
보안 특별호 01|OKX Web3 & 민무: 수백 가지 사기 경험을 겪은 후의 노하우 공유
서론
OKX Web3는 다양한 유형의 체인 상 보안 문제에 대해 특별히 기획된 『보안 특집』 코너를 마련하여, 실제 사용자들이 겪은 사례를 중심으로 보안 분야 전문가 또는 기관과 공동으로 다각도에서 해설하고 조언함으로써, 단계적으로 안전한 거래 규칙을 정리·요약하고자 합니다. 이는 사용자의 보안 교육을 강화하는 동시에, 사용자가 스스로 개인키와 지갑 자산 보안을 지킬 수 있도록 돕는 것을 목표로 하고 있습니다.
어느 날 갑자기 누군가로부터 100만 달러 가치의 지갑 주소 개인키를 선물 받는다면, 당신은 바로 돈을 옮기고 싶을까요?
그렇게 생각한다면, 이 글은 바로 당신을 위한 것입니다.
본문은 OKX Web3 『보안 특집』 제1호로, 암호화 산업에서 수많은 사기 사례를 경험한 유명 보안 기관인 슬로우미스트(SlowMist) 보안 팀과 OKX Web3 보안 팀을 초청하여, 사용자가 실제로 겪은 사건을 바탕으로 생생한 정보를 공유합니다. 실질적인 팁이 가득합니다!

슬로우미스트 보안 팀: OKX Web3의 초청에 진심으로 감사드립니다. 슬로우미스트(SlowMist)는 블록체인 보안 분야를 선도하는 기업으로, 보안 감사 및 자금세탁 추적 서비스를 통해 고객들에게 도움을 제공하며, 탄탄한 위협정보 협력 네트워크를 구축해 왔습니다. 2023년 한 해 동안 SlowMist는 고객, 파트너 및 공개된 해킹 사건에서 총 1,250만 달러 이상의 자금을 동결시키는 데 기여했습니다. 업계와 보안에 대한 존중을 바탕으로 앞으로도 계속해서 유익한 정보를 제공하고자 합니다.
OKX Web3 보안 팀: 안녕하세요, 이번 기회에 소중한 정보를 나눌 수 있어 매우 기쁩니다. OKX Web3 보안 팀은 OKX Web3 지갑의 보안 역량 구축을 주도하며, 제품 보안, 사용자 보안, 거래 보안 등 다층적인 보호 서비스를 제공합니다. 7x24시간 사용자 지갑 보안을 지키는 동시에, 전체 블록체인 보안 생태계 유지에도 기여하고 있습니다.
Q1: 실제 해킹 사례를 몇 가지 소개해줄 수 있나요?
슬로우미스트 보안 팀: 첫 번째, 대부분의 사례는 사용자가 개인키 또는 복구 문구(시드 문구)를 인터넷에 저장했기 때문입니다. 예를 들어, Google 문서, 텐센트 문서, Baidu 클라우드, 위챗 즐겨찾기, 메모장 등 클라우드 저장 서비스에 개인키나 복구 문구를 저장하는 경우가 많습니다. 이러한 플랫폼 계정이 해커에게 수집되어 '크래킹 시도'에 성공하면, 개인키는 쉽게 유출될 수 있습니다.
두 번째, 사용자가 가짜 앱을 다운로드하여 개인키가 유출되는 경우입니다. 특히 멀티시그니처(multisig) 사기가 대표적인 사례 중 하나인데, 사기범이 사용자를 유인하여 가짜 지갑 앱을 설치하게 하고 복구 문구를 훔친 후, 해당 지갑의 권한 설정을 즉시 변경합니다. 즉, 지갑 소유권을 사용자 본인에서 사용자와 사기범이 공동으로 소유하도록 변경함으로써 지갑 통제권을 장악하는 것입니다. 이런 사기범들은 인내심 있게 기다리며 사용자의 지갑에 일정량의 암호화 자산이 모이면 일괄적으로 자산을 옮겨버립니다.
