본문으로 건너뛰기
암호화폐 보안의 기본
암호화폐 보안

암호화폐 자산 보호하기: 피싱 및 사기 방지 가이드

암호화폐 세계에서 보안은 단순한 권장 사항이 아니라 필수 사항입니다. 끊임없이 진화하는 피싱, 사기 및 기타 부정 행위로부터 디지털 자산을 보호하는 방법을 알아보세요.

암호화폐 보안 이미지

암호화폐의 탈중앙화된 세계는 엄청난 기회를 열어주지만, 그와 함께 새로운 위험도 따릅니다. 피싱, 사기, 악성 스마트 계약 및 기타 유형의 사기 행위는 여러분의 디지털 자산을 끊임없이 위협하고 있습니다. 안전을 지키기 위해서는 관련 정보를 숙지하고 선제적인 보안 조치를 취하는 것이 필수적입니다.

암호화폐 자산에 대한 주요 위협

1. 피싱 및 가짜 웹사이트

사기꾼들은 인기 있는 암호화폐 거래소, 지갑 또는 디파이(DeFi) 플랫폼을 똑같이 모방한 사이트를 만들어 사용자로 하여금 개인 키, 시드 문구 또는 로그인 정보를 알려주도록 속입니다. 항상 웹사이트의 URL을 꼼꼼히 확인하고, 이메일이나 메시지에 포함된 링크 대신 즐겨찾기를 통해 접속하십시오.

2. 지갑을 털어가는 자들

이들은 사용자의 지갑에 연결되거나 거래에 서명할 때, 사용자의 모든 자산을 공격자의 지갑으로 이체하여 자금을 모두 빼앗을 수 있는 악성 스크립트입니다. 이러한 스크립트는 종종 합법적인 dApp, NFT 프로젝트 또는 에어드롭으로 위장합니다.

3. 사기 및 사회공학

여기에는 쉽게 돈을 벌 수 있다는 약속, 가짜 경품 행사, “펌프 앤 덤프” 사기, 그리고 지갑 접근 권한이나 개인 정보를 요구하는 기술 지원 사기 등이 포함됩니다.

암호화폐 자산을 보호하기 위한 실질적인 조치

1. 정기적으로 권한 취소하기 (Revoke.cash)

스마트 계약과 상호작용할 때마다(예: 탈중앙화 거래소나 NFT 마켓플레이스에서 토큰 사용 승인 시), 사용자는 해당 계약이 자신의 토큰 중 일정량에 접근할 수 있는 권한을 부여하게 됩니다. 만약 해당 계약이 악의적인 것으로 드러나거나 해킹당할 경우, 이러한 권한이 악용되어 지갑의 자금이 모두 유출될 수 있습니다.

  • 어떻게 해야 할까요: 다음과 같은 서비스를 이용하세요 Revoke.cash. 이 도구를 사용하면 스마트 계약에 부여한 모든 권한을 확인하고 철회할 수 있습니다. 정기적으로 불필요하거나 의심스러운 권한을 확인하고 철회하십시오. 이는 위험을 최소화하는 데 매우 중요합니다.

2. 시스템 및 애플리케이션의 적시 업데이트

구버전 소프트웨어는 공격자들에게 침투의 기회를 제공합니다. 업데이트에는 대개 알려진 취약점을 해결하는 보안 패치가 포함되어 있습니다.

  • 어떻게 해야 할까요:
    • 운영 체제: 사용 중인 OS(Windows, macOS, Linux)가 항상 최신 버전으로 업데이트되어 있는지 확인하십시오.
    • 브라우저: 피싱을 방지하기 위한 보안 기능이 내장되어 있는 경우가 많으므로, 최신 버전의 브라우저(크롬, 파이어폭스, 브레이브 등)를 사용하세요.
    • 암호화폐 지갑 및 확장 프로그램: 소프트웨어 지갑(예: MetaMask)과 관련 확장 프로그램을 정기적으로 업데이트하십시오.

3. 투자 포트폴리오 다각화: 모든 달걀을 한 바구니에 담지 마세요

모든 암호화폐 자산을 하나의 지갑에 보관하면 해킹이나 피싱 공격이 발생할 경우 모든 자산을 잃을 위험이 커집니다.

  • 어떻게 해야 할까요:
    • 핫 월렛: 이들은 일상적인 거래나 dApp 이용을 위한 소액 거래에만 사용하십시오.
    • 콜드 월렛 / 하드웨어 월렛: 대량의 자산을 장기간 보관하려면 하드웨어 지갑(Ledger, Trezor)을 사용하세요. 이 지갑들은 개인 키를 오프라인 상태로 보관함으로써 최고의 보안을 제공합니다.
    • 자산 분리: 단일 공격이 성공했을 때 발생할 수 있는 피해를 최소화하기 위해 자산을 여러 지갑과 거래소에 분산해 두세요.

4. 주소와 서명된 거래를 항상 확인하십시오

사기꾼들은 악성코드를 이용해 클립보드에 저장된 수신자 주소를 변경하거나 거래 내역을 위조할 수 있습니다.

