안녕하세요, @sjchoi입니다.
최근 암호화폐 시장에 잠시라도 숨통이 트여 많은 분들이 숨을 고를 수 있었던 것 같습니다.
자산은 불리는 것보다 지키는 것이 더 어렵다고들 합니다. 오를 때 오름세에 취해 손 놓고 있다가 눈 깜짝할 새에 하락세에 정신 차리지 못 하는 경우도 많습니다. 그래서 더욱 자산을 지키는 것의 중요성이 강조되는 셈입니다.
비단 매매의 문제에만 국한되지 않습니다. 암호화폐 자산의 경우 보안의 문제에 있어 모든 책임 개인에게 돌아갑니다. 아직까지 이 자산을 위험으로부터 지켜줄 수 있는 보험과 같은 안전 장치가 제대로 마련되어 있지 않기 스스로 보안에 대한 대비를 잊지 말고 해야 합니다.
최근 접했던 몇 가지 해킹 소식을 듣고 경각심이 들어 저 스스로도 다시 한 번 해킹에 대한 정리를 할 필요성을 느껴 포스팅을 하게 되었습니다.
피싱 사이트 ( Phishing Site )
피싱 사이트는 기존에도 개인 정보를 탈취하거나 불법 프로그램을 심기 위한 수단으로 사용이 되었으나 암호화폐 시장이 부각되면서 시장 참여자들에게는 치명적인 위험으로 자리 잡았습니다.
- 바이낸스 피싱 사이트
처음 알려졌을 때 많은 이들에게 큰 충격을 주었던 바이낸스 피싱 사이트입니다. 구글 광고를 통해 바이낸스 거래소로 링크를 노출시켰던 해당 사이트는 사실 피싱 사이트였습니다. 검색 후 최상단에 위치한 사이트였기에 많은 사람들이 접속했으리라 생각이 됩니다. 심지어 사이트 주소 https://bịnance.com
에서 볼 수 있듯 실제 바이낸스 거래소의 링크와 거의 차이점을 찾아볼 수 없었기 때문에 많은 사람들이 자기도 모르게 해킹의 위험에 노출될 수밖에 없었습니다.
- 스팀잇 피싱 사이트
최근 스팀잇 내에서도 피싱 사이트가 기승하고 있습니다. 커뮤니티가 커지고 가치가 높아지니 위험에도 더 노출되는 것 같습니다. 게다가 스팀잇에서는 글과 댓글들이 마크다운 형식을 사용하고 있기 때문에 육안으로 노출되는 사이트와 실제 연결된 사이트가 다를 수 있습니다. 이를 악용한 피싱이 판을 치고 있는 것이지요. https://www.naver.com/ 이 링크를 눌러 보면 어디로 연결될까요? 네이버로 보이는 이 링크는 제 스팀잇 블로그로 연결됩니다. 이처럼 아차 하는 순간 많은 것들이 달라질 수 있습니다.
@segyepark님의 [동영상] 스팀잇 피싱 사이트 + 비밀번호 종류와 사용시 유의사항
@maanya님의 스팀잇의 스캠 댓글 유형과 대처 방법 + 스캠 신고 받아요
PC 및 휴대폰 해킹
잘못된 링크로 들어가거나 의심되는 사이트로 접근을 하지 않았더라도 PC나 휴대폰이 직접적으로 해킹의 위험에 노출된 경우가 있습니다. 이미 PC나 휴대폰에 잠복해 있는 위험이 언제 터질지 모르기 때문에 항상 보안에 신경을 쓰고 점검을 정기적으로 해야 합니다.
- hosts 파일 위변조
피싱 사이트에 대한 대비책으로 즐겨찾기를 해 놓거나 직접 사이트를 입력해서 접속하는 방법이 언급됩니다. 그러나 정상적인 방법으로 접근을 했는데도 잘못된 사이트로 연결이 될 수 있습니다. host 파일이 변조되는 경우인데, 특정 링크를 입력하였을 때 임의로 연결되는 사이트를 변경할 수 있습니다. 가령 마이이더월렛 주소를 입력했을 때 유사 피싱 사이트로 자동으로 연결될 수 있다는 것입니다. 한 번 씩 다들 확인해 볼 필요가 있습니다.
