11년 전 비밀번호를 복구한 연구원을 고려할 때 암호화폐 지갑은 안전하다고 볼 수 있을까요?

수백만 달러의 비트코인이 잠겨 있습니다

유럽의 암호화폐 소유자인 마이클은 2년 전 곤경에 처했습니다. 2013년에 당시 약 4,000유로(약 5,300달러)에 해당하는 43.6 BTC를 비밀번호로 보호되는 디지털 지갑에 보관하고 있었습니다.

2022년 조 그랜드에게 도움을 요청했을 때는 비트코인 가치가 무려 200만 달러로 치솟아 있었습니다.

문제는?

마이클은 지갑 비밀번호를 잊어버렸습니다. 그는 비밀번호 관리 프로그램인 RoboForm을 사용하여 강력한 20자 비밀번호를 생성했습니다.

그러나 그는 실수로 비밀번호를 RoboForm 내에 저장하는 대신 TrueCrypt라는 별도의 도구로 암호화했습니다. 안타깝게도 이 암호화 파일이 손상되어 마이클은 소중한 비트코인에 액세스할 수 없게 되었습니다.

하드웨어 해커에게 도움 요청하기

마이클의 어려움은 혼자가 아니었습니다. 많은 사람들이 비밀번호를 잊어버려서 암호화폐에 액세스하지 못하는 경우가 많습니다.

그는 분실된 디지털 자산 복구에 대한 전문 지식으로 유명한 하드웨어 해커인 조 그랜드에게 연락을 취했습니다.

하지만 그랜드는 처음에는 도움을 거절했습니다. 그의 전문 분야는 하드웨어 지갑을 해독하는 것이었고, 마이클의 상황은 소프트웨어 지갑과 관련된 것이었기 때문입니다. 수백만 개의 조합을 자동으로 시도하는 무차별 암호 대입 방식도 비현실적으로 보였습니다.

무작위성의 결함

이에 굴하지 않고 마이클은 2022년 6월에 다시 그랜드에게 접근했습니다. 이번에는 공동 작업자 브루노와 함께 다른 접근 방식을 취하기로 결정했습니다. 그들은 2013년에 사용된 RoboForm의 비밀번호 생성 프로세스에 잠재적인 취약점이 있다고 의심했습니다.

당시에는 프로그램이 진정한 난수가 아닌 결함이 있는 '의사 난수 생성기'에 의존했을 수 있습니다. 즉, 비밀번호가 생성된 날짜와 시간 및 RoboForm에서 사용하는 다른 매개변수를 알고 있다면 비밀번호를 예측할 수 있었습니다.

한 가지 문제가 있었습니다: 마이클은 비밀번호를 만든 정확한 날짜를 기억하지 못했습니다.

가능성 좁히기

제한된 정보로 작업하면서 그랜드와 브루노는 몇 가지 교육적인 추측을 했습니다. 그들은 마이클의 첫 비트코인 거래가 2013년 4월 14일에 발생했다는 것을 알고 있었습니다.

이를 바탕으로 2013년 3월 1일부터 4월 20일까지의 기간 동안 Michael이 사용했을 가능성이 있는 동일한 매개변수(문자 길이, 특수 문자 등)로 비밀번호를 생성하도록 RoboForm을 구성했습니다.

안타깝게도 이러한 시도 중 어느 것도 올바른 비밀번호를 얻지 못했습니다.

그들은 계속해서 검색 기간을 확대하고 그 시기에 생성된 다른 비밀번호에 대한 Michael의 기억을 바탕으로 매개변수를 조정하면서 검색을 세분화했습니다.

마이클은 정확한 세부 사항을 알지 못했고, 그랜드와 브루노는 정확한 비밀번호를 찾기 위해 더 많은 정보가 필요했기 때문에 양쪽 모두 실망스러운 과정이었죠.

행운의 스트로크와 재산을 되찾다

마침내 2022년 11월, 몇 달간의 검색 끝에 그랜드와 브루노는 금을 발견했습니다. 암호를 해독한 것입니다!

2013년 5월 15일 오후 4시 10분 40분(GMT)에 생성된 비밀번호에는 특별한 문자가 포함되어 있지 않았습니다. 운 좋게도 마이클은 오랫동안 잃어버렸던 비트코인에 다시 접근할 수 있었습니다.

마이클이 지갑을 되찾았을 때는 비트코인의 가치가 크게 상승한 후였습니다. 비트코인 한 개당 약 38,000달러의 가치가 있었습니다.

