니모닉(시드 문구)이 유출됐다면? 지금 당장 해야 할 일
지갑 해킹·개인키 털림 실시간 대응: 아직 안 털렸으면 스위퍼봇보다 먼저 옮기고, 이미 털렸으면 어떻게 신고하나
| 확인 | 지금 할 일 |
|---|---|
| 거래소(업비트·빗썸) 계정인가? | 시드가 없는 커스터디 계정 → 이 글 대상 아님. 거래소 고객센터·경찰로. |
| 논커스터디 지갑(메타마스크 등)이고 자금이 아직 있음 | 깨끗한 기기에서 새 시드로 지갑 만들고 → 전량 스윕(가스코인 마지막) → 옛 지갑 영구 폐기. |
| 논커스터디 지갑이고 이미 털림 | 온체인 되돌리기 불가. 드레이너 주소 추적 → KISA 118·경찰 112 신고 → 거래소로 갔으면 그 거래소도. |
| 모든 경우 공통 | revoke는 소용없음. 옛 지갑에 서명·입금 금지. ‘복구업체’가 시드·선불금 요구하면 2차 사기. |
1. 업비트 털린 거랑 내 지갑 시드 유출은 완전히 다른 얘기입니다
2. 지금 딱 두 가지만 확인하세요: 자금이 아직 남았나, 이미 빠졌나
3. 상태 A, 스위퍼봇보다 한발 먼저 새 지갑으로 옮기기
4. revoke(승인 취소)가 여기선 왜 안 통할까요
5. 가스코인은 왜 맨 마지막에 옮길까? 토큰이 가스에 묶였을 때
6. 내 니모닉은 대체 어디서 샜을까요? 카톡 사칭부터 클립보드 탈취까지
7. 상태 B, 온체인은 못 되돌립니다. 그래도 할 수 있는 일
8. KISA 118, 경찰 112, 금감원 1332에 어떻게 신고하나요
9. ‘복구해드립니다’라는 두 번째 사기를 조심하세요
10. 하드웨어 지갑이 있어도 시드를 사이트에 ‘입력’했다면 무력합니다
11. 처음부터 다시: 깨끗한 기기에서 새 지갑 만들고 안전하게 현금화하기
12. 함께 읽으면 좋은 글: 토큰 승인 회수, 다른 네트워크 전송, 입금 미반영
니모닉이 샜든, 개인키가 털렸든, 가짜 사이트에 시드를 그대로 입력했든. 이럴 때 인터넷에 도는 ‘revoke 하세요’라는 말은 대부분 틀린 조언입니다. 시드가 새면 지갑은 통째로 남의 것이 되기 때문에, 유일한 정답은 ‘새 시드 지갑으로 전량 옮기고 옛 지갑을 버리는 것’입니다. 이 글은 한국 독자 기준으로, 업비트 해킹과 뭐가 다른지부터 상태별 실시간 대응, 신고 동선, 2차 사기 판별까지 순서대로 정리합니다. 투자 조언이 아니라 사고 대응 안내입니다.

1. 업비트 털린 거랑 내 지갑 시드 유출은 완전히 다른 얘기입니다
‘지갑이 털렸다’는 말을 들으면 대부분 업비트나 빗썸 계정부터 떠올리죠. 근데 사실 이 둘은 완전히 다른 사건입니다. 여기서 헷갈리면 대응 순서를 통째로 잘못 잡거든요.
업비트·빗썸은 커스터디(수탁형) 거래소입니다. 여러분 코인의 개인키를 거래소가 대신 보관하죠. 그래서 애초에 여러분한테 넘겨준 시드(니모닉·복구 문구)가 존재하지 않습니다. 12개나 24개 영어 단어를 받아 적은 적이 없다면, 그건 거래소 계정입니다. 논커스터디 지갑이 아니고요. 이 경우 계정이 뚫렸다면 거래소 고객센터 잠금·2차 인증 재설정·경찰 신고로 풀어야 하고, 이 글의 대상이 아닙니다.
반대로 메타마스크(MetaMask)·팬텀(Phantom)·트러스트월렛(Trust)이나 렛저·트레저 같은 하드월렛은 논커스터디입니다. 12/24단어 시드를 여러분이 직접 보관하죠. 이 시드가 새면 그 지갑의 모든 권한이 통째로 넘어갑니다. 이 글은 바로 이 경우, 그러니까 니모닉 유출·개인키 털림을 다룹니다.