- 멀 웨어(악성 소프트웨어) 감염
PC나 휴대폰이 악성 소프트웨어에 감염되었다면 개인 정보나 사용 기록 등이 유출되거나 변조되는 치명적인 문제가 발생할 수 있습니다. 대부분 암호화폐를 송금하기 위해 지갑 주소를 일일이 입력하거나 외워서 입력하지 않습니다. 그렇게 하기도 쉽지 않죠. 보통은 주소를 복사하여 사용합니다. 프라이빗 키 역시 마찬가지입니다. 이미 감염되어 있는 PC 또는 휴대폰에서 이를 진행하다가는 허무하게 자산을 잃어버릴 수 있습니다.
보안뉴스, 클립보드에 저장된 지갑주소 바꿔치기 하는 콤보잭 멀웨어
머니투데이, '가상화폐 지갑' 노리는 악성코드 주의보
거래소 이용의 위험
거래소 해킹에 관해서는 아마 암호화폐 시장에 발을 담그고 있는 사람이라면 누구나 잘 알고 있는 해킹 유형입니다. 거래소를 이용하는 누구라도 거래소가 가지고 있는 자체적인 위험은 부담하고 있는 셈입니다. 입출금 시에는 어쩔 수 없이 거래소를 이용할 수밖에 없지만, 그 외 거액의 자산을 거래소에 맡겨 놓는 것은 자산의 안전을 고려하지 않은 선택입니다.
- 거래소 자체 해킹
이 경우는 거래소 자체가 해킹을 당한 경우입니다. 유명한 마운트 곡스 사건부터 시작해서 우리나라만 해도 야피존(=유빗=코인빈), 빗썸 등 거래소 자체 내 해킹으로 인해 피해는 고스란히 이용자들이 받을 수밖에 없었습니다.
@keepit님의 Keepit 블록체인 칼럼: 해킹 잔혹사 1편, 해킹 잔혹사 2편, 해킹 잔혹사 3편
서울경제, '해킹 거래소' 이미지 세탁 위해 또 간판 바꾼 유빗
- 계정 및 OTP 해킹
사실상 개인 계정의 아이디와 비밀번호는 너무나 손쉽게 노출될 수 있습니다. 개인정보의 상당수는 수차례 발생한 유출 사건으로 인해 더 이상 '개인'의 정보가 아닌 경우가 많습니다. 때문에 2중, 3중으로 보안의 울타리를 세우는데 인증번호나 OTP 등이 사용됩니다. 그럼에도 개인의 실수 또는 기업이나 거래소의 허술한 관리로 인해 이러한 보안 수단이 무용지물이 되고 피해가 발생하기도 합니다.
보안뉴스, 피해자들이 말하는 가상화폐 거래소 해킹 유형 3가지
@cazimi님의 거래소 OTP 해킹(피싱) 피해 사례 및 예방 방법
@segyepark님의 Google Authenticator 쓰지 마세요, Authy 쓰세요!
온라인 지갑 해킹
지갑 해킹은 사실 개인의 문제라기 보다는 지갑 자체의 취약점을 이용한 해커들에 의해 발생하는 해킹 유형입니다. 피싱 사이트나 비밀번호 탈취 등과는 조금 다릅니다. 대부분 암호화폐 자산을 소유하고 있는 사람들에게 지갑은 거래소와는 달리 안심하고 쓸 수 있는 금고와 같은 곳입니다. 실제로 높은 보안성을 자랑하지만, 이것 역시 완벽한 것은 아닙니다.