그랜드와 브루노가 열심히 일한 대가로 비트코인의 일부를 가져간 후, 마이클은 비트코인의 가치가 코인당 62,000달러로 올라갈 때까지 나머지를 보유하고 있다가 일부를 팔기로 결정했습니다.

현재 그는 30개의 비트코인을 보유하고 있으며, 이 글을 쓰는 시점에 200만 달러가 조금 넘는 가치를 지니고 있으며, 코인당 가치가 10만 달러로 더 높아질 것으로 예상하고 있습니다.

마이클은 과거에 비밀번호를 잃어버린 것이 행운이었다고 회상합니다. 비트코인의 가치가 코인당 4만 달러에 달했을 때 이를 팔지 못해 더 큰 수익을 놓칠 수도 있었기 때문입니다.

그러나 이는 또한 암호화폐 지갑에 내재된 안전 취약성을 반영하는 것이기도 합니다. 화이트 햇 해커가 능숙하게 계정에 액세스하고 계정을 복구할 수 있다면, 이와 비슷하거나 더 뛰어난 능력을 가진 악의적인 해커도 이러한 취약점을 쉽게 악용할 수 있다는 뜻입니다.

로그인 자격 증명을 훔치는 악성 Chrome 확장 프로그램

암호화폐 사용자들은 합법적인 'Aggr' 앱으로 위장한 가짜 Chrome 확장 프로그램과 관련된 사기 공격의 피해자가 되었습니다.

이 악성 소프트웨어는 사용자의 쿠키 데이터를 도용하여 특히 바이낸스 거래소에서 사용자의 계정을 손상시켰습니다. 이 사건은 적절한 조사 없이 확장 프로그램을 다운로드하는 것의 위험성을 강조합니다.

이 사기는 2024년 2월, 'doomxbt'라는 이름의 바이낸스 트레이더가 자신의 계정에서 7만 달러의 의심스러운 손실을 신고하면서 처음 알려졌습니다. 도난당한 자금은 처음에 암호화폐 거래소인 사이드시프트에 입금되었습니다.

소셜 미디어 영향력을 통한 속임수

조사 결과, 범인은 크롬 스토어에서 판매되는 가짜 Aggr 앱으로 밝혀졌습니다. 이 사칭 앱은 겉보기에는 가치 있는 거래 도구를 제공하지만 트로이 목마로 작동했습니다. 진짜 Aggr과 달리 악성 버전에는 의심하지 않는 사용자로부터 모든 웹사이트 쿠키를 훔치도록 설계된 코드가 포함되어 있었습니다.

해커는 이렇게 탈취한 데이터를 악용하여 비밀번호와 사용자 키를 재구성하고, 특히 바이낸스 계정을 대상으로 무단 액세스 및 도용을 시도했습니다.

실링으로 함정 퍼뜨리기

공격은 가짜 확장 프로그램 생성에만 국한되지 않았습니다. 공격자들은 다운로드를 촉진하기 위해 소셜 미디어 캠페인을 시작했습니다. '실링'으로 알려진 이 전략에는 인플루언서를 고용하여 긍정적인 입소문을 퍼뜨리는 것이 포함되었습니다.

이러한 인플루언서와 관련된 소셜 미디어 계정은 타임라인에 거래 전문 용어를 넘쳐나게 하여 가짜 Aggr을 꼭 필요한 도구로 포장했습니다. 이 전략은 의심하지 않는 사용자들이 악성 소프트웨어를 다운로드하도록 유도하여 금융 보안을 손상시켰을 가능성이 높습니다.

항상 직접 조사하기(DYOR)

인플루언서가 이 사기에 연루된 것은 그들의 실사에 대한 의문을 제기합니다. 이러한 프로모터들이 가짜 Aggr의 악의적인 특성을 알고 있었는지 아니면 단순히 소프트웨어를 보증하기 전에 소프트웨어 검증의 중요성을 무시했는지는 불분명합니다.

위의 알러 아우리에가의 X 게시물에서 언급했듯이,

실제 확장 프로그램은 단 하나뿐이며, 이 확장 프로그램은 GitHub에 있으며 검증되고 안전합니다.

이번 사건은 모든 사용자가 애플리케이션, 특히 브라우저 확장 프로그램을 다운로드하기 전에 직접 조사(DYOR)를 해야 한다는 사실을 일깨워주는 계기가 되었습니다. 소프트웨어의 적법성을 확인하는 것은 온라인 계정과 디지털 자산을 보호하는 데 매우 중요합니다.

