메타마스크로 NFT 민팅하고, DEX 거래하고, 에어드랍 확인하다 보면 어느새 연결된 사이트가 수십 개가 됩니다. 그런데 그 사이트들이 내 지갑에 얼마나 접근할 수 있는지, 생각해본 적 있으신가요? 막연하게 "연결만 했으니까 괜찮겠지" 싶지만, 실제로는 생각보다 훨씬 더 민감한 문제인 경우가 많습니다.
메타마스크에 연결한 사이트, 어디까지 위험할까? AI 생성 이미지
연결한 사이트, 사실 뭘 볼 수 있을까요?
사이트에 메타마스크를 연결하면 해당 사이트는 기본적으로 내 지갑 주소와 보유 잔액을 볼 수 있습니다. 이건 처음에 "연결 허용" 버튼을 누르는 순간 승인한 것입니다. 잔액이 공개된다는 사실이 당황스럽게 느껴질 수 있는데, 어느 정도는 블록체인의 구조적 특성이기도 합니다.
다만 연결만으로 사이트가 직접 토큰을 꺼내가는 건 불가능합니다. 연결은 "내 지갑이 여기 있다"는 것을 알려주는 수준입니다. 진짜 문제는 연결 이후에 발생하는 트랜잭션 승인과 서명 요청에서 시작됩니다.
- 내 지갑 주소 확인 가능
- 지갑 내 토큰 잔액 조회 가능
- 트랜잭션 요청을 팝업으로 보낼 수 있음
연결만으로는 절대 불가능한 것:
- 내 승인 없이 토큰 전송
- 개인키(Private Key) 접근
- 시드 문구 열람
진짜 위험은 '서명'과 '승인'에 있습니다
토큰 승인(Approve)이 위험한 이유
DEX나 DeFi 플랫폼에서 토큰을 스왑할 때, 메타마스크가 "토큰 접근 승인" 팝업을 띄우는 경우가 있습니다. 이때 무제한(Unlimited) 승인을 허용하면 해당 스마트컨트랙트는 언제든지 그 토큰을 가져갈 수 있는 권한을 갖게 됩니다. 많은 분들이 별 생각 없이 클릭하는 경우가 많습니다.
악성 사이트들은 바로 이 승인 메커니즘을 악용합니다. 정상적인 서비스처럼 보이게 만들어 놓고, 토큰 전체에 대한 승인 권한을 빼앗아 가는 방식입니다. 거래를 한 것도 아닌데 지갑이 비어있는 상황, 이런 사례가 실제로 계속 발생하고 있습니다.
eth_sign 서명 요청은 더 무섭습니다
eth_sign 방식의 서명 요청은 내용이 완전히 암호화되어 보입니다. 무엇에 서명하는지 알 수가 없는 상태입니다. 악성 사이트는 이 서명을 이용해 특정 트랜잭션을 실행할 수 있는 경우가 많습니다. 내용이 보이지 않는 서명 요청은 무조건 거절하는 것이 안전합니다.
| 요청 유형 | 위험도 | 설명 |
|---|---|---|
| 사이트 연결(Connect) | 🟡 낮음 | 주소·잔액 노출, 토큰 이동 불가 |
| 토큰 승인(Approve) | 🔴 높음 | 승인량 무제한이면 전액 탈취 가능 |
| eth_sign 서명 | 🔴 매우 높음 | 내용 확인 불가, 악용 가능성 큼 |
| 개인 서명(Sign In) | 🟢 낮음 | 로그인용, 토큰 이동 없음 |
연결된 사이트 목록, 이렇게 확인하세요
오래 써온 지갑이라면 연결된 사이트가 수십 개 쌓여 있는 경우가 많습니다. 불안한 마음이 드신다면 지금 바로 점검해보는 것이 좋습니다. 메타마스크에서 직접 연결된 사이트를 확인하고 해제할 수 있습니다.
- 메타마스크 확장 프로그램 실행
- 우측 상단 점 세 개(⋮) 메뉴 클릭
- 연결된 사이트(Connected Sites) 선택
- 목록에서 의심스러운 사이트 옆 X 버튼 클릭해 해제
연결을 해제해도 이미 승인한 토큰 권한은 그대로 남아 있습니다. 연결 해제와 토큰 승인 취소는 별개의 작업인 경우가 많습니다. 이 점을 꼭 기억해두세요.
토큰 승인 권한, 이렇게 취소합니다
Revoke.cash 활용법
Revoke.cash는 내 지갑에 부여된 토큰 승인 목록을 한눈에 보여주는 무료 서비스입니다. 어떤 컨트랙트가 내 토큰에 접근 권한을 가지고 있는지 확인하고, 바로 취소까지 할 수 있습니다. 특히 무제한 승인이 걸려 있는 항목이 있다면 빠르게 해제하는 것이 좋습니다.
- revoke.cash 접속 후 지갑 연결
- 승인된 컨트랙트 목록 확인
- 의심스럽거나 사용하지 않는 항목 Revoke 클릭
- 취소 트랜잭션 승인 (소량의 가스비 발생)
새로운 DeFi 서비스나 NFT 플랫폼을 이용한 후에는 주기적으로 확인하는 것이 좋습니다. 특히 더 이상 사용하지 않는 서비스의 승인 권한은 바로 취소하는 습관을 들이면, 혹시 모를 해킹 피해를 크게 줄일 수 있는 경우가 많습니다.
진짜 주의할 점은 이겁니다
✔ 팝업 내용이 암호화되어 읽을 수 없는 서명 요청 → 즉시 거절
✔ 토큰 승인 금액이 "무제한(Unlimited)"으로 표시될 때 → 금액 직접 수정 후 승인
✔ 처음 보는 사이트가 갑자기 지갑 연결 요청 → URL 재확인 필수
✔ SNS 링크로 접속한 민팅·에어드랍 페이지 → 공식 채널 URL과 반드시 대조
시드 문구(복구 문구)를 입력하라는 사이트는 100% 피싱입니다. 어떤 이유로도 정상적인 서비스는 시드 문구를 요구하지 않습니다.
메타마스크 연결 자체보다, 연결 이후의 서명과 승인 관리가 훨씬 더 중요합니다. 연결은 입구일 뿐이고, 진짜 자산을 지키는 열쇠는 내가 누르는 "승인" 버튼에 달려 있습니다. 귀찮더라도 한 번씩 Revoke.cash에서 내 승인 목록을 점검해두는 것을 추천합니다.
함께 읽으면 도움이 되는 글
- 메타마스크 사용법, 처음 쓰는 사람을 위한 가장 쉬운 정리 — 메타마스크를 막 시작했다면 기본 개념부터 잡아보세요.
- 메타마스크 사용 중 서명 때문에 가장 많이 막힐 때 — 서명 요청 종류별 차이와 안전하게 처리하는 방법을 정리했습니다.