자산 보호로 위험 방지 | 웹 3.0 자산 보안 가이드라인 2025

저자: CertiK 중국 커뮤니티

2024년은 웹 3.0 세계에 새로운 기회의 물결을 불러왔지만 잠재된 위기 또한 많았습니다. CertiK가 새로 발표한 'Hack3d: 2024 연례 보안 보고서'의 데이터에 따르면, 한 해 동안 총 760건의 보안 사고가 발생한 것으로 나타났습니다. CertiK의 최신 Hack3d: 2024 연례 보안 보고서의 데이터에 따르면 한 해 동안 760건의 온체인 보안 사고가 발생하여 총 23억 6천만 달러의 손실이 발생한 것으로 나타났습니다. 그 중 피싱 공격으로 인한 손실이 전년 대비 31% 증가하며 절반 가까이 차지해 사용자 자산의 보안에 영향을 미치는 가장 큰 위협 중 하나가 되었습니다.

이러한 상황에서 피싱 공격에 효과적으로 대처하는 방법은 모든 웹 3.0 사용자와 프로젝트가 주목해야 할 문제가 되었습니다. 이 글에서는 피싱 공격을 예방하고, 핵심 보호 전략을 숙지하고, 디지털 자산에 대한 강력한 보안 장벽을 구축하는 방법에 대해 설명합니다.

피싱 공격 주의: 식별 및 예방

피싱 공격은 점점 더 정교해지고 있으며 더 이상 의심스러운 이메일에만 국한되지 않습니다. 오늘날 해커들은 웹 3.0 사용자를 속이고 디지털 자산을 훔치기 위해 다양한 전술을 사용합니다. 다음은 몇 가지 일반적인 공격입니다.

• 스피어 피싱: 고도로 표적화된 공격입니다! . 공격자는 신뢰할 수 있는 개인이나 단체로 가장하여 사용자가 정교한 사기를 통해 민감한 정보를 유출하거나 접근 권한을 승인하도록 유도하여 디지털 자산을 훔칩니다. 이 공격은 고도로 맞춤화되고 신뢰할 수 있는 변장을 통해 피해자의 신뢰를 얻는 등 매우 기만적인 경우가 많습니다.

• 탈중앙화 애플리케이션 피싱(DApp 피싱): 공격자는 가짜 탈중앙화 앱(DApp)을 만들어 사용자를 속여 지갑에 연결하도록 유도합니다. 사용자가 승인을 하면 공격자는 액세스 권한을 얻어 도난을 완료할 수 있습니다. 이 공격은 탈중앙화 앱에 대한 사용자의 신뢰와 새로운 기술에 익숙하지 않은 점을 이용합니다.

• 소셜 미디어 계정 침입: 웹 3.0 공간에서 KOL 또는 프로젝트 조직의 소셜 미디어 계정이 해킹당할 수 있습니다. 해커는 이러한 계정을 사용하여 허위 정보를 게시하고 사기, 피싱 링크 또는 가짜 경품을 홍보하여 팔로워를 속입니다. 이러한 계정은 일반적으로 팔로워 수가 많기 때문에 이러한 공격은 널리 확산되어 사용자 자산과 브랜드 평판에 심각한 피해를 입힐 수 있습니다.

피싱 공격을 효과적으로 방지하기 위해 사용자는 항상 경각심을 갖고 다음과 같은 조치를 취해야 합니다.

• URL의 진위 확인 및 스마트 컨트랙트 진위 확인: 거래를 하기 전에 Etherscan[1], Bscscan[2] 또는 Solscan[3]과 같은 블록체인 브라우저 플랫폼을 사용하여 주소의 적법성을 확인해야 합니다. 가짜 주소로 인해 자산이 해커의 통제하에 들어갈 수 있으므로 이 단계는 매우 중요합니다.

• 거래 승인 시 주의: 본인이 직접 시작하지 않은 거래는 절대 승인하거나 승인해서는 안 됩니다. 거래를 승인하기 전에 정보의 정확성을 다시 한 번 확인하여 발신 주소와 수신 주소가 모두 신뢰할 수 있는지 확인하세요. 이 단계는 해커가 사기성 거래 승인을 통해 자산을 훔치는 것을 효과적으로 방지합니다.

• 의심스러운 권한 취소: 부여된 권한에 문제가 있는 경우, 사용자는 revoke.cash[4] 등의 도구를 사용하여 디앱에 부여된 권한을 취소할 수 있습니다. 불필요한 권한을 적시에 취소하면 잠재적인 보안 위험을 줄일 수 있습니다.

• 의심스러운 링크 주의: 비공개 메시지로 전송된 링크는 절대 클릭하지 마세요. 해커는 가짜 인터페이스와 사기성 URL을 사용하여 사용자를 속이는 경우가 많습니다. 안전하지 않거나 의심스러운 URL, 가짜 SSL 인증서, 출처를 알 수 없는 링크는 항상 확인하여 해커가 설정한 함정에 빠지지 않도록 하세요.