OKX Web3 보안 팀: 슬로우미스트 팀이 개인키 유출의 두 가지 주요 원인을 요약해주셨는데, 그 두 번째 유형인 가짜 앱을 통한 개인키 유출은 본질적으로 트로이목마 프로그램에 의한 것입니다. 이러한 트로이목마는 입력기, 사진 등의 접근 권한을 획득하여 사용자의 개인키를 훔칩니다. iOS 사용자보다는 안드로이드 사용자가 트로이목마 공격을 더 많이 당합니다. 간단히 사례 두 가지를 소개하겠습니다:
사례 1: 사용자가 지갑 자산이 유출되었다고 신고했습니다. 저희 팀이 사용자와 소통하며 확인한 결과, 사용자는 과거 구글 검색을 통해 특정 데이터 플랫폼 소프트웨어를 다운로드하고 설치했는데, 이 소프트웨어가 사실 트로이목마였던 것입니다. 그런데 사용자가 해당 플랫폼을 검색했을 때, 링크가 구글 검색 상위 5위 내에 나타나 공식 소프트웨어로 오인하게 되었습니다. 실제로 많은 사용자가 구글에서 제공하는 링크를 꼼꼼히 확인하지 않아 이런 방식으로 트로이목마 공격을 당하기 쉽습니다. 따라서 방화벽, 백신 소프트웨어, Hosts 설정 등을 활용한 일상적인 보안 방어를 권장합니다.
사례 2: 사용자가 DeFi 프로젝트에 투자하던 중 지갑 자산이 도난당했다고 신고했습니다. 하지만 저희 분석 결과 해당 DeFi 프로젝트 자체에는 문제가 없었으며, 사용자 B의 자산 유출은 트위터에서 프로젝트에 댓글을 남겼다가, 해당 DeFi 프로젝트를 사칭하는 가짜 고객센터 직원에게 접근당해, 그들의 유도에 따라 가짜 링크를 클릭하고 복구 문구를 입력하면서 발생한 것이었습니다.
이처럼 사기꾼의 수법이 반드시 고도화된 것은 아니지만, 사용자 스스로의 식별 능력을 높여야 합니다. 어떤 상황에서도 절대 자신의 개인키를 쉽게 노출해서는 안 됩니다. 참고로, 저희 지갑은 이미 해당 악성 도메인에 대해 보안 경고를 설정해두었습니다.

Q2: 개인키를 안전하게 보관할 수 있는 최선의 방법은 무엇인가요? 현재 개인키 의존도를 줄일 수 있는 대안 기술은 어떤 것들이 있나요?
슬로우미스트 보안 팀: 개인키나 복구 문구는 본질적으로 단일 실패점(single point of failure) 문제입니다. 한번 유출되거나 분실되면 회복이 어렵습니다. 현재 MPC(다자간 안전 연산), 소셜 인증 기술, Seedless/Keyless, 사전 실행(preview execution), 제로지식 증명(ZKP) 등의 신기술들이 등장해 사용자의 개인키 의존도를 줄이고 있습니다.
예를 들어 MPC 기술은 여러 참여자가 각자의 데이터를 공유하지 않고도 복잡한 공동 계산을 수행할 수 있도록 하는 기술입니다. MPC 지갑은 쉽게 말해 MPC 기술을 이용해 하나의 개인키를 여러 조각으로 안전하게 분할하여 여러 당사자가 공동 관리하거나, 아예 완전한 가상 키를 공동 생성하는 방식입니다. 후자의 경우, 누구도 완전한 개인키를 본 적이 없기도 합니다. 결국 MPC의 핵심 아이디어는 통제권을 분산시켜 리스크를 줄이고 재해 대비 능력을 높이는 것이며, 단일 실패점 문제를 효과적으로 해결할 수 있습니다.
참고로, MPC는 'Keyless'라는 용어와 관련이 있는데, 이를 "복구 문구 없는", 또는 "개인키 없는"로 이해할 수 있습니다. 하지만 이 '무(無)'란 것은 실제 의미에서 키가 전혀 없다는 것이 아니라, 사용자가 복구 문구나 개인키를 백업할 필요가 없고, 존재조차 인식하지 못한다는 뜻입니다. 따라서 Keyless 지갑에 대해서는 다음 세 가지를 알아두어야 합니다:
1. Keyless 지갑 생성 과정에서 개인키는 어느 시점, 어느 장소에서도 생성되거나 저장되지 않습니다.
2. 거래 서명 시 개인키가 사용되지 않으며, 어떤 경우에도 개인키가 재구성되지 않습니다.
