경고 - 피싱 & 맬웨어로부터 보호steemCreated with Sketch.

in #secure8 years ago (edited)

암호화폐가 해커들에게 좋은 표적이 된 싯점부터 피싱 사이트나 맬웨어 감염을 통해  현재 지금도  지속적인 탈취 시도는 이루어 지고 있습니다.

이 글은 암호화폐 투자에 관심이 있는 코린분들에게 최소한의 예방조치 차원에서 작성된 글 입니다. 저는 뛰어난 보안 전문가는 아니지만, 일반적인 수준에서 최대한 알아야될 상식과  더불어 암호화폐의 지갑을 이용하는데 있어서 안전한 방법을 언급 합니다.

1.  피싱 사이트 

아래 나열된 인터넷 주소는 진짜 사이트 주소와 가짜 사이트 주소가 "철자"가 다르거나 , 아주 교묘하게 문자가 비슷한 유니코드로 사이트 주소를 복제한 예 입니다.

단번에 진짜와 가짜를 판별 하셨다면 뛰어난 시력을 가졌습니다.  그러나 보안에는 내가 모르는 것이 항상 존재합니다. 대표적으로 얼마전 binance 거래소가 그대로 복제된 피싱 사이트를 통해 많은 유저들의 정보가 유출 됬고, 이로 인해 얼마나 피해를 입었는지는 알 수 없습니다. 사이트 주소앞에  "안전함"이란 단어는 저를 비롯해서 일반인들에게 신뢰감을 주게 하지만, 실제로는 그렇치 않습니다. binance거래소 피싱 사이트를 보면 안전함 까지 복제하는 겁니다.

이제 우리가 많이 쓰는 지갑서비스 사이트인 Mew사이트를 한번 보겠습니다.  안전함 이란 문구가 아닌 "MYETHERWALLET LLC" 입니다.  이게 의미하는 것은 보안의식이 다른점으로부터 출발합니다.  Mew 사이트가 복제되어 피싱 사이트를 이용하는 사용자가 있을 수 있으니 앞에 부분까지 세심하게 피싱사이트와 구별되도록 최소한의 조치를 취한 겁니다.

국내 4대 대형 거래소(빗썸,업비트,코인원,코빗)의 사이트를 보겠습니다.

미국의 대형거래소와 국내 은행 사이트를  보겠습니다.

"안전함"이라고 표시한 사이트가 안전하지 않을 수 있다니 ! 피싱 사이트로 복제되어 저나 여러분이 피싱 당할 가능성이 높다는 뜻입니다. 미국  "Mew","Coinbase"사이트 는 세심한 부분까지 최소한의 조치를 한것이며, 한국거래소의 보안에 대한 기본 접근 마인드가 다른 점은 비교 됩니다.

피싱 사이트 개발은 가장 유명한 사이트가 표적이 되며,  기발한 아이디어와 고급 기술로 지속적으로 나올것 입니다. 저나 여러분은 지속적으로  조심해야 됩니다.

2. 맬웨어 ( malicious software, malware )

맬웨어는 악성 소프트웨어(트로이 목마)로서 기술이 날로 발전하여 메일을 읽기만 해도, 사이트를 접속만 해도 나쁜 목적을 가진 프로그램이 설치되므로, 피싱 사이트를 통해 정보 입력을 가로 채는 방법보다 더 고도화된 해킹입니다. 이걸 근본적으로 막는 다는 것은 사실상 불가능하고 예방& 확인 해야 됩니다. 

얼마전 제 PC 를  맬웨어 검사 프로그램을 이용해서 검사를 해 봤습니다. 격리 조치된게 꽤 많이 나왔습니다. 흔히 사용하는 알약,V3 등 백신 프로그램상에서는 특별히 검출 안됬던 것들인데 말 입니다.

3. 대안  

피싱 사이트를 통해서 또는 나도 모르게 맬웨어 프로그램에 감염되어 암호화폐 자산을 다루는 소중한 정보가 탈취되어 자산을 잃어 버리지 않으려면 할수 있는 최소한의 조치는 해야 됩니다. 아직은 갈길이 먼 암호화폐 자산을 다루는 방식에 대한 습관(인식)또한 중요하다고 생각 됩니다. 