우리가 흔히 알고 있는 마이이더월렛이나 메타마스크 등의 지갑 외에도 지갑 서비스를 제공하고 있는 곳들은 많이 있습니다. 암호화폐 시장은 신생 시장이기 때문에 그에 따라 이를 선점하기 위한 지갑 서비스 제공 업체 역시 우후죽순 생기고 있습니다. 문제는 이러한 서비스들은 완벽하지 않으며, 많은 해커들의 표적이 되기 때문에 그만큼 작은 바늘 구멍이라도 일단 발견이라도 되면 여지없이 공격당한다는 것입니다. 우리가 전문가가 아닌 이상, 하드 월렛 또는 최소한 공신력 있는 지갑 서비스를 이용할 필요가 있습니다.
@onizuka님의 이더리움 온라인 지갑 서비스 해킹 또는 사기
@ironpark님의 이더 15만개는 어떻게 털렸을까? parity 다중서명 지갑(계약) 취약점 살펴보기
@u12님의 PSA Freewallet 과 Jaxx 가 해킹당했다고 합니다
대놓고 사기..?
결국 파국을 맞은 비트커넥트 (코인마켓캡)
엄밀히 말해 해킹은 아니라서 사실 내용을 넣을까 말까 하다가 넣었습니다. 다단계, 소위 펌핑방, 정보 공유 및 리딩을 빙자한 폭탄 돌리기 방, 그 밖에 단기 수익을 강조한 사기 등은 당연히 조심해야 할 것들입니다. 욕심에 눈이 멀어 마음을 해킹당한 거나 다름없지 않을까요. 리플은 다단계 당했다면 어땠을까 싶기도..
@pius.pius님의 비트커넥트 폰지 사기 대해부
블록인프레스, ‘0.5ETH 보내면 5ETH 준다’ 사기 급증, 트위터 CEO “조치중이다”
@umkin님의 잡코인들을 펌핑하는 텔레그램 채널들에 대해 간단히 알아보자
마치며
자산을 지키는 방식은 여러 가지가 있겠지만, 암호화폐 시장에서 보안에 대한 문제는 대단히 중요합니다. '탈중앙화'를 기치로 내걸었던 블록체인 기술답게 외부로부터 자산을 지키는 것 역시 '탈중앙화'되어 있습니다. 따라서 개개인은 자신의 자산을 지키기 위해 스스로 조심할 수밖에 없습니다.
수많은 해킹 사례들을 읽다 보니 탈중앙화가 마냥 좋은 것만은 아니라는 생각이 들기도 했습니다. 새삼 개인이 국가나 조직의 보호를 받는다는 것이 얼마나 중요한지 크게 다가오는 시간이었습니다. 재산에 대한 위협을 대비하는 과정을 온전히 스스로 떠안게 되었을 때 얼마나 많은 육체적, 정신적 피로가 형성되는지는 암호화폐 투자자들이 몸소 느끼고 있을 겁니다.
악의를 가지고 타인의 노력을 앗아가려는 시도들이 정말 많습니다. 그럼에도 다른 한 쪽에서는 선의를 가지고 이에 대응하여 다른 사람들의 재산을 지키고 서로 챙겨주려는 노력이 있습니다. 아직은 체계화되지 않은 시장에서는 결국 각자의 의지에 기댈 수밖에 없어 보입니다. 가장 1차로는 내 자산의 안전과 보호에 힘을 쓰는 게 맞지만, 주변을 돌아보며 같이 방안을 모색하고 좋은 의견을 주고 받을 수 있는 선의의 장을 형성해 나가는 것이 필요하다는 생각이 드네요.
해킹을 당해서 가지고 있던 것들이 사라지면, 시세의 등락에 자산이 출렁거리는 걸 보면서 힘들었던 시간은 차라리 행복한 시간으로 기억될 겁니다. 모두 자산을 잘 지켜냅시다!
👨 종류가 많네요.
해커가 작정하고 터는게 아닌이상 스스로 보안을 잘 신경 써야겠습니다.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
네 진짜 조심 또 조심해도 나쁠 게 없습니다.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
스마트폰 해킹이 취약할 것 같은데 은근히 겁납니다
와이파이 사용한다거나 이럴때
거래소 해킹은 진짜 답이없어요 ㅠㅠ
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
암호화폐 자산 비중이 높으신 분들은 핸드폰도 별도로 사용하시기도 한다더군요.