2. 지금 딱 두 가지만 확인하세요: 자금이 아직 남았나, 이미 빠졌나
시드가 유출됐다는 걸 알아챘다면, 지금 딱 하나만 확인하면 됩니다. 지갑에 자금이 아직 남아있나요?
지갑 앱을 열거나, 익스플로러(이더스캔·솔스캔 등)에 지갑 주소를 붙여 넣어 잔액을 보세요. 판단은 두 갈래입니다.
상태 A · 아직 안 털림
잔액이 그대로 있거나 일부만 빠진 상태. 지금은 몇 초가 승부입니다. 스위퍼봇보다 먼저 새 지갑으로 옮겨야 합니다. 아래 3번 섹션으로 바로 가세요.
상태 B · 이미 털림
잔액이 0이거나 코인이 낯선 주소로 이미 빠져나감. 온체인 전송은 되돌릴 수 없습니다. 추적·신고 단계로 넘어갑니다. 7번 섹션으로 가세요.
어느 쪽이든 공통으로 절대 하지 말아야 할 것이 있습니다. 유출된 그 지갑에 새로 입금하지 마세요. 넣는 순간 봇이 가져갑니다. 그리고 그 지갑으로 어떤 서명도 하지 마세요. 마지막으로, ‘복구해준다’는 사람·업체에 시드를 넘기지 마세요(9번 섹션에서 설명).
아래 표가 상태별 행동을 한눈에 정리한 치트시트입니다.
| 상태 | 핵심 행동 | revoke(승인 취소) |
|---|---|---|
| A · 미탈취 (자금 잔존) | 악성코드 없는 다른 기기에서 새 시드로 지갑을 새로 만든 뒤 → 자산 전량을 새 지갑으로 스윕(수수료 낼 가스코인은 맨 마지막). 토큰이 가스에 묶였으면 프라이빗 RPC·플래시봇 방식 필요. 옛 지갑은 영구 폐기. | 소용없음 |
| B · 탈취됨 | 온체인 되돌리기 불가. 드레이너 주소 추적, KISA 118·경찰 112 신고. 자금이 거래소 입금주소로 흘러갔다면 그 거래소에도 신고. | 소용없음 |
| 공통 금지 | 옛 지갑에 서명·입금 금지, 같은 시드 재사용 금지, ‘복구업체’ 연락 금지. | — |
3. 상태 A, 스위퍼봇보다 한발 먼저 새 지갑으로 옮기기
자금이 아직 남아있다면 지금부터가 진짜입니다. 여러분과 공격자의 스위퍼봇이 같은 지갑을 두고 몇 초를 다투는 상황이거든요. 이 봇은 유출된 주소를 감시하다가 가스코인이 들어오는 순간 눈 깜짝할 새 낚아챕니다. 그래서 순서가 생명입니다.
1) 안 쓰던 깨끗한 기기에서 새 지갑을 만든다
침해됐을지 모르는 그 폰·PC로는 새 지갑을 만들지 마세요. 악성코드가 깔려 있으면 새 시드까지 그대로 샙니다. 가능하면 다른 기기(안 쓰던 폰, 초기화한 기기, 혹은 하드월렛)에서 완전히 새로운 시드로 지갑을 생성합니다. 옛 시드를 절대 다시 쓰지 마세요.
2) 새 지갑 주소를 안전하게 복사한다
새 지갑의 받는 주소를 확보합니다. 이때 클립보드 탈취 악성코드가 있으면 붙여넣기 순간 주소가 바뀔 수 있으니(6번 섹션 참고), 앞 4자리·뒤 4자리를 눈으로 대조하세요.
3) 토큰·NFT 같은 ‘비(非)가스’ 자산부터 옮긴다
USDT·USDC·기타 토큰, NFT처럼 옮기는 데 가스가 필요한 자산을 먼저 새 지갑으로 전송합니다. 가치 큰 것부터요.
4) 가스로 쓰는 코인은 맨 마지막에 옮긴다
ETH·SOL·BNB처럼 수수료(가스)로 쓰이는 코인이 왜 마지막이냐면, 이게 지갑에 남아있어야 위 토큰들을 옮길 가스를 낼 수 있기 때문입니다. 가스코인을 먼저 빼면 정작 토큰을 못 옮기고, 남은 가스코인은 봇이 채가죠. 그래서 토큰 다 옮기고 → 마지막에 가스코인 순서입니다.
