암호화폐와 보안(4) – 꼭 알아야 할 보안 수칙들(실제 사례를 중심으로)

 

앞서 3편의 보안관련 칼럼을 통해 거래소와 지갑과 관련된 전반적인 보안 상식을 설명드린 바 있습니다. 못보신 분들은 아래 링크를 사용하여 다시 읽어보실 수 있습니다.

• 암호화폐와 보안(1) – 거래소 해킹 문제
• 암호화폐와 보안(2) – 개인 지갑 관리
• 암호화폐와 보안(3) – 실제 사례를 중심으로 본 개인키 보안 수칙

이번 호에서는 좀더 다양한 실제 해킹 피해 사례를 중심으로 개인이 피해를 입지 않기 위한 보안 수칙들을 알아보도록 하겠습니다.

사례 1. 개인 키(Private Key)를 요구할 때

개인 키(Private Key)란 거래소가 아닌 개인이 직접 암호화폐를 보유하기 위해 지갑 소프트웨어나 앱을 사용할 때 생성되는 일종의 비밀번호입니다. 아직 개인 지갑을 사용해보지 않으신 분에게는 다소 해당되는 사항이 없겠지만 ICO에 참여하거나 보다 큰 금액의 암호화폐를 직접 보유하기 위해 거래소에서 암호화폐를 인출해 개인 지갑 소프트웨어에 저장하는 경우가 많습니다. 이 때 꼭 주의해야 할 것이 개인키(Private Key) 관리입니다. 컴퓨터를 잘 다루지 못하는 분들은 어쩔 수 없이 타인의 도움을 받아야 할 경우가 생깁니다. 하지만 어떤 경우라도 개인 키를 알려주면 큰 일이 납니다.

제가 아는 한국의 한 지인이 겪은 일입니다.,

암호화폐의 ICO에 참여하기 위해 해당 코인의 채팅방에 참여했는데 참여방법이 어려워서 채팅방에 문의했더니 운영자라는 사람으로부터 도와주겠다고 개인 메시지를 받았다고 합니다. 그래서 시키는대로 이런 저런 정보를 알려주었는데 도중에 Private Key를 보내달라고 하는 것입니다. 그래서 이상하다 싶어서 채팅을 멈추고 저에게 물어보는 것이었습니다. 당연히 절대 알려주면 안된다고 해서 피해를 입지 않은 사례가 있습니다.

암호화폐에서 개인 키는 온라인 은행 시스템의 비밀번호와 같은 것으로 누구든지 개인 키를 알면 내 지갑에 있는 암호화폐를 마음대로 인출해서 자기 지갑으로 보낼 수 있습니다. 온라인 뱅킹과 차이점은 그 어떤 복구 방법도 없다는 것입니다. 한번 알려지면 그것으로 끝입니다. 따라서 개인키는 절대로 알려주면 안됩니다.

암호화폐 시장에는 여러 가지 이유로 공짜로 코인을 나눠주는 Airdrop이라는 전통이 있습니다. 하지만 Airdrop을 핑계로 개인키를 입력하라고 하는 사이트가 종종 발견됩니다. 지금은 없어졌지만 https://eos-token.org 라는 사이트를 방문한 적이 있습니다. 구글 검색을 통해 찾은 사이트인데 EOS 토큰을 가지고 있는 사람에게 무료로 EOS 20개를 에어드랍해준다고 나와서 한번 들어가 보았습니다. 첫 화면에서는 토큰을 받을 지갑 주소를 입력하라고 해서 넣었습니다. 그랬더니 앞으로 받게 될 토큰의 갯수를 보여주면서 개인키(Private Key)를 입력하라고 하는 것입니다. 당연히 피싱이라고 확신하고는 Metamask(이더리움 지갑 및 보안 프로그램)가 설치된 크롬 브라우저로 오픈하니 피싱 사이트라고 나오는 것입니다.

보안 수칙 1. 개인 키는 절대 타인에게 알려주지 말라

지갑을 만든 사용자라면 만일의 경우 컴퓨터나 스마트폰에 문제가 생길 경우를 대비해 반드시 개인 키(Private Key)를 백업해두어야 합니다. 백업 방법은 자신만의 비밀노트에 기록하거나 종이에 인쇄해서 안전한 장소로 보관합니다. 지금은 들어있는 금액이 적거나 없다고 하더라도 안심하시면 안됩니다. 누군가 당신의 개인키를 가지고 있다면 나중에 더 많은 돈이 입금되었을 때까지 기다렸다가 훔쳐갈 수도 있습니다.