아래는 제가 사용하고 있는 구글 크롬 브라우져 인데 몇개의 확장 프로그램이 설치 되어 있습니다. 이는 Mew 사이트의 보안인식을 높이산 제 개인적인 기준일 수 있지만, 최대한 같은 수준에서 보안을 따르려고 설치한 확장 프로그램 입니다.

 uBlock Origin - Chrome Web store - Google

광고 차단 프로그램으로서 적은 CPU 사용률에 효과적인 차단기로 소개되어 있습니다. 먼가 정신없이 뜨는 광고 및 팝업을 차단하기위해  설치 

 EtherAddressLookup - Chrome Web Store

이더리움관 관련된 Mew, etherscan.io 등 주요 사이트에 대한 북마크기능, 지속적으로 업데이트되는 도메인 블랙리스트를 확인하여 피싱으로부터 보호,  Ethereum 주소처럼 보이는 문자열 링크를 즐겨 찾는 블록 체인 탐색기에 추가 기능

EAL 블럭체인 탐색기 기능

 Cryptonite by MetaCert - Chrome Web Store

이 확장 프로그램은 피싱 사이트로부터 사용자를 보호합니다. 인증 된 Cryptocurrency 웹 사이트를 방문하면 MetaCert 방패가 녹색으로 변합니다. 업비트 사이트가 아직 등록이 안되었나 봅니다.

Malwarebytes | Free Cyber Security & Anti-Malware Software

랜섬웨어  및 기타 고급 온라인 위협으로부터 사용자를 보호하여 기존의 바이러스 백신을 더 이상 쓸모 없게 만들었다라고 평가받는 보안 프로그램으로서 PC 에 악성 프로그램 감염 및 사이트 이용시 맬웨어 차단. (유료버젼이지만 일정기간 무료로 사용할 수 있습니다.)

Google the service name +"hacking" or "scam" or "reviews"

새로운 정보로 인해 거래소 이용, Airdrop , ICO 등 포괄적으로 구글 서비스를 통해 관련 검색을 한후  내용을 파악한 후 이용. 특히  지갑 관련 프로그램에 대한 사용자 평가내용 확인.

 Bookmark your crypto sites

자주 방문하는 거래소 사이트와 암호화폐와 관련된 주요 사이트 방문은 북마크를 이용해서 사용.

 4. 인식 변화

암호화폐에  투자하신 분들 이라면  먼저 인식을 바꾸셔야 합니다.  간혹 암호화폐를 출금할때  본인 실수거나, 맬웨어를 통한 감염으로 인한 것이나 상관없이 본인 PC 나 앱에서 출금이 완료되면 그 거래는 되돌릴 수 없습니다. 거래소를 통한 출금인데 문의하면 혹시 나  찾을 수 있지 않을까 ? 라는 생각은 할 수 있으나, 실제로 되찾으려고 노력하는 시간은 낭비일 뿐입니다.  

아래 몇가지 내용을 읽어 보시고 의미를 다시 한번 생각 해 보십시오.

  • 우리 거래소는 해킹으로부터 100% 안전하다. 언급은 있어도 해킹 당하면 100% 보상해준다. 라는 언급은 없습니다.
  • 지갑 앱, 사이트, 프로그램 어느 곳도 돈내고 쓰라고 하지 않습니다. 무료 입니다.
  • 지갑 서비스 대부분이 오픈 소스 입니다. (프로그램에 대해서 어느정도 알면 쉽게 만들수 있습니다)

즉 안전하다 라는 말은 사용하고 있지만, 그 안전은 보장 할 수 없다 이며, 안전하다고 믿고 있는 겁니다.


5. 개인 지갑 이용 가이드 라인


암호화폐에서 지갑은 여러분의 코인이 보관되는 곳이 아닙니다.  코인을 출금할때  필요한 기능(트랙잭션 생성및 전송)을 하는 프로그램 일뿐입니다.  Mew에 저장, MetaMask 에 저장 ,레저나노 하드웨어 지갑에 저장해놨어 ! 다 틀린 말 입니다.  어느 지갑을 이용했던 코인잔고 기록은 블럭체인에서 확인 되는 겁니다. 블럭체인에서는 Mew, MetaMask, 하드웨어 지갑, 거래소 등의 주소를 구분하지 않습니다.  