암호화폐 지갑: 보안 분석

디지털 자산을 안전하게 보호하려면 보관할 수 있는 다양한 유형의 암호화폐 지갑을 이해하는 것이 중요합니다.

암호화폐 지갑에는 하드웨어 지갑, 소프트웨어 지갑, 종이 지갑의 세 가지 주요 유형이 있습니다. 각각 다양한 수준의 보안을 제공합니다.

콜드 월렛과 핫 월렛

• 콜드월렛 는 인터넷에 연결되지 않으므로 핫월렛보다 훨씬 더 안전합니다. 하드웨어 지갑은 가장 인기 있는 콜드월렛 유형입니다. 하드웨어 지갑은 USB 드라이브와 유사한 보안 장치에 개인 키를 저장합니다. 거래를 해야 할 때는 하드웨어 지갑을 컴퓨터에 연결할 수 있지만, 그 외에는 오프라인 상태로 유지되므로 해킹의 위험이 현저히 줄어듭니다.
• 핫월렛 는 항상 인터넷에 연결되어 있기 때문에 해킹에 더 취약합니다. 소프트웨어 지갑은 가장 일반적인 유형의 핫월렛입니다. 모바일 지갑, 브라우저 확장 지갑, 데스크톱 지갑 등 다양한 형태로 제공됩니다. 간편한 거래에는 편리하지만, 항상 온라인에 연결되어 있기 때문에 콜드월렛보다 보안성이 떨어집니다.

핫월렛의 유형과 보안 고려 사항

• 모바일 지갑 는 앱으로 다운로드되며 휴대폰의 다른 앱과 유사하게 작동합니다. 편리하지만 휴대폰이 손상될 경우 멀웨어 및 해킹에 취약할 수 있습니다.
• 브라우저 확장 지갑 는 웹 브라우저와 함께 작동하는 다운로드 가능한 확장 프로그램입니다. 암호화폐에 빠르게 액세스할 수 있지만 브라우저의 보안에 의존하기 때문에 해킹 위험이 높습니다.
• 데스크톱 지갑 은 모바일 지갑과 비슷하지만 컴퓨터에 저장됩니다. 일반적으로 모바일 지갑보다 덜 편리하지만 컴퓨터에 추가 보안 조치를 적용할 수 있으므로 보안이 약간 더 우수할 수 있습니다.

종이 지갑: 물리적 보호를 통한 보안

종이 지갑은 엄밀히 말해 지갑이 아니라 개인 키가 인쇄된 종이에 불과합니다. 제대로 보관하면 높은 보안성을 제공하지만, 이는 어려운 일이 될 수 있습니다. 종이는 물, 불 및 기타 요소에 의해 손상되기 쉽습니다. 또한 종이 지갑을 분실하면 암호화폐를 잃게 됩니다.

가장 안전한 암호화폐 지갑 선택하기

하드웨어 지갑은 전용 장치에 개인 키를 오프라인으로 저장하기 때문에 가장 안전한 유형의 암호화폐 지갑으로 간주됩니다.

하지만 완벽한 것은 아닙니다.

누군가 하드웨어 지갑과 비밀번호에 물리적으로 접근하면 암호화폐를 도난당할 수 있습니다. 강력한 보안 기능을 갖춘 평판이 좋은 하드웨어 지갑을 선택하고 PIN과 복구 문구를 비밀로 유지하는 것이 중요합니다.

암호화폐 지갑 보안에 대한 도전과 위협

암호화폐 지갑은 강력한 보안 기능을 제공하지만, 무적이지는 않습니다. 사용자는 디지털 자산을 효과적으로 보호하기 위해 잠재적인 위험을 인지하고 있어야 합니다:

• 사기 및 피싱: 피싱 시도는 암호화폐 업계에 만연해 있습니다. 악의적인 공격자는 합법적인 지갑 제공업체를 사칭하여 개인 키 또는 복구 문구를 훔칩니다. 사용자는 주의를 기울이고 지갑 웹사이트와 상호 작용하기 전에 해당 웹사이트의 합법성을 확인해야 합니다.
• 개인 키 또는 복구 문구 분실: 개인 키 또는 복구 문구를 잊어버리거나 분실하면 영구적인 금전적 손실이 발생할 수 있습니다. 백업은 안전하게 보관해야 하며 누구와도 공유해서는 안 됩니다.
• 하드웨어 오류: 하드웨어 지갑은 견고하지만 물리적 손상이나 오작동으로부터 자유롭지 않습니다. 사용자는 조심스럽게 다루고 복구 문구의 백업 복사본을 여러 개 보관해야 합니다.
• 규제 위험: 각국의 규제 변화는 암호화폐 지갑 사용에 영향을 미칠 수 있습니다. 사용자는 현지 규정 및 규정 준수 요건에 대한 최신 정보를 파악하는 것이 중요합니다.
• 타사 위험: 온라인 지갑이나 거래소를 사용할 때 사용자는 기본적으로 제3자 제공업체에 개인 키를 맡깁니다. 이러한 서비스 제공업체는 해킹이나 기타 보안 침해에 취약할 수 있습니다.

