들어가며: 가상화폐를 노린 공격 증가
가상화폐 계정을 탈취하기 위한 보안 공격은 지속적으로 다양한 수법이 개발되고 있다. 이에 따라 피해 건수와 피해금액 규모 역시 나날이 늘고 있는 추세이다. 이 추세는 국내외 할 것 없이 모두 동일한데, SK쉴더스의 2022년 상반기 보안트렌드 및 사이버팬데믹 시대 보안위협 전망 자료에 의하면, 국내의 경우 가상자산 탈취를 노린 금융권 대상 공격이 가장 비중이 높았다고 한다.
이러한 공격으로부터 나의 가상화폐 계정을 안전하게 보호할 방법은 없는 것일까?
일반적으로 가상화폐거래소 들에서는 자사 고객들의 계정보호를 위한 다양한 수단을 제공하고 있는데, 해외의 경우 단순하게 회원 최초 가입시 e-mail 인증과 e-mail 기반의 알리미 서비스가 전부인 경우가 많이 있는 반면, 국내의 경우에는 가입단에서의 실명인증 및 휴대폰을 통한 인증, 그리고 로그인 알림을 다양한 방식으로 제공하고 있다는 점에서 좀 더 보안상 이점이 있다. 아래 유형들을 국내 이용자들이 계정도용 공격으로부터 자신의 계정을 보호하는 수단들로서 흔하게 접해보았을 것으로 예상된다.
첫째, 중요한 거래시 네자리에서 여섯자리의 간단한 PIN 번호를 추가로 입력하게 하여 로그인 시 사용되는 비밀번호와 주요 거래행위에서 요구되는 추가 비밀번호를 분리하여 보안성을 높이는 방법이다. 다만, 악성앱이 내 기기에 깔린 경우 2차 비밀번호인 PIN 역시 탈취될 수 있다. 즉, 별도의 보안 기능의 유무와 관계없이 내 기기 자체가 이미 해킹당한 경우에는 추가적인 보호 조치가 무력화 될 수 있다는 점이다. 이는 가상화폐 거래를 위한 앱 뿐 아니라 간편결제 앱 및 뱅킹 서비스에서도 동일하기 때문에, 의심스러운 앱 설치를 하지 않는 것이 가장 중요하다고 할 수 있다.
둘째, 로그인이 발생할 때 의심스러운 증후는 없는지 이용자가 확인할 수 있도록 알림 기능을 넣어두는 것이다. 온라인게임 또는 포털사이트 등 많은 웹사이트들에서도 많이 적용하는 방식인데, 평소에 로그인하지 않던 기기에서 처음 로그인 시, 또는 해외에서 로그인 했을 경우 이메일로 로그인이 발생했음을 알려주고, 지금 사용된 기기에서 추후 이러한 경고를 띄우지 않도록 할 것인지 묻는 방식이다. 하지만, 이메일은 알림의 즉시성이 떨어진다는 약점이 있다. 내가 항상 이메일을 확인할 수 있는 것도 아니고, 이러한 알림이 반복되다 보면 습관적으로 “이 기기에서의 로그인을 신뢰함” 이라고 선택하여 알림을 최소화 하게 되는 것이 일반적이기 때문이다. 더불어, 내가 사용하는 이메일 계정의 비밀번호가 다른 인터넷 서비스에서 사용하는 비밀번호와 유사하거나 같은 경우, 다른 곳에서 노출된 비밀번호를 이용하여 내 이메일 계정도 해킹한 뒤, 알림 이메일이 수신되면 해커가 이를 즉시 삭제할 수 있는 약점이 있다.
내 가상화폐 계정 보안 강화하기
첫째, 2채널 인증 등록을 활성화 하는 것이다. 2채널 인증은 PC 에서 로그인을 할 때, 모바일 폰에서 앱으로 로그인할 때 약간의 차이는 있지만 별도의
채널로 추가적으로 인증을 하는 기능이다.
