저도 네이버 비번을 털린 적이 있는 상태라서 잘 났다고 할 수는 없지만 짱구를 굴려서 해커입장에서의 암호화 화폐 거래시 주의할 점을 써보겠습니다.
인터넷을 써온 게 20년이 넘었고 가입했던 웹사이트가 300개가 넘는 것 같습니다. 20년동안 이름을 알만한 대기업들 조차 고객정보를 탈탈 털려온 게 사실이죠. 중국에서 한국 고객 정보를 껀당 몇 십원에 살 수 있다고 보도 된 게 여러 해 되었으니 아마도 지금 쯤은 공짜로도 고객 정보를 얻을 수 있을 지도 모르겠습니다. 일단 웹사이트에 있는 고객정보 데이터베이스가 털린 것은 쉽게 비유하자면 고객이 입력한 모든 정보가 기록된 노트를 털린 것에 비유해 볼 수 있겠습니다. 아마도 100개 이상의 사이트가 털렸을 거고 해커들은 시장에서 대부분의 고객 정보를 구매할 수 있을 것으로 예상됩니다.
아마도 요즘 같으면 비트코인을 가지고 살 수 있겠죠?
일단 해커가 어떻게 고객 정보를 정리해서 활용할 지 상상해 보겠습니다.
MS 오피스의 엑셀 같은 걸로 고객 정보를 정리하겠죠. 자동화된 소프트웨어를 사용한다면 100여개 사이트에 나온 정보를 정리하는 것도 간단할 것입니다.
첫번째 필드에 email 주소가 올 것입니다. 두번째 필드에는 ID들이 나올 거고 세 번째 필드에는 패스워드들이 나올 것입니다.그 다음 전화번호등이 나오겠죠.
이제 해커는 암호화 화폐 거래소 고객을 타겟으로 삼을 것입니다.
고객의 e-mail주소를 알면 엑셀에서 검색해서 ID의 후보를 알 수 있고 패스워드도 정리된 목록에서 골라볼 수 있겠죠.
e-mail 주소를 해커가 안다면 전화번호를 아는 것도 당연합니다.
이제 해커는 수작업에 들어갑니다.
먼저 암호화 화폐 소유자의 e-mail주소를 알고 싶겠죠. 방법은 간단합니다. 암화화폐 관련 동호회나 인터넷 카페에서 얻을 수 있겠죠.
포탈의 카페 같으면 카페에 가입하고 인사말을 입력하는 것으로 e-mail 주소는 넘어갑니다. 그러면 이 이메일 주소를 정리된 고객 정보 목록에서 찾아보면
자주 쓰는 아이디와 패스워드가 나오겠죠. 그러면 최소한 거래소에 로그인은 시도해 볼 수 있습니다.
해커가 코인을 인출해 가는 과정은 로그인과 패스워드 입력의 반복이 될 것입니다.
OTP는 선택이 아니라 필수라고 봅니다. 그리고 OTP가 완벽한 보안이 될 수 없다는 기사를 오래전에 읽은 적이 있네요.
국제적인 해커집단이라면 발신자 번호표시를 바꿔치기하거나 전화의 출처를 속이는 것도 가능할 것입니다.
이제까지 가상으로 해커가 코인을 빼가는 과정을 생각해 봤습니다.
제가 네이버 패스워드를 털릴 때는 출처가 불분명한 스타크래프트1의 패치에 의해 털렸던 거고
네이버 e-mail주소와 패스워드를 가지고 스타 ID를 만든 게 문제였습니다.
지금은 모든 웹사이트마다 패스워드를 달리해서 쓰고 있기 때문에 패스워드를 대입하는 방식으로 털릴 일은 없네요.
이제 주의 사항을 정리하자면 다음과 같습니다.
1. e-mail 주소를 해커가 알면 다털리므로 포탈에 게시물을 올리지 않는다. 이미 게시물을 올렸다면 거래소의 ID와 email주소는 기존의 웹사이트에서 한번도 사용하지 않은 것으로 설정한다.
2. 특히 암호화폐 관련 커뮤니티에서 e-mail 주소를 알게 할 수 있는 활동을 하지 않는다.
3. 암호화 화폐 소유자임을 밝히는 것을 막기 위해 누군가 공짜로 비트코인을 준데도 지갑주소를 적지 않는다.
4. 모든 웹사이트 패스워드는 다르게 설정한다.
5. 거래소도 다 털릴 수 있다고 가정하고 거래소의 보안 능력을 점검해 본다.
-예) OTP를 설정하지 않으면 아예 코인 거래를 할 수가 없다.: 양호
-예) 거래소 로그인에 사용한 기기의 종류(웹브라우져의 종류)와 IP어드레스를 등록하는 시스템을 갖추었다. : 양호
-예) 패스워드를 바꿀 때 조차 스마트폰으로 전달된 4자리 코드를 입력해야 하는 거래소다. : 양호
-예) 거래소에 전화를 걸때나 거래소에서 전화를 받을 때 본인 확인하는 시스템이 있다.: 양호
더 생각나는 게 없네요.~ 이 글에 대해 댓글 환영합니다.
-------------------------------------
꼬리말
* 게시글 내용 삭제시 레벨 강등
* 질문은 각 주제별 게시판에.
비트코인 암호화화폐 커뮤니티 땡글~ 땡글~
-------------------------------------
좋은 방법은... 매번 이메일을 새로 만들고, 오프라인에 메모해놓는 것입니다.
2. 특히 암호화폐 관련 커뮤니티에서 e-mail 주소를 알게 할 수 있는 활동을 하지 않는다.
맞습니다... 이메일 / 트랜젝션 주소 / 마이닝풀 ID 공개되면 좋지 않습니다.
3. 암호화 화폐 소유자임을 밝히는 것을 막기 위해 누군가 공짜로 비트코인을 준데도 지갑주소를 적지 않는다.
사실 수신 지갑 자체는 크게 중요하지 않습니다만... Private Key는 절대로 털리면 안됩니다.
4. 모든 웹사이트 패스워드는 다르게 설정한다.
기본이죠. 팁으로 사이트별로 비슷한 규칙을 적용하면 외우기 쉽습니다.
5. 거래소도 다 털릴 수 있다고 가정하고 거래소의 보안 능력을 점검해 본다.
그렇긴 하지만, 거래소는 보상을 해주는 경우도 종종 있습니다. Full Node 지갑 쓸 것이 아니라면, 차라리 국내 거래소 지갑이 안전할 수도 있습니다.
-예) OTP를 설정하지 않으면 아예 코인 거래를 할 수가 없다.: 양호
-예) 거래소 로그인에 사용한 기기의 종류(웹브라우져의 종류)와 IP어드레스를 등록하는 시스템을 갖추었다. : 양호
-예) 패스워드를 바꿀 때 조차 스마트폰으로 전달된 4자리 코드를 입력해야 하는 거래소다. : 양호
-예) 거래소에 전화를 걸때나 거래소에서 전화를 받을 때 본인 확인하는 시스템이 있다.: 양호
+++++OTP 용 저렴한 스마트폰 공기계를 가지고 다니시는 것을 추천합니다.(OTP는 인터넷 연결이 필요없고, 인터넷 연결이 끊겨있는 것이 더 안전합니다.)
추천드리고갑니다 ㅎㅎ