  • 어떻게 해야 할까요:
    • 다시 한 번 확인하세요: 자금을 송금하기 전에 항상 수취인의 주소를 꼼꼼히 확인하십시오. 특히 주소의 첫 글자와 마지막 몇 글자를 주의 깊게 확인해야 합니다.
    • 서명 요청 읽기: 지갑에 표시되는 모든 거래 서명 요청을 주의 깊게 읽어보세요. 승인하려는 내용이 정확히 무엇인지 반드시 확인하세요. 의심스러운 요청(예: 알 수 없는 계약체에 대한 “모든 항목에 대한 승인 설정”)은 자금을 탈취하려는 시도일 수 있습니다.

5. 2단계 인증(2FA)을 사용하세요

2단계 인증(2FA)은 거래소 및 서비스에 등록된 계정에 추가적인 보안 계층을 제공합니다.

  • 어떻게 해야 할까요: 가능한 한 2단계 인증(2FA)을 활성화하고, SMS 기반 2단계 인증은 도청에 더 취약하므로 SMS 대신 인증 앱(Google Authenticator, Authy)을 사용하십시오.

6. 예상치 못한 제안이나 메시지에 주의하세요

어떤 제안이 너무 좋아서 믿기 어려울 정도라면, 아마도 그럴 가능성이 높습니다.

  • 어떻게 해야 할까요: “무료” 암호화폐나 쉬운 수익을 약속하는 낯선 사람의 메시지는 무시하세요. 공식 프로젝트 채널을 통해 정보를 확인하세요.

7. 하드웨어 지갑 및 에어갭 방식의 서명

핫 월렛(브라우저/모바일)은 암호화폐 분야에서 가장 큰 공격 표면입니다. 장기 보유 자산을 하드웨어 지갑 — Ledger, Trezor, Keystone 또는 BitBox — 이러한 기기에서는 개인 키가 기기 밖으로 절대 유출되지 않습니다. 고액 거래의 경우 다음을 고려해 보십시오. 에어 갭 방식 QR 코드를 통한 서명(Keystone, Coldcard, AirGap Vault) 방식을 사용하므로, 보안이 침해된 컴퓨터라도 키를 유출할 수 없습니다.

  • 하드웨어 지갑 구매하기 제조사 직판으로만 채널 — 공급망 조작은 실제 공격입니다.
  • 기기를 청결한 환경에 설치하고, 처음 사용하기 전에 펌웨어 서명을 확인하십시오.
  • 다음에 시드 문구를 기록해 두세요 강철 백업(Cryptotag, Billfodl) — 종이는 타거나 색이 바래기 마련이다.
  • 절대 씨앗을 입력하거나, 사진을 찍거나, 디지털 방식으로 저장하지 마십시오. iCloud, Google Drive, 비밀번호 관리 앱, 메모 앱 등 어디에도 저장해서는 안 됩니다.

8. 수당 승인은 신중하게 처리해야 한다

지갑을 털어가는 사람들은 사용자의 시드 키가 필요하지 않습니다. 그들에게 필요한 것은 사용자의 토큰을 이체할 수 있도록 허용하는 단 한 번의 서명 승인뿐입니다. 거래를 서명할 때마다 다음 내용을 주의 깊게 읽어보세요:

  • 함수를 확인해 보세요: approve, setApprovalForAll, permit, increaseAllowance, 그리고 signOrder 토큰 이동 권한을 부여하되, 양도는 허용하지 않습니다.
  • 지출 내역을 확인하세요: 승인하려는 주소는 알려진 프로토콜 계약이어야 하며, 절대로 EOA(외부 소유 계정)나 검증되지 않은 계약이어서는 안 됩니다.
  • 금액을 확인하세요: 무제한을 요청받는다면 (2^256-1), 정확한 상한선을 설정하는 것을 선호합니다.
  • 체인 상태 확인: 피싱 사이트는 사용자의 필터를 우회하기 위해 지갑을 예상치 못한 체인으로 전환할 수 있습니다.
  • 사용법 블록에이드, ScamSniffer, 또는 월렛 가드 서명 전에 악의적인 승인 요청을 식별할 수 있도록 기능을 확장했습니다.

9. 도메인 및 북마크 관리

가장 성공적인 피싱 공격은 사용자가 URL을 입력하거나 링크를 클릭하는 순간을 노립니다. 방어 방법:

  • 즐겨찾기 사용하는 모든 지갑, 거래소, 브릿지 — 보안이 중요한 사이트의 도메인은 절대로 직접 입력하지 마세요.
  • Google에서 스폰서/광고 검색 결과를 피하세요 — 암호화폐 지갑, 거래소, 브리지와 관련된 스폰서 키워드는 피싱 공격의 가장 큰 경로입니다. 이에 대한 내용은 다음에서 다루고 있습니다. 전 세계적 사기 행각을 조장하는 등록기관들.
  • 불필요한 문자가 포함된 URL은 모두 의심하십시오: uniswap-app.org, metamask-extension.com, app-pancakeswap.io — 공식 도메인은 간단합니다.
  • Certificate Transparency를 통해 도메인 확인 (crt.sh) — 유명 브랜드와 닮은 제품의 새로 발급된 인증서는 명백한 위험 신호입니다.