스윕이 끝나면 옛 지갑은 영구 폐기된 것으로 간주하세요. 다시는 입금하지 말고, 그 시드는 삭제합니다.
4. revoke(승인 취소)가 여기선 왜 안 통할까요
여기가 이 글에서 제일 중요한 대목입니다. 인터넷에 ‘지갑 털렸으면 revoke(승인 취소) 하세요’라는 조언이 워낙 많은데, 시드가 샜다면 revoke는 아무 소용이 없습니다. 오히려 이걸 믿고 시간 버리다 자산을 다 잃는 경우가 많아요.
두 경우가 완전히 다르거든요. 아래 표를 보시죠.
| 침해 유형 | 공격자가 가진 것 | 올바른 대응 |
|---|---|---|
| 악성 승인(approval) 서명 (가짜 사이트에서 ‘승인’ 눌렀을 때) | 특정 토큰을 대신 꺼내갈 지출 권한만 | 승인 취소(revoke)가 유효 → 토큰 승인 회수 가이드 |
| 시드·개인키 유출 | 지갑 전체 통제권(새 승인을 무한히 다시 만들 수 있음) | 새 시드로 전량 이전만이 유일한 해법. revoke는 무용. |
핵심은 이겁니다. 승인만 유출된 거라면 공격자는 ‘그 토큰 하나’만 건드릴 수 있으니 승인을 취소하면 막힙니다. 근데 시드가 유출됐으면 공격자가 여러분과 똑같은 지갑 주인이에요. 여러분이 승인을 취소해도, 공격자가 다시 승인을 걸고, 다시 서명하고, 아무 자산이나 꺼내갑니다. 열쇠를 통째로 복사당한 집에서 서랍 하나 잠근다고 도둑이 못 들어오는 게 아니잖아요.
5. 가스코인은 왜 맨 마지막에 옮길까? 토큰이 가스에 묶였을 때
3번에서 ‘가스코인은 마지막’이라고 했는데, 봇이 가스를 계속 털어가면 토큰을 옮길 가스조차 안 남는 교착 상태가 생깁니다. 예를 들어 지갑에 USDT는 많은데 이걸 옮길 ETH가 없고, ETH를 넣는 족족 봇이 가져가는 상황이죠.
이걸 뚫는 방식이 프라이빗 RPC / 플래시봇(Flashbots) 스타일입니다. 원리만 쉽게 풀면 이렇습니다.
- 일반 전송은 멤풀(mempool)이라는 공개 대기열을 거칩니다. 봇이 이 대기열을 감시하다가 가스코인 입금을 보고 먼저 채가는 거죠.
- 스폰서 방식은 제3의 ‘깨끗한’ 지갑이 가스를 대신 내주고, 토큰을 꺼내는 거래를 같은 블록 안에서 묶어 처리합니다. 멤풀 공개 노출을 피하니 봇이 끼어들 틈이 없습니다.
이더리움 계열에는 이런 화이트햇 구제(Flashbots Whitehat 등) 도구·서비스가 있습니다. 다만 솔직하게 말씀드릴 게 있어요.
참고로 토큰이 아니라 ‘다른 네트워크로 잘못 보낸’ 문제라면 이건 시드 유출과 다른 사건입니다. 그건 다른 네트워크로 잘못 보냈을 때 글을 보세요.
6. 내 니모닉은 대체 어디서 샜을까요? 카톡 사칭부터 클립보드 탈취까지
대응을 다 했으면, 같은 실수를 반복하지 않게 ‘어디서 샜는지’를 짚어야 합니다. 시드가 새는 길은 크게 여섯 가지인데, 한국에서 특히 자주 뚫리는 순서대로 짚어볼게요.