3. Keyless 지갑은 어떤 순간에도 완전한 개인키나 시드 문구를 생성하거나 저장하지 않습니다.
OKX Web3 보안 팀: 현재로서는 완벽한 개인키 보관 방법이 존재하지 않습니다. 하지만 저희 보안 팀은 하드웨어 지갑 사용, 손으로 복구 문구를 적어 보관, 멀티시그니처 설정, 복구 문구 분산 저장 등의 방법을 추천합니다. 예를 들어, 복구 문구를 2개 이상의 그룹으로 나누어 저장하면 유출 위험을 줄일 수 있습니다. 멀티시그니처는 신뢰할 수 있는 사람들을 함께 선택해 서명을 통해 거래의 안전성을 확보하는 방식입니다.
물론 사용자의 지갑 개인키 보안을 위해 OKX Web3 지갑은 기본적으로 오프라인 환경에서 작동하며, 사용자의 복구 문구 및 개인키 관련 정보는 모두 사용자 기기 로컬에 암호화되어 저장됩니다. 또한 관련 SDK는 오픈소스이며, 기술 커뮤니티의 광범위한 검증을 거쳐 더욱 투명하고 공개된 구조를 갖추고 있습니다. 게다가 OKX Web3 지갑은 슬로우미스트 등 유명 보안 기관과 협력하여 엄격한 보안 감사를 진행했습니다.
또한 사용자를 더 잘 보호하기 위해, 개인키 관리 부분에 대해 OKX Web3 보안 팀은 더욱 강력한 보안 기능을 제공하고 있으며 지속적으로 개선하고 있습니다. 간략히 아래 내용을 소개합니다:
1. 이중 인증 암호화: 현재 대부분의 지갑은 비밀번호로 복구 문구를 암호화하여 로컬에 저장합니다. 그러나 사용자가 트로이목마에 감염되면, 악성 코드가 암호화된 내용을 스캔하고 사용자가 입력하는 비밀번호를 감시할 수 있으며, 이를 통해 복구 문구를 탈취할 수 있습니다. 향후 OKX Web3 지갑은 이중 인증 방식으로 복구 문구를 암호화하여, 사기범이 트로이목마를 통해 비밀번호를 획득하더라도 암호화된 내용을 해독할 수 없도록 할 예정입니다.
2. 개인키 복사 보안: 대부분의 트로이목마는 사용자가 개인키를 복사할 때 클립보드 정보를 훔치는 방식으로 정보를 유출시킵니다. 이를 방지하기 위해 복사 가능한 개인키 일부만 표시, 클립보드 정보 자동 삭제 등의 기능을 도입하여 사용자의 개인키 유출 위험을 줄일 계획입니다.
Q3: 개인키 유출을 유도하는 현재 가장 일반적인 피싱 수법은 무엇인가요?
슬로우미스트 보안 팀: 우리의 관찰에 따르면, 피싱 활동은 매월 꾸준히 증가하고 있습니다.
첫째, 현재 '지갑 드레이나(Wallet Drainers)'가 주요 피싱 위협으로, 지속적으로 다양한 형태로 일반 사용자를 공격하고 있습니다.
지갑 드레이나(Wallet Drainers)는 암호화폐 관련 악성 소프트웨어로, 피싱 웹사이트에 배포되어 사용자가 악성 거래에 서명하도록 유도함으로써 지갑 자산을 훔칩니다. 현재 활발하게 활동 중인 대표적인 지갑 드레이나는 다음과 같습니다:
1. Pink Drainer: 사회공학 기법을 이용해 Discord 토큰을 획득하고 피싱을 시도합니다. 사회공학이란 쉽게 말해 대화를 통해 사용자의 비밀 정보를 빼내는 방법입니다.
2. Angel Drainer: 도메인 서비스 제공업체를 사회공학 공격 대상으로 삼습니다. 도메인 계정 권한을 획득한 후 DNS 설정을 조작하여 사용자를 가짜 웹사이트로 리디렉션합니다.
둘째, 현재 가장 흔한 것은 '블라인드 서명 피싱(blind signing phishing)'입니다. 블라인드 서명이란 사용자가 프로젝트와 상호작용할 때 서명 내용이 무엇인지 모르는 상태에서 무작정 확인을 눌러 자산이 유출되는 현상을 말합니다. 몇 가지 사례를 들어 설명하겠습니다:
사례 1: eth_sign. eth_sign은 임의의 해시 값에 서명할 수 있는 열린 서명 방식으로, 거래나 임의의 데이터에 서명할 수 있습니다. 기술 지식이 부족한 사용자는 서명 내용을 이해하기 어렵기 때문에 피싱 위험이 존재합니다. 다행히 최근 많은 지갑들이 이러한 서명에 대해 보안 경고를 표시하기 시작해, 일부 손실 위험을 줄일 수 있게 되었습니다.
사례 2: permit 서명 피싱. ERC20 토큰 거래에서 사용자는 approve 함수를 호출해 권한을 부여할 수 있지만, permit 함수는 체인 외부에서 서명을 생성한 후 일정량의 토큰 사용 권한을 다른 사용자에게 부여할 수 있습니다. 공격자는 이 permit 메서드를 이용해 피싱을 시도하며, 피해자가 피싱 사이트에 접속하면 permit 권한 부여 서명을 하도록 유도합니다. 이후 공격자는 서명 데이터를 획득해 토큰 컨트랙트의 permit 함수를 호출하고 트랜잭션을 블록체인에 전송함으로써 토큰 권한을 획득하고 자산을 훔칩니다.
사례 3: 은밀한 create2 기법. create2는 개발자가 스마트 컨트랙트를 이더리움 네트워크에 배포하기 전에 주소를 예측할 수 있게 해줍니다. 공격자는 create2를 이용해 각 악성 서명마다 일시적인 새 주소를 생성할 수 있습니다. 사용자가 권한 부여 서명을 하면, 공격자는 해당 주소에 컨트랙트를 배포해 사용자의 자산을 이체합니다. 새로운 주소이므로 보안 플러그인이나 보안 회사의 모니터링 경고를 우회할 수 있어 은닉성이 매우 강하며, 사용자가 쉽게 속임수에 걸릴 수 있습니다.
결론적으로, 피싱 사이트에 대해서는 상호작용 전에 공식 웹사이트 여부를 반드시 확인하고, 상호작용 중 악성 서명 요청이 있는지 주의 깊게 살펴야 하며, 절대 복구 문구나 개인키를 제출하지 않도록 주의해야 합니다. 어디에서도 복구 문구나 개인키를 유출해서는 안 됩니다.
OKX Web3 보안 팀: 저희는 흔한 피싱 수법을 연구하여 제품 차원에서 다층적인 보안 방어를 제공하고 있습니다. 사용자가 가장 자주 당하는 주요 피싱 유형을 간략히 소개합니다:
첫 번째, 가짜 에어드롭(Airdrop). 해커는 피해자의 주소와 처음과 끝이 유사한 주소를 생성하고, 소액 송금, 0U 송금 또는 가짜 토큰 에어드롭을 통해 거래 내역에 표시합니다. 사용자가 주소를 잘못 복사하여 붙여넣으면 자산 손실이 발생합니다. 이에 대해 OKX Web3 지갑은 해당 거래 내역을 식별해 위험 표시를 하고, 사용자가 해당 주소로 송금할 경우 보안 경고를 표시합니다.

두 번째, 서명 유도 피싱. 일반적으로 해커는 유명 프로젝트의 트위터, 디스코드, 텔레그램(TG) 등 공개 채널에 댓글을 달며 가짜 DeFi 프로젝트 사이트나 에어드롭 수령 사이트를 공유하고, 사용자를 유인해 클릭하게 만듭니다. 슬로우미스트가 언급한 eth_sign, permit, create2 외에도 다음과 같은 방식이 있습니다:
방식 1: 직접 송금으로 메인넷 토큰 훔치기. 해커는 악성 컨트랙트 함수 이름을 Claim, SecurityUpdate 등으로 유도성 있게 지정하지만 실제 로직은 비어있고, 사용자의 메인넷 토큰만 이체합니다. 현재 OKX Web3 지갑은 사전 실행 기능을 통해 트랜잭션 후 자산 및 권한 변경 사항을 미리 보여주며 보안 경고를 제공합니다.
