안전한 암호화폐 거래를 위한 보안팁

최근 암호화폐(비트코인, 이더리움 등)가격이 상승하면서 이와 관련된 해킹 사고가 발생하고 있습니다.

심지어는 국내 비트코인 거래소가 해킹되어 55억 상당 손실이 발생하기도 하였습니다.

※ 관련기사
비트코인 거래소 '야피존' 해킹 당해… 55억 탈취
http://news.mt.co.kr/mtview.php?no=2017042618272699047&outlink=1&ref=https%3A%2F%2Fsearch.naver.com

이와 관련되어 안전한 암호화폐 거래를 위한 방법을 알아보도록 하겠습니다.

◎ 거래소 해킹 또는 파산 대비

가장 이상적인 방법은 거래소에서 구입한 비트코인, 이더리움을 개인지갑으로 옮겨 보관하는 방법입니다. 이더리움의 경우, 미스트나 MyEtherWallet으로 옮겨 보관할 수 있습니다.
이 경우, 개인 PC에 악성프로그램이 설치될 경우 키로그 등을 통해 Private key의 비밀번호가 외부로 유추될 수 있습니다.
다만, 개인지갑으로 옮겨 보관하게 된다면 거래소가 파산하거나 해킹을 당해도 피해를 입지는 않을 것입니다.

◎ 개인 PC 해킹 대비

암호화폐 거래 외에도 악성프로그램 위험성은 언제나 노출되어 있습니다. 각 종 커뮤니티 웹사이트가 해킹될 경우 위 웹사이트에 접속하는 행위만으로도 악성프로그램에 감염될 수 있습니다. 개인 PC 해킹에 대비해서는 아래 보안 수칙을 철저히 지켜야 할 필요가 있습니다.

A) 윈도우 보안 업데이트
제어판에서 "업데이트 자동 설치"로 설정하여 항상 최신 버전의 업데이트를 유지해야 합니다. 악성프로그램은 윈도우 보안 취약점을 통해 감염되는 경우가 가장 많습니다.

B) 각종 응용프로그램 업데이트
우리가 흔히 사용하는 Adobe, Flash player 등의 취약점을 통해서도 악성프로그램에 감염될 수 있습니다. 특히, Flash player는 국내 포털 사이트 접속 시 광고에 사용하고 있기 때문에 반드시 최신 버전을 유지해야 합니다. 최근 위 취약점을 이용하여 랜섬웨어에 감염된 사례가 있었습니다.

C) 안티바이러스 프로그램 설치
안티바이러스 프로그램 설치는 권장이 아닌 필수입니다.
국내 여타 안티바이러스 프로그램이 있지만, 성능 테스트 결과 2가지의 프로그램을 추천합니다.

첫번째는 Avast 입니다. 무료 버전을 아래 URL에서 제공하고 있습니다.
http://www.avastkorea.com/home-user/free.asp

두번째는 러시아에서 제작된 카스퍼스키(KASPERSKY) 입니다.
http://www.kaspersky.co.kr/home-security/
현재 프로모션 기간으로 1년 기기 38,500원에서 23,100원에 구입할 수 있습니다.
일단 30일간 무료로 사용 기간을 제공하기 때문에 한 달 사용 후, 등록하여 사용할 수 있습니다.

그동안 Avast를 무료로 이용하면서 위 2개 제품 모두 사용해 본 결과 주관적인 입장에서 카스퍼스키 성능이 더 월등하였습니다. 먼저, 웹사이트에서 비밀번호 입력 시 카스퍼스키에서 자동으로 키로그 보안 기능이 작동합니다. 피싱 또는 악성프로그램 유포 사이트 접속 시 자동으로 접속을 차단하며, 이 경우 다른 안티바이러스 프로그램에서는 탐지 되지 않은 적도 있었습니다. 세번째, 악성프로그램을 다수 테스트하는 입장에서 탐지율이 여타 안티바이러스 프로그램보다 월등하였습니다. 또한 이용자 PC에 설치된 응용프로그램 버전을 체크하여 최신버전으로 업데이트 하는 기능이 있습니다. 마지막으로 온라인 광고 차단 기능이 있습니다. 온라인 광고 배너 서버가 해킹당해 최근 랜섬웨어에 감염된 사건이 발생하였는데, 이 경우 효과적인 대응방법이 될 수 있습니다.

D) 안티 랜섬웨어 프로그램 설치
최근 랜섬웨어 사건 발생이 증가하고 있습니다. 이에 대비하기 위한 방법으로 안티 랜섬웨어 프로그램 설치가 필요합니다. 대표적으로 국내 CHECKMAL에서 무료로 제공하는 AppCheck 프로그램이 있습니다.
https://www.checkmal.com/

E) OTP 프로그램 설치
이용자들은 대부분 다수 웹사이트의 아이디와 비밀번호를 동일하게 사용하고 있습니다. 이로 인해서 특정 사이트 비밀번호가 유출될 경우, 다수 웹사이트 침입이 가능합니다. 이 경우 국내 주요 포털 사이트에서 제공하는 OTP를 이용하게 되면 비밀번호가 유출되어도 해킹 침입에 대비할 수 있습니다. 국내 주요 거래소인 코인원, 빗썸, 코빗모두 OTP 기능을 제공합니다.