- PC 웹에서 로그인을 할 경우, PC와 다른 기기인 휴대폰을 통해 인증 문자를 받아 추가 정보를 입력하여
로그인을 할 수 있도록 하여 계정 보호
- 앱에서 로그인을 할 경우에도 앱과 다른 채널 (SMS 또는 톡 프로그램)을 통해서 추가 인증 정보를 받아, 이 정보를 입력하여 로그인을 할 수 있도록 하여 계정 보호
실시간 성이 떨어지는 이메일 알림에 비해, 알림톡 (SMS)을 통해 로그인 문자, 휴면계정 전환, 인증 관련 통지 (로그인/출금/비밀번호 변경 등)를 즉시성 있게 알림을 받을 수 있고, 내 계정정보가 다른 사이트에서 유출되었다 할지라도, 해커가 내 알림톡 (SMS) 으로 전달되는 추가 정보를 알아내지 못하는 한 내 계정은 보호받을 수 있다는 점에서, 현재까지 계정을 보호하는데 있어 가장 편리하면서도 안전한 방법이라 할 수 있다.
아래 화면과 같이 앱 내의 ‘보안센터’ 메뉴에서 2채널 인증등록 메뉴에서 설정을 할 수 있으며, 알림톡 (SMS)/ARS 인증을 사용할 수도 있고, 휴대폰에 Google 에서 배포하는 Google OTP 인증 앱 (Google Authenticator 앱) 을 별도로 설치하여 Google OTP 앱이 60초 주기로 지속적으로 생성하는 여섯자리 난수를 추가로 입력하는 방식을 이용할 수도 있다.
둘째, 입출금 알림은 반드시 켜두도록 한다. 이 기능은 앱의 “알림설정 ? 입출금 알림” 메뉴에서 간단히 설정할 수 있다. 아무래도 시세가 좋지 않다면 내 계좌로부터 날아오는 메시지도 부주의하게 넘기게 되고, 또 한동안 로그인 조차도 하기 싫어져 계정 관리를 소홀히 하게 된다. 결국 보안은 지속적으로 관심을 가져줄 때 지켜지는 것이고, 무관심이 보안의 약점을 만들게 되어 있다.
마지막으로, 다소 귀찮은 일이 될 수 있겠지만, 내 가상화폐 앱 내에 ‘보안센터’ 메뉴에서 ‘로그인 정보’ 를 수시로 확인하는 습관을 갖도록 하자. 아래 좌측이 보안센터에서 보여주는 내 최근 로그인 정보이다. 어느 아이피에서 들어왔는지 아이피 주소와 관련된 상세 정보를 추가로 얻고 싶을 때에는 https://whois.nic.or.kr/ 에 들어가서 아이피 주소를 추가 조회하거나 https://www.criminalip.io/ 같은 아이피 주소의 위험도를 알려주는 사이트를 활용할 수 있다. 예컨데 안전한 회선을 통해 들어온 경우에는 위험도가 낮고 (우상단 그림), 보안이 제대로 적용되지 않은 카페의 와이파이 기기를 통하여 들어온 경우에는 (우하단 그림) 위험도가 높은 곳에서 접속했음을 알 수 있다.
맺으며
앞서 설명한 것처럼 조금의 관심을 들여 보안 설정을 살짝만 높여 두면, 수많은 계정도용의 위협으로부터 내 계좌를 보호할 수 있게 된다. 항상 모든 보안이 다 그렇지만, 편의성과 보안성은 반비례하기 마련이다. 그럼에도 불구하고 국내 가상화폐 거래소들은 이용자들의 계정을 보호하기 위해 다양한 보안 수단들을 마련해서 제공하고 있다. 이러한 간단한 설정들을 이용해서 내 계정을 안전하게 지켜볼 것을 권한다.
*본 조사분석 자료는 당사가 신뢰할 만한 자료 및 정보를 기초로 참고가 될 수 있는 정보제공을 목적으로 작성된 자료이나, 그 정확성이나 완전성을 보장할 수 없습니다.
*본 자료는 개인의 의견을 반영하였으며 회사의 공식적인 견해와 일치하지 않을 수 있습니다.
*본 자료는 투자를 유도하거나 권장할 목적이 없으며, 투자자의 투자 판단에 참고가 되는 정보 제공을 위한 자료입니다.
*투자 여부, 종목 선택, 투자 시기 등 투자에 관한 모든 결정과 책임은 투자자 본인에게 있으며, 본 자료는 투자 결과 에 대한 법적 책임소재의 증빙자료로 사용될 수 없습니다.
#2채널 인증 #입출금 알림 #계정 보안
김휘강 교수現 고려대학교 사이버국방학과, 정보보호대학원 교수現 AI Spera 공동창업자現 KISA ISMS (ISMS-P) 인증위원회 위원現 금융보안원 금융보안자문위원