방식 2: 체인 상 권한 부여. 해커는 사용자가 approve / increaseAllowance / decreaseAllowance / setApprovalForAll 거래에 서명하도록 유도합니다. 이 거래는 해커가 지정한 주소가 사용자의 토큰을 이체할 수 있도록 허용하며, 사용자가 서명한 후 실시간으로 계정을 모니터링하다가 자산이 입금되면 즉시 이체합니다. 피싱 방어는 공격과 방어의 지속적인 경쟁이며, 지속적으로 업데이트되는 과정입니다.
대부분의 지갑은 해커의 권한 부여 주소에 대해 보안 검사를 하지만, 공격 수법도 진화하고 있습니다. 예를 들어 create2 특성을 이용해 공격자는 미리 새 주소를 계산해두며, 이 주소는 보안 블랙리스트에 없어 쉽게 검사를 회피합니다. 물고기가 걸리기를 기다렸다가 해당 주소에 컨트랙트를 배포하고 자금을 옮깁니다. 최근에는 Uniswap.multicall 컨트랙트에 권한을 부여하게 유도하는 사례도 발견되었는데, 이는 정상 프로젝트의 컨트랙트이므로 보안 제품의 검사를 우회할 수 있습니다.
방식 3: 권한 변경. Tron 권한 변경, Solana 권한 변경 등이 있습니다. 첫째, Tron에서는 멀티시그니처가 특징 중 하나인데, 많은 피싱 사이트에서 계정 권한 변경 거래를 송금 거래처럼 위장합니다. 사용자가 이 거래에 서명하면 계정이 멀티시그니처 계정이 되어 사용자가 통제권을 상실합니다. 둘째, Solana에서는 해커가 SetAuthority를 통해 사용자 토큰의 ATA 계정 소유권을 변경합니다. 사용자가 이 거래에 서명하면 ATA 계정의 소유권이 해커에게 넘어가며, 자산을 통제당하게 됩니다.
기타 방식: 프로토콜 설계 자체의 문제로 인해 피싱에 악용되는 경우도 많습니다. 예를 들어 이더리움 기반의 미들웨어 프로토콜 EigenLayer의 queueWithdrawal 호출은 다른 주소를 withdrawer로 지정할 수 있도록 허용하는데, 사용자가 피싱에 걸려 이 거래에 서명하면, 7일 후 해당 주소가 completeQueuedWithdrawal을 통해 사용자의 스테이킹 자산을 가져갈 수 있습니다.
세 번째, 복구 문구 업로드 유도. 공격자는 가짜 에어드롭 프로젝트나 가짜 프리세일 도구를 제공하며, 사용자가 개인키나 복구 문구를 업로드하도록 유도합니다. 구체 사례는 위에서 참조하시기 바랍니다. 때때로 플러그인 지갑 팝업처럼 위장해 복구 문구 업로드를 유도하기도 합니다.
Q4: 핫월렛과 콜드월렛의 공격 방식 차이
OKX Web3 보안 팀: 핫월렛과 콜드월렛의 차이는 개인키 저장 방식에 있습니다. 콜드월렛은 일반적으로 오프라인 저장이며, 핫월렛은 인터넷 연결 환경에 저장됩니다. 따라서 콜드월렛과 핫월렛의 보안 위험도 다릅니다. 핫월렛의 보안 위험은 위에서 이미 충분히 다뤘으므로 여기서는 생략하겠습니다.
콜드월렛의 보안 위험은 다음과 같습니다:
첫째, 사회공학 및 물리적 공격 위험, 그리고 거래 과정의 위험입니다. 사회공학 및 물리적 공격 위험은 콜드월렛이 오프라인 저장되므로, 공격자가 친척이나 친구를 사칭해 콜드월렛 접근 권한을 얻을 수 있다는 점에서 발생합니다.
