암호화폐 보유자 100만 유로 벌금 협박 피싱 기승, 세무기관 사칭 신종 범죄 확산

최대 100만 유로 벌금 협박, 지갑·개인정보 탈취 범죄
유럽·남미 세무기관 사칭 피싱 급증, 정교한 사이트·악성코드 사용

2026년 4월 29일 현지 주요 분석기관 카스퍼스키(Kaspersky), 크립토폴리탄(Cryptopolitan) 발표에 따르면 독일, 프랑스, 오스트리아, 스위스, 브라질, 칠레, 콜롬비아 등에서 세무기관 공식 웹사이트 디자인을 모방한 가짜 사이트를 이용해 암호화폐 지갑 사용자와 납세자 대상으로 ‘최대 100만 유로 벌금’ 협박 및 지갑 탈취, 개인정보 유출 피해가 대규모로 발생했다.

2026년 4월 29일 Kaspersky 블로그와 Cryptopolitan 등 복수 외신 보도에 따르면, 올해 세무 신고시즌 유럽과 남미 다수 국가에서는 실제 정부 세무기관(독일 ELSTER, 프랑스 Waltio 등)의 공식사이트와 똑같은 디자인을 쓴 가짜 사이트가 잇따라 출현했다. 공격자는 법적 처벌 위협(예: ‘EU 규정 위반 시 최고 100만 유로 벌금’)과 ‘세금 없이 크립토 수익 실현 가능’ 같은 문구를 내세워 이용자를 유인했다. 이들 가짜 세무기관 웹사이트에서는 시드프레이즈(지갑 복구키) 및 월렛 인증 정보를 입력해야 한다고 안내하므로, 피해자가 민감 정보를 스스로 기입하는 수법이 사용됐다. 피해 대상은 레저(Ledger), 트레저(Trezor), 트러스트월렛(Trust Wallet), 메타마스크(MetaMask), 코인베이스(Coinbase), 팬텀(Phantom) 등 주요 글로벌 지갑의 보유자까지 포함되며 실제 자산 탈취 사례가 다수 확인됐다.

피싱 수법은 국가별로 더욱 다양했다. 칠레에서는 ‘세금 환급금’ 지급을 명분 삼아 카드 정보 입력과 결제 유도형 피싱이 성행했다. 콜롬비아에서는 정부 공식문서(ZIP파일)로 위장한 악성코드가 유포돼 피해자 기기가 완전히 장악당하는 사고도 발생했다. 프랑스에서는 세무 감사관 명의로 소득 미신고 경고 PDF를 메일 송부 후 악성코드 감염을 일으켰고, 브라질에서는 ‘합법 세무대리인’ 또는 ‘신속 신고’ 대행을 통해 주민등록번호, 전화번호 등 주요 개인정보를 수집한 후 2차 대출 사기 또는 정부 계정 해킹 같은 추가 범죄까지 이어졌다.

2026년 1월 프랑스에서는 해킹 조직이 암호화폐 세무신고앱(예: Waltio) 이용자 데이터 5만 건을 유출한 바 있으며, 이로 인해 최근 침입이나 납치 등 물리적 범죄로 확대되는 심각한 부작용도 보고됐다. 2026년 4월 카스퍼스키가 적발한 ‘CrystalX’ 원격조종 악성코드는 월렛 주소 감시, 암호 탈취, 기기 제어 등 다목적 범죄 도구로 실제 피싱 방식을 발전시켜 다양한 공격에 활용됐다.

관련해 카스퍼스키 연구진과 Cryptopolitan 등은 현지 정부 세무기관(예: 독일 ELSTER, 브라질 Receita Federal) 및 주요 은행, 정책기관은 결코 시드프레이즈나 개인 월렛 인증 정보를 요구하지 않는다고 공식 강조했다. ‘월렛 인증’, ‘세금 없는 크립토 수익’ 등 안내가 있는 사이트·메일·메신저는 100% 사기임을 확인하고 즉시 신고하는 것을 반복 권고했다.

카스퍼스키와 Cryptopolitan은 세무 신고시즌 및 규제 강화 이슈에 편승한 암호화폐 지갑 대상 공격이 더욱 정교하게 진화하고 있다고 분석했다. 모든 세무기관 사칭 행위, 피싱 웹사이트, 지갑 인증이나 복구키 요구는 반드시 사기임을 인지하고 즉시 신고하는 것, 그리고 개인 자산·개인정보를 보호하는 것이 가장 중요한 예방 방법이라고 밝혔다.