스위핑 봇(Sweeping Bots)이란 무엇인가

LeeMaimai

/2025년 10월 14일

주요 결과

• 스위핑 봇은 유출된 주소를 메인풀 감시와 높은 수수료 경쟁으로 실시간 자산 탈취합니다.

• 주요 리스크: 노출된 키, 무제한 토큰 승인, permit 서명, 피싱 공격.

• 트랜잭션 프라이버시와 스마트 지갑 기술이 2025년에는 더 많은 방어력을 제공할 예정입니다.

• 하드웨어 지갑과 승인 검토 습관이 일상적인 암호화폐 사용에서 강력한 방어책이 됩니다.

스위핑 봇은 블록체인 상의 활동을 실시간으로 감시하면서, 특정 주소에 자산이 들어오는 즉시 이를 자동으로 "가져가는" 자동화된 프로그램입니다. 주로 암호화폐 보안 맥락에서 악의적인 공격자가 이미 피해자의 개인 키나 강력한 토큰 승인 권한을 확보한 경우 활용되며, 속도와 자동화, 그리고 메인풀(Mempool) 가시성을 이용해 피해자가 대처하기 전에 자산을 탈취합니다.

이 글에서는 스위핑 봇이 작동하는 원리, 왜 그렇게 효과적인지, 주의해야 할 공격 패턴, 그리고 스스로를 보호할 수 있는 실질적인 방법들을 알아봅니다.

스위핑 봇의 작동 방식

메인풀 감시
이더리움과 같은 퍼블릭 블록체인에서는 트랜잭션이 블록에 포함되기 전, 공개된 **메인풀(Mempool)**에 대기합니다. 공격자는 메인풀을 실시간으로 감시하는 봇을 운영하여, 이미 해킹당한 지갑에 새로운 자금이 들어오거나 특정 토큰 사용 승인이 감지되면 즉시 대응합니다. 이때 피해자보다 수수료를 더 높게 설정해 경쟁 트랜잭션을 먼저 처리되도록 전송합니다. 관련 문서 보기
우선 수수료 및 가스 조작
이더리움의 EIP-1559 도입 이후, 트랜잭션에 우선 수수료(팁)를 설정해 블록 생성자에게 인센티브를 줄 수 있습니다. 스위핑 봇은 이 수수료를 유동적으로 조절해 정당한 트랜잭션보다 먼저 처리되게 만들거나, 심지어 사적인 트랜잭션을 번들로 묶어 삽입하기도 합니다. EIP-1559 소개
MEV(최대 추출 가치) 기술
일부 스위핑 봇은 MEV 기술과 유사한 전략을 사용합니다. MEV는 블록 내 트랜잭션 순서를 바꾸거나, 삽입하거나, 교체해 수익을 추구하는 방식입니다. 모든 MEV가 악의적인 것은 아니지만, 공격자는 이를 이용해 승인이나 자금 유입을 앞지르려 시도합니다. MEV 개요, Flashbots 문서

즉, 공격자는 당신의 주소에서 자산을 쓸 수 있는 어떠한 수단—개인 키, 무제한 승인, 서명된 승인서(permit)—이든 확보한 경우, 자산 유입을 실시간으로 감시하며 즉시 빼갑니다.

스위핑 봇이 사용하는 주요 공격 경로

노출된 개인 키 및 시드 구문
개인 키가 유출되면 해당 지갑은 공격자에게 노출된 ‘핫 지갑’이 됩니다. 이후 들어오는 자산은 수 초 내 스윕 될 가능성이 큽니다.
ERC-20 및 NFT에서의 위험한 승인
- 무제한 승인 허용: 일부 디파이 앱은 사용자의 편의를 이유로 무제한 허용을 요청하는데, 공격자는 악성 컨트랙트를 통해 이를 악용할 수 있습니다.
- NFT의 setApprovalForAll: 단 한 번의 서명으로 공격자가 모든 NFT를 탈취할 수 있게 됩니다.
- Permit 서명(EIP-2612): 사용자가 자산을 직접 전송하지 않아도 서명을 통해 권한을 부여할 수 있습니다. 악의적인 사이트는 이를 교묘하게 유도해 스위핑 경로를 마련합니다. EIP-2612
피싱과 드레이너 서비스
공격자는 정교한 dApp이나 에어드랍을 사용해 사용자가 위험한 트랜잭션에 서명하게끔 유도합니다. 또는 사용자를 현혹시켜 악성 지갑 앱에 시드 구문을 입력하게 만들고, 이를 즉시 봇이 감시하게 합니다. 피싱 인식 방법 - CISA
주소 오염(포이즈닝)
공격자는 당신의 주소 목록에 0 이더 전송을 보내 유사한 주소를 끼워넣고, 향후 자산을 잘못된 주소로 보내게 유도합니다. 이것만으로 스위핑을 야기하진 않지만, 자산 오탈취로 이어질 수 있습니다. 프런트러닝 개요