거래소는... 입출금이나 단타 트레이드 외에는 사용하지 않는 게 좋아보입니다ㅠㅠ
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
해킹사례를 총망라하셨군요. 해커들은 꾸준히 발전하는데 우리의 보안의식은 어떤지 궁금하네요. sjchoi님말씀처럼 뒤늦게 후회마시고 항삿 조심합시다.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
말씀하신 보안의식이라는 게 대단히 중요하다고 생각합니다. 나에게는 일어나지 않을 일이라고 생각했다가는 큰일 나지요 ㅠㅠ 좋은 말씀 감사합니다.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
저는 일단 하드월렛을 쓰고는 있고 아무래도 ios의 보안이 더 좋다고는 해서 암호화폐 거래 등 어지간한건 애플의 기기를 이용해서 하고 있는데 도움이 될런지는 모르겠네요..ㅎㅎ
항상 조심하고 신경써야 스스로의 자산을 지킬 수 있는건 정말 확실한 사실이라 생각됩니다 ㅎㅎ
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
현재까지 컴퓨터 자체를 별도로 사용해서 풀 노드를 설치해 놓은 경우를 제외하고는 하드월렛이나 페이퍼월렛이 제일 보안으로는 좋다고 하더군요 ㅎㅎ
애플이 아무래도 보안이 좋다고는 들었는데요, 그래도 백업 파일 등을 윈도우OS 등에서 관리하면 거기서 또 취약점이 노출될 수도 있다고 하니 그것도 신경쓰시면 한층 더 나을 것 같습니다.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
해킹은 무섭네요.. 종류도 많고 저같이 무지한사람은 걸리기만 하면
당할듯해요 ㅜㅜ
좋은정보 감사드려요^^ sjchoi님 오늘 행복한하루 되세요^^
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
저도 불안한 마음에 이리저리 찾아보게 되었네요ㅠㅠ
천천히 챙길 수 있는 부분은 챙기셔서 안전한 투자하세요^^
좋은 하루 보내세요 !
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
지금은 소액이라 상관없지만, 나중에 금액이 커지면 하드웨어 지갑에 보관하는게 안전할 것 같네요.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
맞습니다. 진짜 공들여서 쌓아 올린 탑을 한순간에 무너뜨리게 될 수도 있어요ㅠㅠ
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
다양한 종류의 해킹수법이 있네요. 처음 들어보는 것도 있구요.
조심 또 조심하는 것만이 자산을 지키는 길이겠군요^^
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
아는 만큼 더 지킬 수 있게 되는 것 같습니다.
이 포스팅에도 아직 알려지지 않은 수법들도 있을 것이지만, 알려진 것만이라도 잘 챙긴다면 상당 부분 자산을 지키는 데 도움이 되지 않을까 합니다^^
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
너무나 중요하지만 귀찮아서 많은 사람들이 알고도 손 놓고 있기도 하는 중요한 정보들을 다루셨네요.
리스팀합니다!
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
감사합니다. 설마 나에게 일어나겠어 하는 생각으로 있다가는 막상 내 일로 닥치면 낭패를 보기 십상입니다. 부디 스티미언 분들 가운데서는 좋지 않은 일로 손해를 보는 분이 없으셨으면 하네요^^
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
전문적인 내용을 쉽게 풀어내시고 또 마음도 참 따스하십니다. 고맙습니다.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
잘 읽어주셔서 감사합니다^^ 부디 도움이 되셨으면 좋겠습니다.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
바이낸스 해킹은 애드블록이 왜 유용한가를 다시한번 증명해준게 아닌가 싶더군요
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
맞습니다. 한편으로는 구글 이름 걸고 광고한 건데, 광고 심의가 좀 제대로 되었으면 피해자가 없었을 걸 하는 생각도 해 봅니다.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit