board_free custom_top_html:no
default debug random = 1 / type = READ / detected = READ

단축키

Prev이전 문서

Next다음 문서

크게 작게 댓글로 가기 위로 아래로

*** 답변 댓글이 있을 때 글 내용 삭제시 경고 없이 계정이 정지됩니다. ***
*** 개인정보가 포함된 경우 혹은 불법적인 요소의 수정은 가능합니다.***

-------------------------------------------------------------------------------

 

안녕하세요.

최근에 코인관련하여 해킹 이슈가 떙글에서 많이 일어나고 있는데요.

저만의 보안 철칙을 소개하고자 합니다.

혹시나 컴퓨터에 대해 잘 알고있거나 이 정도는 나도 이 정돈 알고 있다고 하시는 분들은 그냥 뒤로 back해주시는게 좋을 것같습니다.

너무 당연한 사실등은 제외햇습니다만.(백신 좋은거 써라, 업데이트 잘해라, 사이트가 맞는지 인증서 확인 잘해라, 공유기에 암호 걸어라 등등)

1번째는 너무 중요하다고 생각해서 강조하기 위해 적었습니다.

 

 

1. 운영체제, 프로그램등은 정품쓰세요.

 

네 정품 쓰세요. 변명하지 말고 그냥 쓰십시요.

정품 하나 가격얼마 한다고 복돌이 합니까.. 비트코인은 한개가 백만원대이고 운영체제나 오피스 이런건 몇십만원 안합니다. 구매해서 쓰십시요... 오피스 이거 다 사려면 100만원 넘어가더라? 그냥 정품 쓰세요!

여러분은 100만원만 가진 게 아니라 몇백만원을 가지신 분도 있을 테고 심지어는 1000만원도 넘게 가지고 있습니다.

가상화폐니 디지털적으로 가치있는 작업물이나 정보를 가지고 있는 사람이 아니라면 막 굴려도 좋겠습니다만.. 그런게 아니라면 그냥 정품 사십시요.

1500만원짜리-1억원짜리  캐드프로그램 정품 사기 힘들다? 그래도 가급적이면 사십시요.

게다가 제가 알기론 캐드프로그램도 싼 옵션으로 하면 200만원근처에서 살수있다고 알고 있습니다.

3D CAD도 마찬가지. 너무 비싸다면 대여형 서비스도 많습니다.

1번은 너무 중요해서 개나 소나 다 아는 사실임에도 적었습니다만 그게 안되면 차후에 설명드리는 방법을 쓰세요

 

2. 인터넷에서 프로그램 다운시 인증서 및 해시를 반드시 확인한다.

 

2번에서 말하는 건 인터넷에서 배포하는 오픈소스 프로그램 및 무료사용허가가 난 프로그램을 다운받을 시 인증서,서명,해쉬를 확인하라는 겁니다.

보통 네이버블로그나 이상한데서 배포하는 경우 분명히 뭐가 이상한 애드웨어가 반드시 섞여있고 이 경우 백신에서 검출하는 경우도 있지만 검출 못하는 경우가 있습니다.

악성코드 제작자가 널리 퍼진 악성코드 샘플을 사용하지 않고 자작하였을 경우 백신에서 못 잡아내는 경우가 있었습니다.

물론 요새 백신들은 패턴감지로 수상한 행동을 할시에는 잡아낸다고 하지만 못 잡아낼 경우는.... 축하드립니다. 이제 이 컴퓨터는 해커의 소유물입니다.

오픈소스 및 기타 인터넷에서 다운받는 프로그램들은 반드시 공식 배포처에서 받기를 바라며 배포처에서 인증서, 서명, 해쉬를 제공할테니 반드시 확인하고 다운받으시길 바랍니다.

 

그리고 디지털 서명있다고 바로 설치할 것이 아니라 자세한 디지털서명을 보기를 해서 신뢰되는 인증기관에서 배포되었는지를 반드시 확인바랍니다!!

 

은근히 컴퓨터 좀 쓰신다는 분들도 이건 잘 모르는 경우가 있더군요.