둘째, 물리적 장치로서 손상되거나 분실될 가능성이 있습니다. 거래 과정의 위험은 거래 중에도 앞서 언급한 에어드롭, 서명 유도 등 다양한 공격에 노출될 수 있다는 점입니다.
Q5: 서론에서 언급한 "고가치 지갑 개인키 증정"처럼, 또 다른 변형 피싱 함정은 무엇이 있나요?
슬로우미스트 보안 팀: 네, 「의도적으로 고가치 지갑 개인키를 증정한다」는 매우 고전적인 사례로, 수년 전부터 존재했지만 지금까지도 여전히 많은 사람이 속고 있습니다. 이 사기는 공격자가 고의로 개인키나 복구 문구를 유출하는 것으로, 사용자가 이를 지갑에 입력하면 공격자는 실시간으로 지갑을 모니터링하며, 사용자가 ETH를 입금하자마자 바로 이체해버리는 방식입니다. 이 수법은 사용자의 작은 이득을 노리는 심리를 이용한 것으로, 입력하는 사람이 많을수록 수수료가 증가하고 손실도 커집니다.
또한 일부 사용자는 "나는 별로 타겟이 될 만한 가치가 없다"고 생각하는데, 이런 방어 태세가 느슨해지면 공격에 쉽게 노출됩니다. 누구의 정보라도(이메일, 비밀번호, 은행 정보 등) 공격자에게는 가치가 있습니다. 심지어 '스팸 메일의 링크만 클릭하지 않으면 안전하다'고 생각하는 사용자도 있지만, 일부 피싱 메일은 이미지나 첨부 파일을 통해 악성 소프트웨어를 심을 수 있습니다.
마지막으로, '보안'에 대해 객관적인 인식이 필요합니다. 절대적인 보안은 없습니다. 피싱 공격 방식은 다양하게 변화하며 매우 빠르게 발전하고 있으므로, 모두가 끊임없이 배우고 자기 보안 의식을 높이는 것이 가장 신뢰할 수 있는 방법입니다.
OKX Web3 보안 팀: 제3자 피싱 함정을 방지하는 것은 복잡한 문제입니다. 왜냐하면 피싱 범들은 사람들의 심리적 약점과 흔한 보안 소홀을 이용하기 때문입니다. 평소에는 매우 신중한 사람들도 갑작스럽게 큰 이득을 얻을 수 있는 '거대한 떡밥'을 마주하면 경계심을 낮추고 탐욕을 부풀려 속임수에 걸리게 됩니다. 이 과정에서 인간의 약점은 기술보다 더 크며, 아무리 많은 보안 수단이 있어도 사용자는 일시적으로 이를 무시합니다. 나중에야 자신이 이미 속았다는 것을 깨닫게 되죠. 우리는 명심해야 합니다. '세상에 공짜 점심은 없다'는 진리를요. 항상 경계심을 갖고 보안 위험을 인식해야 하며, 특히 블록체인이라는 어두운 숲 속에서는 더욱 그렇습니다.
Q6: 사용자의 개인키 보안 강화를 위한 조언
슬로우미스트 보안 팀: 이 질문에 답하기 전에, 먼저 공격자가 어떻게 사용자의 자산을 훔치는지 정리해보겠습니다. 공격자는 일반적으로 다음 두 가지 방식으로 자산을 탈취합니다:
방법 1: 사용자가 자산을 탈취하는 악성 거래 데이터에 서명하도록 유도하는 것. 예: 사용자를 속여 자산을 공격자에게 권한 부여하거나 이체하게 만듦
방법 2: 사용자가 악성 웹사이트나 앱에서 지갑 복구 문구를 입력하도록 유도하는 것. 예: 가짜 지갑 페이지에서 복구 문구를 입력하도록 속임
공격자가 어떻게 자산을 훔치는지 알았다면, 잠재적 위험에 대비해야 합니다:
방어책 1: 가능한 한 '보는 대로 서명하기'. 지갑은 Web3 세계로 들어가는 열쇠라고들 합니다. 사용자가 가장 중요하게 해야 할 것은 '블라인드 서명'을 거부하는 것입니다. 서명 전 반드시 서명 데이터 내용을 확인하고, 어떤 거래인지 알고 서명해야 하며, 그렇지 않으면 서명을 포기해야 합니다.
