동성이 큰 크립토 시장에서 내 돈을 지키고 살아남는 유일한 길입니다.