 

Ps. 공식홈페이지가 해킹당해서 감염된 프로그램을 다운받게 된 사례가 있었습니다. 예를 들어 반x소프트사의 사례와 리눅스 공식홈페이지 해킹 사례가 있습니다.

전자의 경우는 공식홈페이지가 해킹당햇으되 설치전 인증서, 서명을 확인해서 인증서,서명이 없었을 시 뭔가 이상하다 판단하여 설치안한 분들은 악성코드 감염을 당하지 않았고 후자의 경우는 공식홈페이지에서 해킹을 당한 사례인데.. 후자의 경우는 잘 모르겠습니다.

다만 github등을 통해서 저런 오픈소스 프로그램의 변질성을 확인할 수 있으니 교차 검증을 하시면 될 것같습니다.

 

3. 꼭 써야할 프로그램이 있는데 이거 개인이 만든거라서 테스트를 하고 싶다면 샌드박스프로그램을 쓰든지 vmware를 돌립시다.

제일 좋은 방법은 역시나 세컨컴을 쓰는 것이겠지요.

 

세컨컴으로 따로 하면 좋겠지만 없다면 vmware를 돌린다던지 sandboxie라는 가상화프로그램을 씁시다.

전자는 복돌이짓을 안하더라도 vmware player가 무료배포중이고 후자의 경우 sandboxie는 무료로 사용가능합니다.

이렇게 영 찜찜한 프로그램을 가상화나 샌드박스에서 돌릴 경우 본 컴퓨터사용환경에 영향이 안 가므로 안전합니다.

물론 천재적인 악성코드제작자들은 가상화OS(게스트)에서 호스트 OS에 영향을 끼칠 수 있다던지 샌드박스를 우회해서 호스트 OS에 영향을 준다던지 할수 있겠습니다만... 그런 취약점들은 역시나 제작사측에서 패치해나가면서 막아내는지라 정말 험한 곳에서 다운로드받지 않는 이상에야 걸리지 않을 것이라 봅니다. 즉 업데이트를 충실히하면 된다는 겁니다..

이건 복돌이로 돌려야 하는 프로그램의 경우에도 마찬가지입니다.

 

여담으로 저같은 경우는 이상한 잡다한 3류 코인은 코인지갑프로그램을 설치하지 않습니다. 비트코인이나 대쉬, 이더리움, 라이트코인 등을

제외한 3류 코인은 지갑프로그램을 설치도 안할 뿐더러 한다고 해도 가상화OS 돌려서 따로 비번관리하여 넣습니다.

3류 코인지갑에 악성코드 배포해서 비트코인 유출시키는 쓰레기들이 있었습니다. 

 

뭐 우X코인인가 뭐시기인가도 그랬던것 같은데..ㅋㅋ 자세한 건 생략하겠습니다.

 

4. 컴퓨터를 따로 마련해서 비밀번호를 관리하도록 한다.

 

1.png

                                                                     (그림1) 작성자의 컴퓨터 사용환경

 

구글 비밀번호 자동저장이니 기타 등등은 이미 LOUM님이 적어주셧던거니까 패스하겠습니다.

4번은 너무 광범위해서 설명드리자면.. 비밀번호와 OTP 시드등을 따로 적어서 인터넷에 연결되지 않은 컴퓨터나 노트북, 폰에 노트패드등으로 적어놓는다든지 해서 비밀번호를 따로 관리하라는 겁니다. 

물론 이중백업은 있어야 하므로 usb를 따로 사서 그 저장한 파일을 복사해놓고 그 usb는 그 비밀번호 저장용 컴퓨터,노트북,폰에만 연결하도록 하는 겁니다.

애초에 인터넷에 연결되어있지 않으니 비밀번호 전체를 다 털릴 염려가 없을 것이고..OTP는 당연히 걸어둘 것이므로 OTP를 모르면 해커가 약이 오를 겁니다 ㅋㅋㅋ

 

즉 비밀번호 저장용 컴퓨터 OR 폰, 코인지갑 거래소 사용 컴퓨터는 일상 생활용 컴퓨터와 따로 분리,마련해놓으시길 바랍니다. 돈이 없다고요?