| 유출 경로 | 어떻게 새나 |
|---|---|
| 카카오톡·오픈채팅 사칭 상담원 | ‘거래소 고객센터’ ‘지갑 공식 지원’을 사칭해 카톡·텔레그램으로 접근, “동기화·인증하려면 12단어가 필요하다”며 니모닉·개인키를 요구. 정상 서비스는 절대 시드를 묻지 않습니다. |
| 피싱 사이트 | 구글·트위터 광고, 디시·오픈채팅 링크로 유도한 가짜 지갑 연결/에어드랍 사이트. ‘지갑 복구하려면 시드를 입력하라’는 폼이 뜨면 100% 사기. |
| 악성코드·클립보드 탈취 | 가짜 트레이딩봇·언락툴로 위장한 악성코드(2026년 6월 러스트 기반 클립보드 탈취 신종 보고). 복사한 지갑 주소를 앞뒤 글자만 같은 공격자 주소로 슬쩍 바꾸거나, 저장된 시드 파일을 훔침. |
| 시드 사진·스크린샷 클라우드 동기화 | 복구 문구를 사진 찍거나 캡처하면 나도 모르게 구글포토·아이클라우드로 올라가 버려서, 새어 나갈 구멍이 하나 더 생김. 시드는 절대 디지털로 저장하지 마세요. |
| 가짜 지갑·에어드랍 앱 | 앱스토어·플레이스토어에 올라온 가짜 지갑 앱, 혹은 APK 직접 설치 유도. 설치·복구 과정에서 입력한 시드를 그대로 수집. |
| 악성 거래 서명(Permit2 등) | 가짜 사이트에서 ‘setApprovalForAll’이나 Permit2 서명을 유도. 이건 승인 유출(4번 표의 위쪽)이라 revoke로 막히지만, 시드 입력까지 했다면 얘기가 다릅니다. |
7. 상태 B, 온체인은 못 되돌립니다. 그래도 할 수 있는 일
잔액이 이미 0이라면 냉정하게 받아들여야 할 사실이 있습니다. 확정된 온체인 전송은 되돌릴 수 없습니다. 은행 이체처럼 취소·정지가 되는 구조가 아니에요. ‘해킹당한 걸 되돌린다’는 건 기술적으로 존재하지 않습니다. 이 말을 먼저 분명히 하는 이유는, 이 지점을 노린 2차 사기가 워낙 많기 때문입니다(9번 섹션).
되돌릴 수 없다는 전제 위에서, 그래도 할 수 있는 일은 있습니다.
- 드레이너 주소를 추적·기록한다. 익스플로러에서 코인이 어디로 갔는지 트랜잭션 해시·수취 주소·시간을 캡처해 둡니다. 신고할 때 증거가 됩니다.
- 거래소로 흘러갔는지 본다. 훔친 코인이 업비트·빗썸이나 바이낸스 같은 거래소 입금주소로 들어갔다면, 그게 사실상 유일한 현실적 회수 경로입니다. 거래소는 KYC 정보를 갖고 있어서, 수사기관 협조로 계정 동결이 가능할 때가 있거든요.
- 신고한다. 아래 8번 섹션의 채널로 접수합니다. 회수 확률이 높진 않지만, 자금이 거래소에 묶였을 때는 신속한 신고가 동결의 전제 조건입니다.
8. KISA 118, 경찰 112, 금감원 1332에 어떻게 신고하나요
한국에서 시드 유출·지갑 해킹을 당했다면 신고 채널은 세 곳을 기억하면 됩니다.
| 기관 | 번호·경로 | 무엇을 |
|---|---|---|
| KISA 인터넷침해대응 | 118 (24시간) | 피싱·해킹·악성코드 피해 상담과 초동 대응 안내. 어디서부터 해야 할지 막막할 때 먼저. |
| 경찰 사이버수사 | 112 신고 · 사이버범죄 신고시스템(ECRM) | 정식 수사 접수. 트랜잭션 증거·대화 캡처·피해 경위를 정리해 제출. |
| 금융감독원 | 1332 | 금융·투자 사기 상담. 거래소·투자 빙자 사기와 얽혔을 때. |
해외 거래소로 자금이 흘러갔거나 국제 사기 조직이 얽혔다면, 미국 FBI의 IC3(ic3.gov)에도 병행 접수할 수 있습니다. 규모를 짐작할 수 있게 숫자 하나만 들자면, IC3가 집계한 2024년 디지털자산 관련 피해액이 약 93억 달러, 신고 약 15만 건으로 전년보다 66% 늘었습니다. 그만큼 흔하고, 그만큼 조직화돼 있다는 뜻이죠.
9. ‘복구해드립니다’라는 두 번째 사기를 조심하세요
지갑을 털리고 나면 검색·커뮤니티 여기저기서 ‘복구해드립니다’ ‘자금 되찾아 드립니다’라는 사람·업체가 귀신같이 나타납니다. 여기서 두 번째 피해가 시작됩니다.
판별은 아주 간단합니다. 다음 중 하나라도 요구하면 100% 사기입니다.
· “복구하려면 시드(니모닉)·개인키를 알려달라” → 그 순간 남은 것까지 다 가져갑니다.
