코인트리거를 며칠전 소개해드렸지만
그간 코인바닥의 여러 해킹,코인탈취 등의 이슈 때문인지
안전하지않은 (혹은 악성코드, 사기) 것들 중 하나로 인식되면서
시간 들이고 공들여서 만든게 한순간 '의심되는앱' 정도에 불과해지는 것 같아,
이건 관심을 가져주고 안 가져주고를 떠나 설명정도는 되어있어야 한다는 생각이 듭니다.
다만, '의심되는앱' 정도로 인식되는건 당연하다고도 봅니다.
자산을 다루는 영역이고 비슷한 사례들이 충분히 의심갈만큼 있어왔으니까요.
보통, 해킹 이슈들은
1.거래소를 해킹
(지갑에서 출금 또는 주문을 통해 시세조작)
혹은
2.거래소API를 사용하는 프로그램(웹사이트) 해킹
(보관되어있는 이용자들의 API키를 탈취해서 출금 or 시세조작)
아니면
3.거래소API를 사용하는 프로그램 자체가 악성코드 수준의 스캠
(서비스를 이용하려고 기입한 API키를 모아서 출금 or 시세조작)
등이 있습니다.
본 앱의 경우에는 1에는 전혀 해당이 안 되고
프로그램이니 2,3은 해당되지않을까 의심해볼 수 있습니다.
2번 '앱이 해킹 당한다'
일단 해커가 앱을 턴다고하면 우선 서버를 해킹하는건데
힘들게 코인트리거의 서버 해킹에 성공하면 앱버전, 광고아이디 등을 손에 넣을 수 있습니다.
이용자의 정보(API key, 하다못해 전화번호라도)가 없는만큼 해킹은 의미가 없다는 뜻입니다.
따라서 앱을 사용한다고 해서 누군가의 타겟이 되는 일 역시 없습니다.
개발자도 누가 깔았는지 사용하는지조차 파악할 길이 없죠
심지어는 서버가 해킹 당했다고 가정하더라도 마찬가지입니다. 앱 이용에도 문제가 없습니다.
서버가 하는 일은 그저 설치카운트, 공지내용, 업데이트 알림, 광고/상품아이디 가져오기가 전부며 부가적인 부분입니다.
3번 '앱이 악성코드나 스캠이다'
우선 본 앱의 소스코드는 난독화되어있지않아 디컴파일해보면 다 나옵니다.
https://api.upbit.com/v1/withdraws/coin
https://api.upbit.com/v1/withdraws/krw
https://api.upbit.com/v1/orders
차례대로 코인출금,원화출금,주문하기
api입니다. 난독화되어있지 않은데 저 문자가 검색되지 않는다면
사용하지 않는겁니다.
출금은 사용않고 주문하기는 이용자가 설정한 주문,
그외엔 일체 사용하는 구문도 없을 뿐더러
앱이 백그라운드에서 이용자 모르게 하는 일은 시세를 확인하는 것 뿐입니다.
(예약거래의 조건을 가격으로 사용할 때)
개인정보나 key값, 주문관련 정보 역시 1건도 서버에 전송하지 않습니다.
key값은 앱내에서만 보관됩니다.
소스를 보면 그마저도 AES-256으로 암호화하는걸 알 수 있습니다.
암호화시 사용하는 대칭키는 코드상에서만 추출되는값이라 역시 노출될 일이 없습니다.
해커 뿐만 아니라 앱의 개발자도 이용자의 API key의 본 값을 알아낼 수 없습니다.
요약하자면
-서버에 이용자의 정보가 없으므로 해킹의 대상이 아니고 해킹해도 의미x
-소스코드 확인이 가능하고(업비트 api사용주문은 유저설정한 부분만 존재)
-API호출시 사용되는 유저의 key값은 해커나 개발자도 알 수 없으며
-그냥 개인적으로 깔아서 사용하는 유틸리티정도일 뿐이라는 것 입니다.
이상입니다.
앱이 유용하고 안 하고를 떠나..
앱 소개시 '자칫 코인 털릴 수 있는 그런것'이라는 인식보다는
'업비트의 공식API를 사용하는 앱' 정도만이라도 전환이 되었으면 하는 바램입니다.
감사합니다!
-------------------------------------
꼬리말
* 게시글 내용 삭제시 레벨 강등
* 질문은 각 주제별 게시판에.
비트코인 암호화화폐 커뮤니티 땡글~ 땡글~
-------------------------------------
대신 계속거래해주는건아니겠지만 예약시점부터 한번거래하는거죠