개인키와 비슷한 기능으로 복구 암호라는 것도 있습니다. 짧은 단어 12개 또는 16개의 조합으로 된 암호도 누군가 알게 된다면 내 대신 내 지갑을 복원하여 돈을 훔쳐갈 수 있습니다.

사례 2. “송금하면 보너스를 드립니다”

바로 며칠전 제가 목격한 일입니다. 이에 대해서는 다음 동영상에서 자세히 설명해드렸으니 아직 보지 않으신 분은 한 번 보시기 바랍니다.

“당신의 주소를 확인하기 위해 돈을 보내주세요”라는 말은 어불성설입니다. 이더리움에는 0 ETH를 보내는 방법도 있기 때문에 굳이 주소를 확인해야 한다면 0 ETH를 보내달라고 해도 됩니다. 동영상에서도 보았듯이 이미 속아서 돈을 보낸 사람이 있을 정도입니다.

보안 수칙 2. 의심스러울 때는 공식적인 사이트를 통해 확인하라

암호화폐 세계에서는 돈을 보내고 받는 과정이 투명하게 오픈됩니다. 공식적인 경로를 통해 암호화폐의 흐름을 확인하는 습관을 가질 필요가 있습니다. 각 코인마다 암호화폐 거래 내역을 확인할 수 있는 사이트가 따로 있습니다. 이를 Explorer라고 합니다. 공식 Explorer를 통해 거래 내역을 확인하면 사기인지를 쉽게 확인할 수 있습니다.

사례 3. 지갑 주소 바꿔치기

윈도우 컴퓨터는 각종 멀웨어의 온상입니다. 최근에 발견된 신종 멀웨어는 평소에는 아무 일도 하지 않다가 사용자가 비트코인 지갑 주소를 복사하는것을 알아채고 주소를 바꿔치기한다고 합니다. CryptoCurrency Clipboard Hijackers라는 이 멀웨어는 230만개의 크립토 지갑주소를 모니터링 하고 있다가 사용자가 해당 주소를 복사하는 순간 자신의 주소로 바꿔치기 하는 것입니다. 예를 들면 Coinbase Pro에서 Binance로 돈을 송금할 때 조금전 내가 복사한 Binance 지갑 주소 대신 해커의 주소가 입력되어 해커에게 돈이 빠져나가는 것입니다.

보안 수칙 3. 송금할 때는 반드시 주소를 다시 확인하라

암호화폐 송금시 지갑 주소는 매우 복잡하게 되어 있기 때문에 대부분의 사람들이 일일이 확인할 생각을 하지 않는 경우가 많습니다. 하지만 잘못된 지갑 주소를 입력해서 뜻하지 않는 손해를 입는 경우가 많습니다. 예를 들어 BTC를 ETH 주소로 보낸다든가 하면 돈이 중간에서 사라지게 됩니다. 수수료가 조금 더 들더라도 먼저 소액을 한번 송금해보고 입금이 확인되면 나머지를 입금하는 것도 한 방법입니다. 한번은 실제로 제가 어떤 거래소로 테스트 송금을 했는데 자체 버그로 인해 입금이 되지 않아 더 이상 입금하지 않고 피해를 줄인 경험도 있습니다.

사례 4. 메모장 훔쳐보기

암호화폐를 이용하다보면 각종 비밀번호와 개인키, 공개키 등을 어딘가에 저장해 두어야 할 경우가 있습니다. 이 때 가장 흔히 사용하는 방법이 메모장을 사용해 자신의 컴퓨터에 저장하는 것입니다. 하지만 최근의 해킹 기법은 왠만한 컴퓨터는 인터넷에 접속되어 있기만 하면 쉽게 타인의 파일을 열어볼 수 있게 되어 있습니다. 