1번 가서 낭독하고 오시길 바랍니다.

 

요새는 컴퓨터가 싸져서 조립식으로 해서 그냥 맞춰도 20만원이면 맞춥니다. 보안을 위해서 그 정도는 못 하겠습니까?

집에 마누라나 부모님, 자식들이 컴퓨터 왤케 많이 잇냐고 잔소리를 해서 저런 식으로 관리 못하신다면...코인지갑용 컴퓨터에 비밀번호 관리를 같이 겸해서 하시는 것도 나쁘지는 않을겁니다.

코인지갑용 컴퓨터는 어떤 일이 있더라도 악성코드 감염되서는 안되고 철저히 관리할수 있어야 합니다.

 

비싼 백신 깔아서(그 비싼 백신이란게 고작 3만원입니다. 3만원.) 보안키보드 기능이나 안전금융을 통해서 철저히 유출을 차단해야하고 

기타 보안에 위해가 갈만한 설정들을 제거하십시요.

그리고 항시 백업은 철저히 해서 백업 usb는 소중히 보관하시길!

 

 PS. 여담으로 그림1에서 보다시피 저는 컴퓨터 3대를 가지고 있는데 그 중 일상생활용 컴퓨터는 공유기의 설정을 건들지 못하도록 

설정된 상황입니다. 국내 유명한 아이피타임공유기의 경우 공유기 설정 제한을 할수 있습니다. 

아수스나 기타 외산공유기의 경우 게스트모드라고 하여 아예 원천적으로 공유기의 펌웨어나 설정을 건드리지 못하도록 하는 기능이 있습니다. DD-WRT펌웨어를 단 공유기의 경우는 isolate 기능이 있고요.

따라서 일상생활용 컴퓨터는 악성코드에 걸릴 가능성이 있다고 가장하여 일부 피해가 발생할수 있으나 공유기의 펌웨어 변조를 불가능하기에 다른 컴퓨터로 전염되는 걸 막을 수 있습니다.

단 랜섬웨어나 SMB를 통한 공격이 있을 수 있으므로 아예 윈도우 설정에서 네트워크 공유를 막아버린다던지 해서 상호 컴퓨터간의 통신을 차단을 하십시요.

 

5. 기타 백신이나 암호관리 프로그램의 도움을 받는다.

 

제가 쓰고 있는 카스퍼스키백신만 해도 가상키보드, 안전금융 등의 프로그램이 있으며 다른 백신도 마찬가지로 정보탈취를 목적으로 하는 최근 악성코드의 트렌드에 맞춰서 인터넷시큐리티 기능을 갖추고 있습니다.

이런 프로그램을 잘 써서 혹시나 모를 키로거 공격을 대비하시길 바랍니다.

암호관리 프로그램이라면 저는 개인적으로 keepass를 추천합니다.

lastpass니 뭐니 관리 프로그램이 많지만 유료가 아닌 무료에다가 제가 써왔기에 검증되었다고 보고 소개드립니다.

keepass 자체적으로 마스터키를 걸어놓고 암호화를 걸어놓으면 마스터키가 정말 쉽거나 기존에 수집된 정보에 없는 거라면 브루트포스로 깨기는 힘들다고 합니다.

반응이 좋다면 따로 keepass에 대한 설명을 드리겠습니다. keepass 자체적으로 파일저장이 가능하여 otp 시드값 저장, 지갑파일(wallet.dat)을 저장가능하여 백업에도 유용합니다.

물론 keepass 이게 해커에게 털린다면 아주 대박 사고가 나겠지만... 앞서말씀드렸듯이 이런 프로그램은 4번 유형을 참고하여 안전한 곳에서 저장할수 있도록 해야겠지요?

 

6. 보안관련 수칙과 뉴스를 항상 접한다.

 

저는 주로 울지않는 벌새 블로그에서 최신 취약점등과 수칙등을 확인하고 있습니다.

