*** 답변 댓글이 있을 때 글 내용 삭제시 경고 없이 계정이 정지됩니다. ***
*** 개인정보가 포함된 경우 혹은 불법적인 요소의 수정은 가능합니다.***
-------------------------------------------------------------------------------

 

안녕하세요.

최근에 코인관련하여 해킹 이슈가 떙글에서 많이 일어나고 있는데요.

저만의 보안 철칙을 소개하고자 합니다.

혹시나 컴퓨터에 대해 잘 알고있거나 이 정도는 나도 이 정돈 알고 있다고 하시는 분들은 그냥 뒤로 back해주시는게 좋을 것같습니다.

너무 당연한 사실등은 제외햇습니다만.(백신 좋은거 써라, 업데이트 잘해라, 사이트가 맞는지 인증서 확인 잘해라, 공유기에 암호 걸어라 등등)

1번째는 너무 중요하다고 생각해서 강조하기 위해 적었습니다.

 

 

1. 운영체제, 프로그램등은 정품쓰세요.

 

네 정품 쓰세요. 변명하지 말고 그냥 쓰십시요.

정품 하나 가격얼마 한다고 복돌이 합니까.. 비트코인은 한개가 백만원대이고 운영체제나 오피스 이런건 몇십만원 안합니다. 구매해서 쓰십시요... 오피스 이거 다 사려면 100만원 넘어가더라? 그냥 정품 쓰세요!

여러분은 100만원만 가진 게 아니라 몇백만원을 가지신 분도 있을 테고 심지어는 1000만원도 넘게 가지고 있습니다.

가상화폐니 디지털적으로 가치있는 작업물이나 정보를 가지고 있는 사람이 아니라면 막 굴려도 좋겠습니다만.. 그런게 아니라면 그냥 정품 사십시요.

1500만원짜리-1억원짜리  캐드프로그램 정품 사기 힘들다? 그래도 가급적이면 사십시요.

게다가 제가 알기론 캐드프로그램도 싼 옵션으로 하면 200만원근처에서 살수있다고 알고 있습니다.

3D CAD도 마찬가지. 너무 비싸다면 대여형 서비스도 많습니다.

1번은 너무 중요해서 개나 소나 다 아는 사실임에도 적었습니다만 그게 안되면 차후에 설명드리는 방법을 쓰세요

 

2. 인터넷에서 프로그램 다운시 인증서 및 해시를 반드시 확인한다.

 

2번에서 말하는 건 인터넷에서 배포하는 오픈소스 프로그램 및 무료사용허가가 난 프로그램을 다운받을 시 인증서,서명,해쉬를 확인하라는 겁니다.

보통 네이버블로그나 이상한데서 배포하는 경우 분명히 뭐가 이상한 애드웨어가 반드시 섞여있고 이 경우 백신에서 검출하는 경우도 있지만 검출 못하는 경우가 있습니다.

악성코드 제작자가 널리 퍼진 악성코드 샘플을 사용하지 않고 자작하였을 경우 백신에서 못 잡아내는 경우가 있었습니다.

물론 요새 백신들은 패턴감지로 수상한 행동을 할시에는 잡아낸다고 하지만 못 잡아낼 경우는.... 축하드립니다. 이제 이 컴퓨터는 해커의 소유물입니다.

오픈소스 및 기타 인터넷에서 다운받는 프로그램들은 반드시 공식 배포처에서 받기를 바라며 배포처에서 인증서, 서명, 해쉬를 제공할테니 반드시 확인하고 다운받으시길 바랍니다.

 

그리고 디지털 서명있다고 바로 설치할 것이 아니라 자세한 디지털서명을 보기를 해서 신뢰되는 인증기관에서 배포되었는지를 반드시 확인바랍니다!!

 

은근히 컴퓨터 좀 쓰신다는 분들도 이건 잘 모르는 경우가 있더군요.

 

Ps. 공식홈페이지가 해킹당해서 감염된 프로그램을 다운받게 된 사례가 있었습니다. 예를 들어 반x소프트사의 사례와 리눅스 공식홈페이지 해킹 사례가 있습니다.