보안 수칙 4. 암호화되지 않는 파일에 비밀번호를 저장하지말라

비밀번호를 저장하는 보다 좋은 방법은 전문 비밀번호 관리 앱을 사용하는 것입니다. 추천해드리는 앱으로는 1Password, Dashlane 등이 있습니다. 특히 Dashlane은  무료 버전도 있으니 참고하시기 바랍니다, 보안 메모 기능을 사용하면 비밀번호 이외에 개인키나 신용카드 번호, 소셜 넘버 등 민감한 정보를 안전하게 보관할 수 있습니다. 무엇보다 가장 안전한 것은 아무도 접근할 수 없게 종이에 적어두고 금고에 넣어두는 것입니다.

사례 5. 공공 WIFI에서 비밀번호 가로채기

컴퓨터에 저장된 파일뿐만 아니라 인터넷 사이트에 입력하는 정보도 해커의 공격 대상입니다. 특히 공공장소에서 무료로 제공하는 WIFI에 접속하면 그 위험성은 더욱 커집니다. 무료 WIFI를 제공하는 라우터라는 기계를 해킹하면 인터넷  사이트에 입력하여 전송하는 정보를 훔쳐볼 수 있기 때문입니다. 카카오톡으로 비밀번호와 같은 민감한 정보를 보내는 것도 위험합니다. 카카오톡은 모든 대화내용이 클라우드 서버에 저장되어 있기 때문에 카카오 직원이 마음만 먹으면 들여다볼 수 있습니다. 일단 기본적인 수칙은 웹사이트에 접속했을 때 주소 앞에 자물쇠 모양이 있는지를 보는 것입니다. 자물쇠가 잘 표시되지 않는 브라우저라면 주소창을 클릭해서 주소가 https 로 시작하는지 확인하는 것입니다, https 로 시작하는 주소는 http 로 시작하는 주소와는 달리 온라인으로 정보를 보낼 때 암호화해서 보내기 때문에 설사 중간에 해커가 가로채더라도 원래 내용을 알 수 없게 됩니다. 하지만 https 로 시작하는 주소라고 해서 그 사이트 자체가 항상 믿을 수 있다는 뜻은 아닙니다. Https 주소는 돈만 내면 누구나 쉽게 구입할 수 있기 때문입니다. 

보안 수칙 5. 공공장소에서 비밀번호 입력시에는 자물쇠가 있는지 확인하라

언제 어디서나 자물쇠를 확인하는 것은 항상 중요합니다. 하지만 공공장소에서는 특히 더 중요합니다. 다만 개인 정보나 비밀번호를 입력하는 것이 아니라면 반드시 자물쇠를 확인할 필요는 없습니다. 공공장소에서 무료로 제공하는 WiFi 대신 스마트폰의 LTE 접속을 사용하여 접속하는 것도 한 방법입니다. 

사례 6. 가짜 사이트로 비밀번호 가로채기

보안 관련 강의를 할 때 저는 제가 직접 만든 가짜 사이트를 예로 들면서 보여드리고는 합니다. 웹사이트 프로그램 제작에 대한 지식이 있는 사람이라면 누구라도 가짜 사이트를 쉽게 만들 수 있습니다. 예를 들어 facebook.com과 똑같이 생긴 사이트를 만든 다음 스팸 메일을 통해 “당신에게 무료 티켓이 도착했습니다. facebook.com에 접속해서 확인하세요”라는 메시지를 보냅니다. 이 메일에는 가짜 사이트로 접속하는 링크가 포함되어 있습니다. 주소도 진짜인것처럼 facebook.com으로 시작됩니다. 의심없이 접속해서 비밀번호를 넣으면 그 정보를 해커의 서버에 저장한 후 이번에는 진짜 facebook.com 사이트로 접속하게 합니다. 사용자는 비밀번호를 잘못 넣은 줄로 생각하고 계속 facebook.com 을 사용합니다. 해커는 확보한 비밀번호로 내 계정에 접속해 각종 불법적인 활동을 합니다. 만일 주로 사용하는 이메일 비밀번호를 해커가 가져갔다고 생각하면 끔찍합니다. 해커는 이것을 이용해 내 거래소 사이트의 비밀번호를 알아내고 돈을 훔쳐갈 수도 있습니다.