암호화폐 지갑 보안에서 사용자 책임의 중요성

암호화폐 업계에서 유명한 격언인 "열쇠가 아니라 코인을 보호하라"는 말은 보안에 대한 사용자의 책임을 강조합니다. 지갑 유형에 관계없이 사용자는 암호화폐 자산을 보호하는 데 중요한 역할을 합니다. 다음은 암호화폐 지갑 보안을 강화하기 위한 몇 가지 필수 수칙입니다:

• 평판이 좋은 제공업체 선택하기: 안정적이고 신뢰할 수 있는 업체에서 제공하는 지갑을 선택하세요. 지갑 서비스에 귀중품을 맡기기 전에 철저히 조사하고 리뷰를 읽어보세요.
• 개인 키 보호: 개인 키를 취급할 때는 각별한 주의를 기울이세요. 오프라인에 보관하고 다른 사람과 공유하지 마세요. 추가 보안을 위해 하드웨어 지갑 사용을 고려하세요.
• 보안 기능 활성화하기: 지갑이 2FA, 다중 서명 또는 암호화를 지원하는 경우 이를 활성화하여 보안을 강화하세요.
• 정기 소프트웨어 업데이트: 지갑 소프트웨어를 최신 상태로 유지하면 최신 보안 패치와 개선 사항의 혜택을 누릴 수 있습니다.
• 피싱 인식: 의심스러운 링크를 클릭하거나 온라인에서 개인 정보를 제공하지 않도록 주의하세요. 지갑 웹사이트와 상호 작용하기 전에 항상 해당 웹사이트의 합법성을 확인하세요.

암호화폐를 안전하게 보관하기 위한 추가 팁

다음은 암호화폐 자산의 보안을 개선하기 위해 취할 수 있는 몇 가지 추가 조치입니다:

• 공용 Wi-Fi 사용 자제 를 사용해야 합니다. 공용 Wi-Fi 네트워크는 종종 안전하지 않으며 해커의 침입을 받을 수 있습니다.
• VPN(가상 사설망) 사용 를 사용하여 인터넷 트래픽을 암호화하고 IP 주소를 숨길 수 있습니다. 이렇게 하면 로그인 정보를 도용하려는 해커로부터 사용자를 보호하는 데 도움이 됩니다.
• 투자를 다각화하세요. 모든 암호화폐를 하나의 지갑에 보관하지 마세요. 핫월렛과 콜드월렛을 함께 사용해 위험을 분산하는 것이 좋습니다.
• 개인 키의 안전한 백업을 보관하세요. 하드웨어 지갑을 분실하거나 PIN을 잊어버린 경우, 암호화폐를 복구하려면 개인키가 필요합니다. 하지만 개인 키를 안전하게 보관하고 다른 사람과 공유하지 않는 것이 중요합니다.

크루, 보안 우려로 암호화폐 거래 금지에 동참한 영국 챌린저 은행들 합류

영국의 디지털 은행인 Kroo는 온라인 사기와 사기의 증가를 주요 원인으로 꼽으며 암호화폐에 대해 강력한 입장을 취하고 있습니다. 2024년 5월 30일부터 시행되는 이 결정에 따라 Kroo 고객은 암호화폐 관련 거래에 자신의 계정을 사용할 수 없게 됩니다.

크루의 암호화폐 활동에 대한 제한 사항

크루의 업데이트된 이용약관에는 암호화폐 활동에 대한 무관용 정책이 명시되어 있습니다. 은행은 고객이 자신의 계좌를 사용하여 암호화폐와 관련된 자금을 구매, 판매 또는 수령하는 것을 감지하면 조치를 취합니다.

이러한 조치에는 거래 차단, 계정 동결 또는 암호화폐 활동을 지속적으로 시도하는 경우 영구 폐쇄까지 포함될 수 있습니다.