이런 블로그에서 항시 새로운 보안취약점을 확인하여 바로바로 문제점을 파악할수 있는 태도를 취해야겠습니다.

 

예를 들어 안드로이드 Stageflight 취약점을 대비해서 문자메시지 자동수신을 막고 별 수상쩍은 사이트에 들어가지 않는다던지

(http://www.huffingtonpost.kr/2015/07/28/story_n_7883860.html)

2차인증관련하여 문자인증이 취약점을 드러냈다고 하면 바로 문자인증을 취소시킨다던지 말이죠.

 

이상 6가지만 지킨다면 털릴 일이 없다고 봅니다.

 

 

 

 

 

 

 

 

 

 

 

 

 


 

1

Rakuten님의 서명

작은 하마를 무시하면 큰일나요.

Attachment
첨부 '1'
댓글 8
default debug random = 0 / type = READ / detected = READ

자유게시판

홍보/사기/불법을 제외한 모든 글작성이 가능합니다.

List of Articles
번호 분류 제목 추천 수 조회 수 글쓴이 날짜
61974 자유 (삭제 된 내용입니다)19금 외국 Bitcoin 사이트 2 탄 삭제 된 내용입니다 9 file 1 6555
yustpcy
2014.01.22
61973 자유 ##당신의 소중한 재산을 지키기 위한 해킹예방 안내서(스압주의)##   해킹예방 안내서를 제작하게 된 이유로는 저 역시 일전에 최악의 해킹을 맞이하였고    제가 오랫동안 몸 담아 왔던 커뮤니티 "땡글" 에서 피해자가 나오지 않... 10 25 2348
플라잉시타델
2018.11.11
61972 자유 [Polygen] 폴리젠 철저하게 DYOR 하는 방법 반갑습니다. Sodo_C입니다. 오늘은 Polygen 에서 알려주는 DYOR 하는 방법 자세한 내용의 버젼 공유드립니다. 대부분 아시는 내용이겠지만 한번더 각인 시키는 기... file 0 153
Sodo_C
2022.09.04
61971 자유 [Polygen] 폴리젠 DYOR 핸드북 Short Ver. 반갑습니다. Sodo_C입니다. 오늘은 Polygen 에서 알려주는 DYOR 하는 법 짧은 버젼으로 공유드립니다. 자세한 내용의 버젼은 곧 공유드리겠습니다. 코인정보를 드... file 0 137
Sodo_C
2022.09.01
61970 자유 [Polygen] 주간 크립토 소식(2022.12.16) 반갑습니다. Sodo_C입니다. 오늘은 Polygen에서 제공한 주간 크립토 소식입니다. 굵직한 뉴스 위주로 정리해주셨네요. 코인정보를 드릴뿐 투자권유는 아니니 참고... file 0 143
Sodo_C
2022.12.18
61969 자유 [Nitro League] 니트로 리그 파트너쉽(BabyMoon) 소식을 알아봅시다. 반갑습니다. Sodo_C입니다. 오늘은 니트로리그와 Babymoon 파트너쉽 소식에 대해 알아봅시다. 니트로 리그 파트너쉽은 대부분 P2E 길드 혹은 E-스포츠 팀 등 게임... file 0 136
Sodo_C
2022.09.22
61968 자유 [Nitro League] 니트로 리그 차량 알아보기(알파/베타 클래스) 반갑습니다. Sodo_C입니다. 오늘은 니트로리그의 차량을 알아보겠습니다. 클래스가 같아서 설명이 대부분 비슷하고 알파 클래스 경우는 희귀도에 따라 평판이 다... file 0 1388
Sodo_C
2022.12.06
61967 자유 힛빗에서 어이없는 해킹 사건이 터졌네요...   힛빗에서 제가 보스코인을 사둔게 있어서 대폭락때 전부 현금화 시키고 싶어서 한 10일만에 접속을 했는데 코인이 하나도 없고 누가 비트로 빼간 흔적이 남아있... 3 0 5140
신읫손