스위핑 봇이 위협적인 이유

속도: 24시간 구동되며 즉시 트랜잭션을 전송
가시성: 퍼블릭 블록체인에서 모든 데이터는 쉽게 조회 가능
자동화: 수많은 유출 주소를 목록화해 체계적으로 탈취
지속성: 한 번의 허용이나 키 유출로 지속적인 접근 가능

2025년 주목해야 할 동향

사설 트랜잭션 경로와 보호 RPC
퍼블릭 메인풀 노출을 피하기 위해, 사용자들은 사설 릴레이를 사용 중입니다. 이는 프런트러닝을 줄이는 데 유효하지만, 공격자 또한 이를 활용할 수 있습니다. 지갑 복구 시 이를 이해하는 것이 중요합니다. Flashbots 문서
계정 추상화(Account Abstraction)와 소비 제어
ERC-4337 기반 스마트 지갑은 일일 지출 한도, 세션 키, 세부 승인 설정 등을 통해 스위핑 리스크를 줄입니다. 이는 지갑 자체에서 승인 범위를 제어할 수 있게 합니다. ERC-4337 소개
신규 서명 방식 도입
EIP-7702 등은 계정 보안성과 기능 향상을 위한 서명·승인 방식을 도입하려 하고 있으며, 이에 따라 개인의 보안 습관 또한 재정비되어야 합니다. EIP-7702

스스로를 보호하는 방법

승인 최소화
- 무제한 승인 대신 필요한 만큼만 허용
- 위험한 승인 정기적으로 점검 및 철회
  - Token Approval Checker
  - Revoke.cash
안전한 서명 습관
- 승인 전 반드시 수신자와 허용 범위 확인
- 신뢰할 수 없는 dApp에서 Permits 서명 지양
- "블라인드 서명" 기능 비활성화해 데이터 직접 검토
사설 트랜잭션 경로 활용
- 위험 지갑에서 자산 이동 시, 보호 RPC나 사설 릴레이 사용
- 트랜잭션이 메인풀에 노출되지 않게 전송 Flashbots 문서
위험 영역 나누기
- 장기 보관 자산과 DeFi 활동 자산 별도의 주소 사용
- 스마트 지갑 사용 고려 ERC-4337 개요
피싱 방어
- URL·컨트랙트·서명 요청 항상 검토
- 시드 구문 불명확한 지갑은 절대 입력 금지
- 피싱 피하기 가이드

해킹당한 경우 복구 전략

이미 스위핑 봇이 주소를 감시 중이라면:

지갑에 자금을 직접 보충하지 마세요 감시 중인 주소에 자금을 넣으면 즉시 스위핑될 수 있습니다.
사설 경로로 이체 시도 메인풀 노출 없이, 트랜잭션 번들로 한 블록에 자금 입금과 출금을 동시에 처리. 전문 툴이나 협력이 필요할 수 있음. Flashbots 문서
승인 먼저 철회 키 유출이 아닌 승인 문제일 경우, 사설 릴레이를 통해 해당 승인 먼저 해제. 그 후 자산 이동. Approval Checker, Revoke.cash
새 주소로 이동 새로운 안전한 지갑 생성 후, 기존 환경 점검 및 악성 서명 또는 허용이 없는지 확인한 뒤 자산 이관

모든 스위핑 봇이 악성은 아니다?

모든 거래를 앞서 보내는 자동화된 봇이 악의적인 것은 아닙니다. MEV 봇의 경우, 가격 차익 거래나 청산 등을 통해 시장을 안정시키는 긍정적인 역할도 합니다. 문제는 사용자의 허락 없이 승인이나 키를 탈취해 자산을 빼가는 경우입니다. 동일한 기술이 선의와 악의 모두에 사용될 수 있다는 점을 기억하세요. 중요한 것은 누가 당신의 자산에 접근 권한을 갖고 있는가입니다.