바로 핸드폰에 있다고 봅니다. 국내 거래소는 핸드폰이 필수더군요. 핸드폰 없는 사람들은 가입도 못합니다. 공공아이핀, 공인인증서, 신용카드 등등으로 본인 확인이 가능함에도 불구하고 핸드폰만 고집합니다. 도무지 이해가 안되더군요.
핸드폰은 가장 해킹에 취약한 물건입니다. 잘 알려졌다시피 핸드폰 자체는 복제까지도 당합니다. 해커들의 입장에서는 사람들이 들고다니는 핸드폰은 투명한 비닐봉투에 불과합니다.
핸드폰으로 홈피가입/인증/로그인/활동/웹서핑/메일 등등 거의 pc 수준으로 활용을 합니다. 그러면서도 보안은 말짱 꽝입니다. 핸드폰에 백신/방화벽 설치한 유저들이 몇명이나 될까요. 그런 핸드폰으로 거래활동하는 것은 잡아잡수 하는 거나 마찬가지입니다.
사진 붙어 있는 신분증 사진들고 사진찍어 보내라는 것 또한 엄청나게 위험한 방법입니다. 이번에 빗썸사태에서 빗썸은 해킹의 원인을 직원의 실수로 돌리고 있습니다. 회사 직원이 눈으로보고 유저들 신분을 확인한다는 것은 아주 위험하다는 것입니다. 그것도 통제되어 작동하는 시스템을 통한 방법이 아니고 이메일로 신분증 사진을 받는다는 것 자체가 잘못된 것입니다. 어떤 직원이 언제 유저들의 개인 신분증을 멋대로 유용할 수 있는지도 모르는 일이고요. 이것은 마치 비밀번호 바꾸고 싶으면 메일로 보내라 내가 입력해주마 라고 하는 것과 다르지 않습니다.
개인인증은 내부직원들도 함부로 손댈 수 없도록 시스템화 해야 하는 것입니다. 외국애들이 그런 무식한 방법으로 인증을 한다고 그걸 따라하는 것은 정말 생각이 없는 짓입니다.
결론은
유저들은 중요한 금융활동에 관해서는 일반용도의 핸드폰 사용을 하지 않는 것이고
거래소는 개인인증에 대해 더 안전하고 편리한 방법을 강구해야 한다는 것입니다.
sms 인증을 제외한 나머지 두가지는 웹거래방식에 굉장히 안 좋습니다.
엄청나게 프로그램 깔아야되고요.
휴대폰의 SMS를 인증수단으로 사용하는것 자체는 사실 보안적으로 크게 문제가 안된다고 봅니다.
(신용카드 간편결제의 기본적 토대도 SMS 인증코드로 하고 있으니까요. 해보셨으면 아실겁니다.)
대부분 휴대폰를 복제해서 인증코드를 알아내는게 아니라 해당 번호로 전화를 걸어 고객센터를 사칭해서 코드를 알아내는거죠.
보이스피싱의 형태를 띄고 있습니다.
냅다 불러주면 안되는데도요.
(잘 생각해보시면, 휴대폰 복제해서 SMS 코드 하이재킹이 간단하면 보이스피싱이 거의 없을겁니다 ㅎ)
제가 다른글에도 썼지만,
가장 좋은 방법은 현재 이메일로 가입하게 되는 거래소 가입방법이 아주 많은 편이고
해당 이메일 비밀번호와 거래소 비밀번호를 분리하는 것 (비슷한 형태가 아닌 완전 분리) 그리고 거래소 전용 휴대폰을 하나 만드는 것입니다.
그리고 어설픈 보이스피싱에 당하지 않도록 재차 확인하는 마인드도 필요할 것이고요.