2017.09.16
61966 자유 힛빗 간혹 보유 코인 안보일때 있나요? 오늘 계정 들어가보니까 구매했던 코인이 없어져있네요. 그래서 해킹인가 싶어서 인출내역 거래내역 봤더니 비트를 빼간 흔적이나 이런것도 없고.. 구매해서 매도... 1 0 385
마민혁
2018.06.26
61965 자유 힛빗 / HitBTC / 거래소 먹튀? / 사기? / 단순지연? 덴트 출금 내용 정리합니다. 카톡방 개설 했습니다. 힛빗거래소를 자주 이용하던 사람입니다.   올해 초부터 힛빗을 이용했는데 이런 경우가 처음 있었습니다.   이번에 코인레일과 힛빗 그리고 이더델타에만 상장했... 3 0 10809
SatoShibit
2017.12.24
61964 자유 힘좀 주세요~!^^빠샵 떨어져도, 버티면 오리라는 좋은 생각에 불안반 희망반입니다. 꿀맨님, 그리고 많은 오래되신 분들이 느꼈을 과거의 폭락. 지금 솔직히 아프고 불안한데요. 버티... 1 1 498
서울아빠
2018.02.02
61963 잡담 힘쓰는 일은 역시 남자가 해야됨   기죽지  맙시다. 8 file 3 2340
밤마다영웅
2018.08.26
61962 잡담 힘쎄고 강한 파워...   2000 짜리 힘쎄고 강한 파워입니다.   원래 메인컴에서 쓰던 놈인데.... 채굴기를 확장하면 지금 채굴기에 쓰던 850짜리가 부족해 보여 메인컴이랑 바꿔달아 봤... 7 file 4 407
unlove
2021.05.02
61961 잡담 힘빠지는 만화 6 file 5 1898
민슈
2018.01.29
61960 자유 힘등 상황에는 종교에 기대게 되는 사람의 심리 저는 종교가 없지만, 군대에 있을때 한달에 1~2번 성당에 갔던 기억이 납니다. 간식도 먹고, 신부님이 따뜻한 말씀을 많이 해주셔서 도움이 되었거든요.   하락장... 3 2 1093
스팅어하이
2018.01.29
61959 자유 힘듭니다 ㅜㅜㅜ       장터에서 대량 구매하려고 글올렸는데 권한회수 당해서 카드 구하기가 너무힘드네요 ㅜㅜ 혹시나 선배님들 아시는 거래처있으시면 연결가능할까요 ㅠㅠ 부... 18 2 550
먹고살자123
2021.03.09
61958 자유 힘들떄 미소를....   힘들때 웃는자가 1류랍니다.... 다들 빗코가 깨져도... 가지고 있는 알트는 날아오르길 ㅠ 알트 없으시면 다른것들도 날아오르시길.....!!!!                  ... 2 file 0 1364
이득맨
2019.07.22
61957 잡담 힘들땐 좋았던 때 사진이라도 봐야쥬.. 워낙 오래된 사진들이고 원본들은 다 지워지고... 블로그나 구글포토에 백업해뒀던 사진들을 다시 받으면 사진열화가 아주 ㅎ ㄷ ㄷ ㄷ 하네요... 우야튼.. 망할... 5 file 7 677
일리케
2018.11.20
61956 자유 힘들고 지친 논공님을 위하여...... 忍(참을 인) (땀) 어려운 상황 화가 나는 일이 있다면, 눈 한번 딱 감고 참아 보세요. 참는 것이 최선이라는 것, 그것은 후회를 만들지 않기 때문입니다.~ ^o^ 옛... 4 5 921
아이두
2014.07.02
61955 자유 힘들게 만들었습니다. ㅠㅠ 작동잘되네요       역시.. 프로그램을써야죠..   힘들게 차트 못보겠습니다   잔다고 아침에 떡상놓친적이 몇번인지 후 ㅠ   2주동안 정말힘들었습니다   테스트한다고 버린다... 11 file 4 1502
빗썸쟁이
2018.03.06
목록
Board Pagination Prev 1 2 3 4 5 6 7 8 9 10 ... 3099 Next
/ 3099
default debug random = 0 / type = READ / detected = READ