방어책 2: 모든 달걀을 한 바구니에 담지 않기. 자산 종류와 사용 빈도에 따라 지갑을 등급별로 관리해 리스크를 통제하세요. 에어드랍 등 활동에 사용하는 지갑은 빈번히 사용되므로 소액 자산만 보관하는 것이 좋습니다. 대규모 자산은 자주 사용하지 않으므로 콜드월렛에 보관하고, 사용 시 네트워크 환경과 물리적 환경이 안전한지 반드시 확인하세요. 가능하면 하드웨어 지갑을 사용하세요. 하드웨어 지갑은 일반적으로 복구 문구나 개인키를 직접 내보낼 수 없어 유출 위험을 크게 줄일 수 있습니다.
방어책 3: 다양한 피싱 수법이 끊임없이 등장하므로, 사용자는 스스로 피싱 수법을 식별하는 법을 배우고 보안 의식을 높이며 자기 교육을 통해 사기 피해를 피하고, 자기 구조 능력을 갖춰야 합니다.
방어책 4: 급하지 말고 탐욕을 버리며, 여러 경로로 검증하세요. 더 포괄적인 자산 관리 방안을 알고 싶다면 슬로우미스트에서 발간한 『암호자산 보안 솔루션』을 참고하시고, 보안 의식 및 자기 교육에 관심 있다면 『블록체인 어두운 숲 자구 수칙』을 참고하시기 바랍니다.
OKX Web3 보안 팀: 개인키는 지갑의 암호화 자산에 접근하고 통제하는 유일한 증명 수단이므로, 지갑 개인키 보안을 지키는 것은 극히 중요합니다.
방어책 1: 사용하는 DApp을 충분히 이해하세요. 체인 상 DeFi 투자 시 사용하는 DApp을 철저히 조사해, 가짜 DApp에 접속해 자산을 잃는 일이 없도록 하세요. OKX Web3 지갑은 DApp에 대해 다양한 위험 검사 및 경고 기능을 제공하지만, 공격자는 지속적으로 수법을 업데이트하며 보안 검사를 우회할 수 있습니다. 투자 시 반드시 주의 깊게 확인하세요.
방어책 2: 서명 내용을 이해하세요. 체인 상 거래 서명 시 반드시 거래 내용을 확인하고, 거래 세부사항을 이해해야 합니다. 내용을 이해할 수 없는 거래는 절대 무작정 서명하지 마세요. OKX Web3 지갑은 체인 상 거래 및 오프라인 서명을 분석해 시뮬레이션 실행을 통해 자산 및 권한 변경 결과를 보여줍니다. 거래 전 해당 결과가 기대와 맞는지 집중적으로 확인하세요.
방어책 3: 다운로드하는 소프트웨어를 이해하세요. 거래 및 투자 보조 소프트웨어를 다운로드할 때는 반드시 공식 플랫폼에서 다운로드해야 하며, 설치 후 즉시 백신 소프트웨어로 검사하세요. 악성 소프트웨어를 다운로드하면 트로이목마가 스크린샷, 클립보드 모니터링, 메모리 스캔, 캐시 파일 업로드 등을 통해 사용자의 복구 문구나 개인키를 탈취할 수 있습니다.
방어책 4: 보안 의식을 높이고, 개인키를 신중히 보관하세요. 가능한 한 복구 문구, 개인키 등의 중요한 정보를 복사하지 말고, 스크린샷도 찍지 말며, 제3자 클라우드 플랫폼에 저장하지 마세요.
방어책 5: 강력한 비밀번호 및 멀티시그니처 사용. 비밀번호를 사용할 때는 복잡도를 최대한 높여, 해커가 개인키 암호화 파일을 획득하더라도 무차별 대입 공격(brute force)으로 해독되지 않도록 하세요. 거래 시 멀티시그니처 기능이 있다면 반드시 사용하세요. 이렇게 하면 어느 한 쪽의 복구 문구나 개인키가 유출되더라도 전체 거래에는 영향을 주지 않습니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News