보안 수칙 6. 중요한 웹사이트 주소는 북마크해서 사용하라

모르는 사람이 보낸 메일에 웹사이트 주소가 있다면 절대로 클릭하시면 안됩니다. 피싱 사이트로 접속되는 문제 뿐만 아니라 각종 멀웨어와 바이러스에 걸릴 수도 있기 때문입니다. 구글 검색으로 웹사이트를 찾아가는 경우에도 조심해야 합니다. 상위에 검색된다고 무조건 믿을 수 있는 사이트는 아닙니다. 앞서 소개한 eos-token.org 도 상위에 검색된 사이트였습니다. 무엇보다 중요한 사이트나 로그인이 필요한 사이트라면 직접 입력하기 보다는 북마크를 해놓고 북마크를 통해 방문하는 것이 좋습니다. 세마포 크립토 웹사이트는 주요 웹사이트로 가는 링크를 하단에서 제공하고 있으므로 암호화폐 관련사이트는 semapocrypto.com 을 통해 찾아가는 것도 한 방법입니다.

사례 7. MyEtherwallet.com 해킹 사건

지난 해 MyEtherwallet.com 사이트가 해킹되었다는 뉴스가 나온 적이 있습니다. MyEtherwallet.com은 인터넷 브라우저만으로 사용할 수 있는 가장 유명한 이더리움 지갑 사이트입니다. 러시아 해커가 Google이 가지고 있는 DNS 서버를 조작하는 수법으로 MyEtherwallet.com에 접속한 사용자를 러시아의 한 해커의 서버에 접속하게 끔 한 것입니다. 물론 신속하게 복구가 되어 짧은 시간에 정상화되기는 했지만 이 기간에 MyEtherwallet에 접속하기 위해 개인키를 사용한 한 사용자는 자신의 지갑의 돈이 모두 없어진 것을 알고 “Now I am going to kill myself”라는 메시지를 남기기도 했습니다. 아무리 보안 수칙을 잘 지켜도 이러한 종류의 해킹이 발생하면 피해를 입을 수 밖에 없는 구조입니다. 다행히 이러한 사건에서도 피해를 입지 않은 사용자들이 있었는데 바로 MetaMask라는 크롬용 확장프로그램을 사용한 사람들이었습니다. MetaMask는 일종의 세미 하드월렛이라고 할 수 있는데 MyEtherwallet에 접속할 때 개인키를 사용하지 않고도 사용할 수 있는 것이 특징입니다. 또는 Nano Ledger와 같은 하드웨어 월렛을 사용한 사람들도 피해를 입지 않았습니다.

보안 수칙 7. 지갑은 하드웨어 월렛이나 MetaMask와 같은 확장프로그램을 사용하라

암호화폐 지갑에 접속할 때 개인키나 비밀번호를 직접 웹상에 입력하는 방법은 결코 바람직한 방법이 아닙니다. 앱 지갑의 경우에는 인터넷 상에 비밀번호를 보내는 것이 아니라서 비교적 안전하지만 웹 상에 개인키나 비밀번호를 입력해야 하는 지갑은 바람직하지 않습니다. 중요한 자산이라면 좀더 투자하여 보다 안전한 지갑에 보관하는 것이 중요합니다. 따라서 고액을 보관하기 위해 지갑을 사용하실 때는 하드웨어 월렛이나 MetaMask를 설치하는 것을 권장합니다. 이러한 월렛은 설치와 사용에는 다소 복잡한 과정이 필요합니다. 하지만 걱정하지 마십시오. 세마포 크립토 회원 여러분은 무료 기술지원의 혜택을 누리실 자격이 있습니다. 언제라도 미리 예약하시고 Semapo 사무실을 방문해 주시면 이 모든 과정을 개별적으로 친절히 도와드리겠습니다. 

맺는 말

보안수칙을 아무리 잘 알고 있더라도 당황하게 되면 자신도 모르게 마우스를 클릭하는 경우가 있습니다. 간혹 “당신의 컴퓨터는 해킹당했습니다” 같은 가짜 메시지에 놀라서 당황해서 급하게 행동하다 피해를 입는 경우도 있습니다.

일단 의심스럽거나 잘 모를 때는 당황하지 말고 일단 아무 행동도 취하지 말아야 합니다. 그런 후에는 믿을 수 있는 주위 사람에게 알리거나 세마포 크립토로 연락해 도움을 받으시기 바랍니다. 이렇게 하시면 피해를 방지하거나 최소화할 수 있습니다.