10. “광고” 및 직장 내 뷰어 사기에 주의하세요

암호화폐 팀들은 광고나 파트너십 제안으로 위장한 비즈니스 방식의 사회공학적 공격에 점점 더 많이 노출되고 있습니다. 공격자는 사용자에게 “미디어 키트 뷰어”, “광고 관리자”, “Zoom 클라이언트” 또는 “보안 NDA 도구”를 설치하도록 요청하는데, 이 “도구”는 사실 정보를 탈취하는 악성 프로그램입니다. 이러한 수법으로 인해 한 프로젝트의 자금이 모두 털린 사례를 다음과 같이 기록했습니다: $100K Returned — Adverting Scam Foiled.

  • 신원이 확인되지 않은 제3자가 제공하는 특수 클라이언트, 뷰어 또는 “업데이터”는 절대로 설치하지 마십시오.
  • Zoom, Telegram, Discord는 반드시 공식 공급업체에서 제공하는 다운로드만 이용하고, 스폰서 검색 결과는 절대 이용하지 마십시오.
  • 워크플로우에 사용자 정의 클라이언트가 필요한 경우, 기본적으로 이를 위협적인 것으로 간주하십시오.

11. 암호화폐 팀을 위한 운영 위생 수칙

  • 전용 기계 재무 운영용 — 최신 OS, 하드웨어 지갑, 확장 프로그램 최소화, 이메일/소셜 미디어 미사용.
  • 다중 서명 월간 소각량보다 많은 양의 보물(Safe, Squads 등)의 경우.
  • 출금 주소 화이트리스트 등록 거래소에서; 가능한 경우 시간 잠금 기능을 적용해야 합니다.
  • 운영용 시드 백업 M-of-N 분할(샤미르의 비밀 분할) 방식을 적용한 지리적으로 분산된 철강 저장소에서.
  • 사고 대응 매뉴얼: 누가 누구에게 연락하는지, 어떤 지갑의 권한을 취소해야 하는지, 감사 로그가 어디에 저장되어 있는지 등을 사전에 문서화해 두십시오. 침해 사고 발생 후 첫 1시간이 결정적입니다.

12. 이미 해킹을 당한 경우

  • 자금 이체 즉시 악성 사이트에 접속했거나 의심스러운 거래에 서명한 적이 있는 모든 지갑에서. 완벽한 절차보다 속도가 더 중요합니다.
  • 다음에서 모든 토큰 승인 권한을 취소하세요. revoke.cash 깨끗한 기기에서.
  • 침해된 장치를 모든 네트워크에서 분리하고, 해당 장치에서 사용된 모든 인증 정보를 변경하며, 깨끗한 설치 미디어를 사용하여 운영 체제를 재설치하십시오.
  • 증거를 보존하세요: 디스크 이미지, 브라우저 기록, 거래 해시 등 — 사고 보고서를 작성하거나 향후 복구 작업에 이 자료들이 필요할 수 있습니다.
  • 보고처: @PhishDestroy_bot 그리고 연락해 주세요 SEAL 911 긴급 보안 전문가의 도움을 받으려면.
  • 당사의 전체 사고 대응 가이드를 읽어보세요: 긴급 대응 — 해킹 당한 후 취해야 할 조치.

보안 강화를 위한 추가 자료

정보를 잘 파악하는 것이 성공의 절반입니다. 추천 정보 출처:

"PhishDestroy는 여러분이 디지털 세상에서 안전하게 지낼 수 있도록 필요한 도구와 지식을 제공하기 위해 최선을 다하고 있습니다. 여러분의 경계심이야말로 가장 중요하고 효과적인 첫 번째 방어선이라는 점을 기억해 주세요."

암호화폐 자산을 보호하려면 지속적인 주의와 선제적인 조치가 필요합니다. 이러한 권장 사항을 따르시면 사기 피해에 노출될 위험을 크게 줄일 수 있으며, 탈중앙화 금융(DeFi)의 세계를 더욱 자신 있게 탐색할 수 있습니다.

#CryptoSecurity#Phishing#Scam#Drainers#RevokeCash

이 기사 공유하기

#CryptoSecurity#WalletSafety#2FA#SeedPhrase#Guide
투명성 공지. PhishDestroy는 비영리 독립 프로젝트입니다. 당사의 연구 결과에는 사기 인프라 및 이를 가능하게 하는 서비스에 대한 내재적 편향이 반영되어 있을 수 있습니다. 독자 여러분께서는 모든 자료를 비판적이고 독립적인 시각으로 평가해 주시기를 당부드립니다. 투명성 선언문 전문 보기 →