콜드 월렛 사용: 디지털 자산의 격리된 보호

콜드 월렛은 개인 키를 완전히 격리하고 안전하게 보관하는 오프라인 지갑입니다. 사용자가 개인 키를 노출하지 않고 거래에 서명할 수 있는 전용 물리적 장치입니다. 핫월렛과 달리 콜드월렛은 원격 공격자가 언제든 접근할 수 없으므로 공격받을 위험을 효과적으로 줄일 수 있습니다. 이러한 콜드월렛의 특징은 장기 보관이 필요하거나 자주 사용하지 않는 자산을 보존하는 데 이상적입니다. 사용자가 온라인 제3자에 의존하지 않아도 되므로 디지털 자산의 보안을 크게 향상시킬 수 있습니다.

그러나 콜드월렛이 완벽한 보안을 제공하는 것은 아닙니다. 디지털 화폐의 보안에는 여러 계층의 보호가 필요합니다. 예를 들어 사용자는 다중 서명 인증 또는 이중 인증(2FA)을 추가하여 지갑 보안을 더욱 강화할 수 있습니다. 이러한 조치를 통해 사용자는 다양한 잠재적 위협에 효과적으로 대응할 수 있는 강력한 보안 방어 체계를 구축할 수 있습니다.

소셜 미디어 보안: 사기를 가장한 사기 주의

소셜 미디어 플랫폼에서 해커는 종종 잘 알려진 인물로 위장하거나 가짜 계정을 생성하여 사용자를 표적으로 삼습니다. 사기를 저지릅니다. 가장 흔한 사기로는 일정 금액을 지불하면 높은 보상을 약속하는 가짜 '경품' 캠페인이 있습니다. 다른 수법으로는 비공개 메시지 전송, 피싱 링크 또는 거짓 협력 약속 등이 있습니다. 사기범들은 피해자가 충분히 생각하지 않고 함정에 빠지도록 긴박감을 이용해 강제로 행동을 취하도록 유도하는 경우가 많습니다.

또한, 사용자들은 텔레그램이나 디스코드 같은 플랫폼에 등장하는 사기성 토론 그룹을 주의해야 합니다. 이러한 그룹은 허위 정보를 퍼뜨리거나 공식 웹 3.0 프로젝트 채널을 모방한 피싱 링크를 공유할 수 있습니다. 이러한 위험으로부터 보호하기 위해 CertiK는 사용자에게 다음 조치를 취할 것을 권장합니다.

개인 메시지 비활성화: 대규모 공유 그룹 구성원의 개인 메시지를 비활성화하고 원치 않는 상호작용에 주의를 기울이는 것이 좋습니다. 이렇게 하면 사기꾼이 직접 연락할 가능성을 효과적으로 줄일 수 있습니다.

공식 채널 팔로우하기: 프로젝트에 대한 정보를 추적할 때는 확인된 공식 계정만 팔로우하고 공식 웹사이트에서 직접 발표하는 공지를 우선적으로 확인하세요. 이렇게 하면 잘못된 정보에 현혹되는 것을 효과적으로 방지할 수 있습니다.

개인정보 보호: 지갑 관련 스크린샷이나 개인 정보를 소셜 미디어에 공유하지 마세요. 이러한 정보는 사기범이 피싱 공격에 사용할 수 있으며 사용자의 신변 안전에 위협이 될 수도 있습니다.

보안 지식: 자기 보호 향상

보안 지식은 웹 3.0 세상에서 디지털 자산을 보호하는 핵심 중 하나이며, CertiKSkynet[5]은 사용자가 다음과 같이 할 수 있도록 도와줍니다. 스카이넷에 요약된 핵심 사항과 상세한 감사 보고서를 통해 프로젝트의 신뢰성을 이해하고 프로젝트 코드의 위험을 확인할 수 있습니다.

반면 스카이넷 퀘스트는 사용자가 대화형 학습을 통해 개인 키 보호, 안전한 거래소 선택, 디지털 화폐 탈취 도구(크립토 드레인) 식별 등 웹 3.0 보안의 핵심 지식을 습득할 수 있도록 도와줍니다. 이러한 도구와 리소스를 통해 사용자는 보안 인식을 개선하고 다양한 위험에 더 잘 대비할 수 있습니다.

또한 사용자는 새로운 사기에 대해 지속적으로 학습하고 인지해야 합니다. 사용자는 최신 이벤트 알림 및 보안 통계를 최신 상태로 유지하려면 @certikalert on X[6]를 팔로우하고 CertiK 공식 웹사이트[7]에 게시된 최신 보안 이벤트 분석을 읽을 수 있습니다. 사용자는 지속적으로 지식을 학습하고 업데이트함으로써 끊임없이 변화하는 사이버 보안 위협에 더 잘 대응하고 디지털 자산을 안전하게 보호할 수 있습니다.