  • MetaMask / Mist / MyEtherWallat CX(크롬 확장형태)
  • Jaxx/ Trush (안드로이드 및 iOS)
  • Mew (웹)
  • Ledger, TREZOR, Digital Bitbox (하드웨어)

  앱 버젼은 없습니다. 

크게 4가지로 구분되는 지갑 서비스 프로그램은, 크롬 확장형태 , 앱,  웹사이트 그리고  하드웨어 지갑 입니다. 

"잔고 확인" vs "출금"  두가지로 구분하여 사용 
용도에 맞게 다수의 지갑을 사용

 

잔고확인

잔고확인을 위해 PC 나 앱에 비밀번호가 저장되어야 할 어떠한 이유도 찾을 수 없으며, 그 이유가 혹시 있다면 아름다운 방법으로 조회를 하기 위함이 아닐까 생각합니다.

  • MetaMask 를 단순 조회를 위해 사용하기에는 득보다 실이 더 클 가능성이 존재합니다.
  • https://etherscan.io/address/[본인주소] 통해 잔고는 확인 가능하며, 충분히 신뢰하십시오.
  • MetaMask 를 사용했다면 사용이 끝난후 반드시 [UnLock] 상태를 유지 하십시오.
  • 스마트폰용 지갑 앱에서 비밀번호가 저장되어  있지 않음을 확인 하고 사용하십시오.

출금

가장 주의해야 될 때가 출금이며, 이때 정보가 유출 될 가능성이 높으며, 이 비밀번호(Private Key)는  니모닉 문자 나 , Keystorke /JSON 화일의 형태로 변환되어 제공됩니다. 

  • 입금받는 주소를 2~3회 재차 확인 하십시오.
  • 하드웨어 지갑을 이용 하십시오.
  • 하드웨어 지갑을 이용하지 않는다면  최소한 비밀번호 입력시 인터넷 연결을 끓어야 합니다
  • MetaMask는  접속 비번을 입력할때 인터넷 연결을 끓어야 합니다.
  • Mew 사이트에서 직접 Private Key 입력하기 보다는 Keystroke/JSON + 비밀번호를 사용하십시오
  • Mew 를 이용해서 출금할때는 Offline 모드에서 출금하는 방법으로 하십시오.

      참고)   Myetherwallet 을 이용한 콜드지갑 출금 (Using myetherwallet like Cold wallet)

  • 비밀번호(Private Key) /Keystroke.JSON/니모믹 문자 등은 USB 에 2개의 복제본을 만드십시오.

여러가지 가이드 라인을 언급 해놨으나, 가장 중요한 것은 머리속에 다음과 같은 생각을 하십시오. 

모든 정보는 인터넷을 통해 유출 될 수 있다.  인터넷 연결을 끓는 순간 만큼은 안전하다.

사이트를 방문하거나, 출금을 하거나 나의 중요한 정보가 PC나 앱에 있고,  인터넷이 연결되어 있다면 모든 가능성은 존재한다.  나에게 좋지 않은 가능성을 최소화 하는 것이 보안이다.


6. MEW 의 보안의식

Mew 의 보안의 출발점은 회사  & 사용자 기준을 모두 고려한 의식에서 부터 출발 한다고 저는 느꼈습니다. 이러한 이유는 여러 곳에서 발견할 수 있는데 대표적으로 Mew 사이트가 해킹을 당했는지,이를 알 수 있는 방법은 사이트 하단 아래를 클릭 하시면 Live verify files 표를 통해 mew 사이트의 특정 부분이 변조 됬는지를 알 수 있게 해놓았습니다.

 글을 마치며


암호화폐에 투자의 최종 목적은 대부분은 자산을 증식 하기 위함입니다.  너무나도 사소한 실수나 인식 부재로  소중한 자금이 공중분해 되버리는 상황이 국내 여건으로는 높습니다.  거래소도 안전하다고는 하지만 보장해주지 않고, 개인 지갑을 이용하자니 불안하고 현재로선 스스로가 지키는게 최선 입니다.  보안은 항상 편리함과 반비례 관계가 있습니다. 위에서 언급한 MetaMask 가 Mew 보다 편리하지만 보안은 MetaMask 가 더 취약할 가능성이 높습니다. 