전자의 경우는 공식홈페이지가 해킹당햇으되 설치전 인증서, 서명을 확인해서 인증서,서명이 없었을 시 뭔가 이상하다 판단하여 설치안한 분들은 악성코드 감염을 당하지 않았고 후자의 경우는 공식홈페이지에서 해킹을 당한 사례인데.. 후자의 경우는 잘 모르겠습니다.

다만 github등을 통해서 저런 오픈소스 프로그램의 변질성을 확인할 수 있으니 교차 검증을 하시면 될 것같습니다.

 

3. 꼭 써야할 프로그램이 있는데 이거 개인이 만든거라서 테스트를 하고 싶다면 샌드박스프로그램을 쓰든지 vmware를 돌립시다.

제일 좋은 방법은 역시나 세컨컴을 쓰는 것이겠지요.

 

세컨컴으로 따로 하면 좋겠지만 없다면 vmware를 돌린다던지 sandboxie라는 가상화프로그램을 씁시다.

전자는 복돌이짓을 안하더라도 vmware player가 무료배포중이고 후자의 경우 sandboxie는 무료로 사용가능합니다.

이렇게 영 찜찜한 프로그램을 가상화나 샌드박스에서 돌릴 경우 본 컴퓨터사용환경에 영향이 안 가므로 안전합니다.

물론 천재적인 악성코드제작자들은 가상화OS(게스트)에서 호스트 OS에 영향을 끼칠 수 있다던지 샌드박스를 우회해서 호스트 OS에 영향을 준다던지 할수 있겠습니다만... 그런 취약점들은 역시나 제작사측에서 패치해나가면서 막아내는지라 정말 험한 곳에서 다운로드받지 않는 이상에야 걸리지 않을 것이라 봅니다. 즉 업데이트를 충실히하면 된다는 겁니다..

이건 복돌이로 돌려야 하는 프로그램의 경우에도 마찬가지입니다.

 

여담으로 저같은 경우는 이상한 잡다한 3류 코인은 코인지갑프로그램을 설치하지 않습니다. 비트코인이나 대쉬, 이더리움, 라이트코인 등을

제외한 3류 코인은 지갑프로그램을 설치도 안할 뿐더러 한다고 해도 가상화OS 돌려서 따로 비번관리하여 넣습니다.

3류 코인지갑에 악성코드 배포해서 비트코인 유출시키는 쓰레기들이 있었습니다. 

 

뭐 우X코인인가 뭐시기인가도 그랬던것 같은데..ㅋㅋ 자세한 건 생략하겠습니다.

 

4. 컴퓨터를 따로 마련해서 비밀번호를 관리하도록 한다.

 

                                                                     (그림1) 작성자의 컴퓨터 사용환경

 

구글 비밀번호 자동저장이니 기타 등등은 이미 LOUM님이 적어주셧던거니까 패스하겠습니다.

4번은 너무 광범위해서 설명드리자면.. 비밀번호와 OTP 시드등을 따로 적어서 인터넷에 연결되지 않은 컴퓨터나 노트북, 폰에 노트패드등으로 적어놓는다든지 해서 비밀번호를 따로 관리하라는 겁니다. 

물론 이중백업은 있어야 하므로 usb를 따로 사서 그 저장한 파일을 복사해놓고 그 usb는 그 비밀번호 저장용 컴퓨터,노트북,폰에만 연결하도록 하는 겁니다.

애초에 인터넷에 연결되어있지 않으니 비밀번호 전체를 다 털릴 염려가 없을 것이고..OTP는 당연히 걸어둘 것이므로 OTP를 모르면 해커가 약이 오를 겁니다 ㅋㅋㅋ

 

즉 비밀번호 저장용 컴퓨터 OR 폰, 코인지갑 거래소 사용 컴퓨터는 일상 생활용 컴퓨터와 따로 분리,마련해놓으시길 바랍니다. 돈이 없다고요?

1번 가서 낭독하고 오시길 바랍니다.

 

요새는 컴퓨터가 싸져서 조립식으로 해서 그냥 맞춰도 20만원이면 맞춥니다. 보안을 위해서 그 정도는 못 하겠습니까?