안드로이드 스마트폰 이용자의 경우 Google otp 앱을 설치하여 이용할 수 있으며, 네이버포털사이트의 경우 별도 네이버앱을 설치 한 후, 네이버 앱에서 OTP를 제공합니다. 다음의 경우 OTP를 설정할 경우, 로그인 시 휴대폰 문자메세지로 특정 번호를 제공하기 때문에 위 번호를 입력해야 로그인이 가능합니다.

물론, 안드로이드 이용자의 경우 안드로이드 대상으로 제작된 악성코드의 감염될 경우, OTP가 유출될 수 있습니다. 따라서, 스마트폰에도 반드시 안티바이러스 프로그램(Avast, KASPERSKY 등)을 설치해야 합니다. 추가로 Password AppLock 앱을 설치한 후, 구글 OTP앱에 LOCK을 설정할 경우 구글 OTP를 확인하기 위해서는 추가로 비밀번호를 입력해야 하기 때문에 2중 보안이 될 수 있습니다.

위 방법이 귀찮거나 어려울 경우, 아이폰 사용을 권장합니다.

F) 하드웨어 지갑 Ledger Nano S 이용
Ledger Nano S는 USB 형태의 보안지갑으로 위 지갑내 비트코인, 이더리움 등 암호화폐를 보관할 수 있으며, 암호화폐 전송 시 위 Ledger Nano에서 물리적으로 버튼을 눌러야 하기 때문에 보안에 안전합니다.
하지만, 메모리 해킹 수법의 경우 해커들을 메모리내에서 상대방의 비트코인 또는 이더리움 주소를 변경할 수 있습니다. 따라서, 위 기기가 있다고 안티바이러스 프로그램 설치를 소홀히 하지 말아야 합니다. 최근에도 인터넷 뱅킹 해킹 사고에 메모리 해킹에 노출되어 상대방 계좌가 변경되어 이체되는 사고도 있었습니다.
구입은 공식사이트(https://www.ledgerwallet.com/products)에서 가장 최저가로 구입할 수 있습니다.

G) 거래 전용 PC 구입
가장 안전한 보안은 거래소에서 구입한 암호화폐를 마이이더월렛으로 이동 후, 종이지갑을 만든 후 해당 마이이더월렛을 삭제하는 경우 입니다. 하지만 아무리 장기 투자를 한다고 하여도 관련 Token을 구입할 수도 있고 일부를 거래소로 옮겨 판매 할 수도 있습니다.
따라서, 가장 좋은 방법은 암호화폐 거래만을 위한 전용 PC를 구입하는 것입니다. 가정에 중고 컴퓨터가 있을 경우, 윈도우와 안티바이러스 프로그램만 설치한 상태에서 거래소 접속만을 하는 것입니다. 2017. 5. 21. 다나와에서 확인해보니 "포유디지탈 iMUZ 스톰북 11"은 159,000원에 구입할 수 있습니다. 단순 최저가로 확인한 제품입니다. 다만 하드디스크가 없으며 저장 공간이32GB입니다. 물론 거래만을 위해서는 32GB가 부족하지는 않습니다. 중요한 것은 위 가격에 윈도우10 정품이 탑재되어 있다는 것입니다. 윈도우 정품을 사용하지 않을 경우 윈도우 업데이트가 불가할 수 있으며, 인터넷에 있는 윈도우 정품 패치 프로그램의 경우 악성코드가 함께 설치될 수 있는 위험성이 있기 때문에 윈도우와 백신프로그램은 정품 사용을 권장합니다.

◎ 결론
앞으로 암호화폐 시장이 더욱 활발해지고 이용자가 증가할수록, 비트코인, 이더리움을 노리는 범죄가 기승할 것으로 예상되며, 특히 맞춤형 악성코드가 제작될 것입니다. 악성코드는 이용자 PC에서 가상화폐 거래소에 접속하는지 모니터링하게 되며, 모니터링 후 이용자가 입력하는 아이디, 비밀번호를 키로깅 기능으로 외부로 유출할 것입니다. OTP가 설정되어 있다고 하더라도 메모리 해킹을 하여 암호화폐를 수신하는 주소를 변경하거나, 이용자의 안드로이드 스마트폰에 악성프록그램을 유포하여 OTP 정보를 가로챌 수도 있습니다.

비트코인, 이더리움 모두 블럭체인 기반의 암호화폐이기 때문에 거래내역은 투명하게 공개되지만 다른 화폐 등으로 중간에 믹싱을 할 경우 추적이 불가하며, 몇 년 동안 개인지갑에 보관 하다가 수년 후, 거래소로 전송하여 출금할 경우에도 추적이 불가합니다. 컴퓨터 보안은 아무리 강조해도 지나침이 없습니다. 부디 해킹 없는 안전한 거래를 기원합니다.