보안은 기술로서 완성되지 않습니다. 인식과 매뉴얼을 따라야 보안이 유지 됩니다.  개인적으로는 이러한 요소가 해소되어야 암호화폐가 지금보다 더 큰 투자자산으로 자리잡을 수 있지 않을까 생각듭니다.  아직 갈길이 멉니다.




            

#wallet #exchange #kr
8 years ago in #secure by
$0.17
  • Past Payouts $0.17
  • - Author $0.14
  • - Curators $0.03
6 votes
Reply 7
Sort:  
  • Trending
    • [-]
     8 years ago (edited)

    팔로우 하고가겠습니다
    좋은글 부탁드립니다 ! 배워가겠습니다

    $0.00
      Reply
      [-]
       8 years ago (edited)

      사과 받은걸로 끝났습니다. 송금하실 필요없습니다. 이제 괸잖습니다. 좋은 정보 많이 전해 주세요 ^^ 제글은 복사해서 쓰셔도 무방하지만 저자는 밝히는게 스팀잇 이용자로서 도리라고 생각합니다.

      $0.00
        Reply
        [-]
         8 years ago (edited)

        배려에 감사드립니다
        수정만 가능해 수정하고가겠습니다 :)
        댓글에 다시 댓글이 달리면 삭제가 안되나봅니다 대댓글만 삭제하고 나머진 수정하고가겠습니다

        $0.00
          Reply
          [-]
           8 years ago (edited)

          정말로 괸잖습니다. 더 이상... 배려안하셔도 됩니다. 댓글이 삭제가 쉽지 않나봅니다.

          $0.00
            Reply
            [-]
             8 years ago 

            댓글들을 보니 제 포스팅에서 발견된 문제는 해결하신 듯 하여 저도 마음이 놓입니다. (제 입장에서는 조금 당황스럽기도 했습니다. ^^;;)

            Binance였나... Google에서 검색된 결과조차 피싱이었던 기억이 있습니다.

            피싱과 Malware VS. 보안 솔루션은 전통적인 경찰대 범죄자의 고리처럼 계속 돌고 돌겠죠.

            그렇다고 PC를 여러 대 사용할 수도 없고 큰 돈을 투자하지 않은 투자자에게는 렛저월렛은 부담이 될 수도 있구요.

            하나의 키만 사용하는 IOTA 지갑 등은 지갑이 많아지면 많아질수록 뚫릴 확률이 커질 것만 같더군요. (이론적으로 특정 지갑의 비밀번호가 뚫리려면 엄청난 세월이 필요하더라도 운 좋게 하나만 뚫릴 수도 있으니까요.)

            암호화폐 지갑들이 지금은 서로 다른 보안정책을 사용하고 있지만 좀 더 대중화가 되고 연구가 진행되면 언젠가는 동일한 방법으로 보안을 도모할 것이라고 믿습니다.

            아래 말씀도 동의하긴 합니다만 언제나 기술적 약자에 대한 배려도 반드시 따라야 한다고 생각합니다. 개발자들이 좀 더 고민해야겠죠. :)

            보안은 기술로서 완성되지 않습니다. 인식과 매뉴얼을 따라야 보안이 유지 됩니다.

            $0.00
              Reply
              [-]
               8 years ago 

              암호화폐시장이 더 커지려면 이런 문제에 대한 기술적 뒷받침은 필수적이라고 생각됩니다.. mew 회사 및 미국 거래소의 사용자에 대한 세심한 보안조치에 대한 배려는 국내 거래소가 너무 보안을 본인 회사 관점에서만 보고 있지 않나 하는 생각이었습니다.

              $0.00
                Reply
                [-]
                 8 years ago 

                저도 회사에서 업무 하다보면 느끼는 것이지만 '책임 회피'를 목적으로 일을 하는 문화도 어느정도 영향이 있을 것 같다는 생각이 듭니다.

                "우리 거래소는 안전한데 쟤가 잘못했어요" 랄까요...

                시간이 지나면서 점차 나아지리라 믿어보겠습니다~!

                $0.00
                  Reply

                  Coin Marketplace

                  STEEM 0.04
                  TRX 0.32
                  JST 0.082
                  BTC 60051.75
                  USDT 1.00
                  ETH 1521.77
                  SBD 0.47