집에 마누라나 부모님, 자식들이 컴퓨터 왤케 많이 잇냐고 잔소리를 해서 저런 식으로 관리 못하신다면...코인지갑용 컴퓨터에 비밀번호 관리를 같이 겸해서 하시는 것도 나쁘지는 않을겁니다.

코인지갑용 컴퓨터는 어떤 일이 있더라도 악성코드 감염되서는 안되고 철저히 관리할수 있어야 합니다.

 

비싼 백신 깔아서(그 비싼 백신이란게 고작 3만원입니다. 3만원.) 보안키보드 기능이나 안전금융을 통해서 철저히 유출을 차단해야하고 

기타 보안에 위해가 갈만한 설정들을 제거하십시요.

그리고 항시 백업은 철저히 해서 백업 usb는 소중히 보관하시길!

 

 PS. 여담으로 그림1에서 보다시피 저는 컴퓨터 3대를 가지고 있는데 그 중 일상생활용 컴퓨터는 공유기의 설정을 건들지 못하도록 

설정된 상황입니다. 국내 유명한 아이피타임공유기의 경우 공유기 설정 제한을 할수 있습니다. 

아수스나 기타 외산공유기의 경우 게스트모드라고 하여 아예 원천적으로 공유기의 펌웨어나 설정을 건드리지 못하도록 하는 기능이 있습니다. DD-WRT펌웨어를 단 공유기의 경우는 isolate 기능이 있고요.

따라서 일상생활용 컴퓨터는 악성코드에 걸릴 가능성이 있다고 가장하여 일부 피해가 발생할수 있으나 공유기의 펌웨어 변조를 불가능하기에 다른 컴퓨터로 전염되는 걸 막을 수 있습니다.

단 랜섬웨어나 SMB를 통한 공격이 있을 수 있으므로 아예 윈도우 설정에서 네트워크 공유를 막아버린다던지 해서 상호 컴퓨터간의 통신을 차단을 하십시요.

 

5. 기타 백신이나 암호관리 프로그램의 도움을 받는다.

 

제가 쓰고 있는 카스퍼스키백신만 해도 가상키보드, 안전금융 등의 프로그램이 있으며 다른 백신도 마찬가지로 정보탈취를 목적으로 하는 최근 악성코드의 트렌드에 맞춰서 인터넷시큐리티 기능을 갖추고 있습니다.

이런 프로그램을 잘 써서 혹시나 모를 키로거 공격을 대비하시길 바랍니다.

암호관리 프로그램이라면 저는 개인적으로 keepass를 추천합니다.

lastpass니 뭐니 관리 프로그램이 많지만 유료가 아닌 무료에다가 제가 써왔기에 검증되었다고 보고 소개드립니다.

keepass 자체적으로 마스터키를 걸어놓고 암호화를 걸어놓으면 마스터키가 정말 쉽거나 기존에 수집된 정보에 없는 거라면 브루트포스로 깨기는 힘들다고 합니다.

반응이 좋다면 따로 keepass에 대한 설명을 드리겠습니다. keepass 자체적으로 파일저장이 가능하여 otp 시드값 저장, 지갑파일(wallet.dat)을 저장가능하여 백업에도 유용합니다.

물론 keepass 이게 해커에게 털린다면 아주 대박 사고가 나겠지만... 앞서말씀드렸듯이 이런 프로그램은 4번 유형을 참고하여 안전한 곳에서 저장할수 있도록 해야겠지요?

 

6. 보안관련 수칙과 뉴스를 항상 접한다.

 

저는 주로 울지않는 벌새 블로그에서 최신 취약점등과 수칙등을 확인하고 있습니다.

이런 블로그에서 항시 새로운 보안취약점을 확인하여 바로바로 문제점을 파악할수 있는 태도를 취해야겠습니다.

 

예를 들어 안드로이드 Stageflight 취약점을 대비해서 문자메시지 자동수신을 막고 별 수상쩍은 사이트에 들어가지 않는다던지

(http://www.huffingtonpost.kr/2015/07/28/story_n_7883860.html)

2차인증관련하여 문자인증이 취약점을 드러냈다고 하면 바로 문자인증을 취소시킨다던지 말이죠.

 

이상 6가지만 지킨다면 털릴 일이 없다고 봅니다.