은행은 더 이상 암호화폐와 관련된 은행 송금이나 카드 결제를 처리하지 않을 것이라고 구체적으로 언급했습니다. 이는 고객이 암호화폐 거래에 크루 계정을 사용할 수 있는 모든 경로를 효과적으로 차단하는 것입니다.

영국 챌린저 은행의 트렌드 따라잡기

크루의 결정은 영국 챌린저 은행의 성장 추세와 일치합니다. 스탈링 은행과 체이스 영국과 같은 다른 기관들도 이미 유사한 암호화폐 거래 금지 조치를 시행하고 있습니다. 이들 은행은 기존 금융 대기업과 경쟁하기 위해 고객 기반을 보호하기 위한 보안 조치를 우선시하고 있습니다.

암호화폐 관련 사기에 대한 우려

암호화폐와 관련된 온라인 사기의 증가는 Kroo와 다른 은행의 주요 관심사입니다. 암호화폐의 익명성은 악의적인 의도를 가진 사람들을 끌어들일 수 있습니다. 사기꾼은 암호화폐 거래를 이용해 자금을 세탁하거나 의심하지 않는 피해자를 속일 수 있습니다.

러시아 중앙은행에 따르면 2023년 금융 사기 사건의 거의 절반이 암호화폐와 관련된 것으로 나타났습니다. 이는 기존 금융 기관이 규제되지 않은 암호화폐 시장을 다룰 때 직면할 수 있는 잠재적 위험을 강조합니다.

암호화폐에 대한 주의를 촉구하는 글로벌 은행들

크루의 결정은 글로벌 은행 업계의 광범위한 보안 우려를 반영한 것입니다. 미국과 같은 국가에서도 연방준비제도와 같은 당국은 은행이 암호화폐를 수용하는 것에 대해 유보적인 입장을 표명해 왔습니다.

암호화폐 및 중앙은행 디지털 화폐(CBDC)와 관련된 잠재적 사기 및 사기는 주요 관심 분야입니다.

암호화폐의 세계는 계속 진화하고 있지만, 크루와 같은 전통적인 은행은 암호화폐 거래와 관련된 위험으로부터 거리를 두며 보안에 우선순위를 두고 있습니다.

암호화폐는 보안 문제가 있는 위험한 투자일 수 있습니다. 주요 요점을 정리해 보았습니다:

암호화폐는 투자로서 안전한가요?

암호화폐는 변동성이 큰 투자 상품이므로 가격이 크게 변동할 수 있습니다. 기존 자산 클래스와 달리 암호화폐는 규제가 거의 없기 때문에 리스크가 커질 수 있습니다.

이러한 규제 부족은 암호화폐 거래소가 파산하거나 해킹을 당해도 돈을 돌려받을 수 있다는 보장이 없다는 것을 의미합니다.

암호화폐의 보안 위험

• 사기: 범죄자들이 가짜 앱, 지갑, 이메일을 이용해 개인 키를 도용하고 암호화폐에 접근하는 등 암호화폐 사기가 만연해 있습니다. 원치 않는 제안을 주의하고 새로운 암호화폐에 투자하기 전에 항상 조사해 보세요.
• 법적 보호가 제한적입니다: 기존의 직불카드 및 신용카드 구매와 달리 암호화폐 거래에 대한 법적 보호는 미비합니다. 사기로 인해 돈을 잃어버리면 돌려받을 수 있는 기회가 거의 없습니다.
• 되돌릴 수 없는 거래: 암호화폐 거래는 블록체인 기술로 인해 일반적으로 되돌릴 수 없습니다. 즉, 문제가 발생해도 환불을 받을 수 없습니다.

불확실한 시장에서의 투자 보호

전반적으로 암호화폐는 보안에 대한 우려가 있는 위험한 투자일 수 있습니다. 다른 사람들이 아무리 안전하다고 주장하더라도 완전히 안전한 것은 없습니다.

투자에 뛰어들기 전에 이러한 위험을 이해하고 투자를 보호하기 위한 조치를 취하는 것이 중요합니다. 디지털 자산의 보안은 사용자의 책임과 인식에 크게 좌우됩니다.

현재로서는 복잡한 네트워크 환경에서 잦은 작업을 피하기 위해 오프라인 하드웨어 콜드월렛을 선택하는 것이 바람직한 선택으로 여겨지고 있습니다. 하지만 전체 네트워크 생태계의 보안을 보장하기 위해서는 체계적인 노력이 필요합니다.

가장 안전한 방법은 도박을 자제하고 암호화폐를 보유하지 않는 것입니다.