· “선불 수수료·보증금·가스비를 먼저 입금하라” → 받고 잠적합니다.
· “우리 전용 복구 앱을 설치하라” / “이 링크에 지갑을 연결하라” → 2차 드레이너.
· DM·카톡·텔레그램으로 먼저 접근해 “내가 화이트햇 해커다”라고 함 → 진짜 구제는 이렇게 영업하지 않습니다.
앞서 말했듯, 한 번 블록에 박혀서 나간 코인을 도로 무르는 기술 같은 건 없습니다. FBI와 미국 FTC도 이런 ‘자금 회수 서비스’가 피해자를 노린 재차 사기라고 반복해서 경고하고 있어요. 정식 경로는 8번 섹션의 공적 신고 채널뿐입니다. 그 외에 돈을 먼저 요구하는 개인·업체는 전부 걸러야 합니다.
10. 하드웨어 지갑이 있어도 시드를 사이트에 ‘입력’했다면 무력합니다
‘나는 렛저/트레저 하드월렛을 쓰니까 안전하다’고 믿는 분이 많습니다. 근데 여기 큰 오해가 있어요. 하드웨어 지갑이 지키는 건 개인키가 기기 밖으로 안 나가게 하는 것이지, 여러분이 시드를 손으로 어딘가에 ‘입력’하는 것까지 막아주진 못합니다.
가장 흔한 사고가 이겁니다. 하드월렛을 쓰다가 ‘동기화 오류’ ‘지갑 검증’ 같은 가짜 안내에 속아, 복구 문구 24단어를 어떤 웹사이트나 앱에 직접 타이핑해 버리는 거죠. 그 순간 하드웨어의 보호막은 완전히 무의미해집니다. 시드가 평문으로 노출됐으니, 기기가 금고 안에 있든 말든 공격자는 그 시드로 어디서든 지갑을 복제합니다.
11. 처음부터 다시: 깨끗한 기기에서 새 지갑 만들고 안전하게 현금화하기
급한 불을 껐다면, 이제 처음부터 안전하게 다시 시작할 차례입니다. 순서가 중요해요.
- 깨끗한 기기부터 챙깁니다. 악성코드가 의심되는 폰·PC는 초기화하거나, 아예 안 쓰던 다른 기기를 쓰세요. 백신 검사도 같이 돌리고요.
- 새 시드로 새 지갑을 생성합니다. 옛 시드는 절대 재사용 금지. 가능하면 이번엔 하드월렛을 쓰고, 시드 24단어는 종이·금속판에 손으로만 적어 오프라인 보관합니다. 사진·캡처·클라우드·메모앱 전부 금지.
- 상태 A에서 구제한 자산이 있다면, 새 지갑에 안전하게 모읍니다.
- 현금화가 필요하면 새 지갑에서 해외 거래소(바이낸스·바이비트·OKX·게이트·MEXC 등)로 코인을 보내 매도하고, 거기서 업비트·빗썸으로 옮겨 원화로 출금합니다. 이때 거래소 간 이동은 트래블룰 대상이라 100만 원 이상 송금 시 수취인 정보 확인 절차가 걸릴 수 있으니, 지원되는 경로인지 미리 확인하세요.
참고로 업비트·빗썸 같은 원화 거래소 계정 자체에는 시드가 없으니, 새 지갑을 만들 필요가 없습니다. 거래소는 로그인 2차 인증·출금 화이트리스트·출금 주소 등록만 잘 관리하면 됩니다.
구제한 자산을 현금화할 때 쓸 수 있는 해외 거래소들입니다. 어디든 가입 후 본인인증(KYC)을 거쳐야 원화 회수 경로가 열립니다.
12. 함께 읽으면 좋은 글: 토큰 승인 회수, 다른 네트워크 전송, 입금 미반영
이 글은 지갑보안·송금 클러스터의 일부입니다. 상황에 따라 아래 글을 함께 보세요.
- 토큰 승인(approval) 회수하는 법: 시드는 안 샜는데 가짜 사이트에서 ‘승인’을 눌러 특정 토큰만 위험할 때 보세요. (시드가 샜다면 이 글의 방법으로.)
- 코인을 다른 네트워크로 잘못 보냈을 때: 예를 들어 ERC-20을 BEP-20 주소로 보낸 경우죠.
- 입금이 안 들어올 때(입금 미반영): 보냈는데 거래소에 안 뜰 때 점검 순서.









