
가짜 지갑과 개인키, 니모닉 코드 유출 위험에 대한 간단한 분석
글 작성: 슬로우미스트 보안 팀
배경
지갑은 Web3 세계에서 매우 중요한 역할을 한다. 단순히 디지털 자산을 저장하는 도구를 넘어, 사용자가 거래를 수행하고 DApp에 접근하기 위한 필수 수단이다. 이전 편의 Web3 보안 입문 가이드에서는 지갑의 종류와 일반적인 위험 요소들을 소개하며 독자들이 기본적인 지갑 보안 개념을 갖출 수 있도록 도왔다. 암호화폐와 블록체인 기술이 확산됨에 따라 사이버 범죄 조직들도 Web3 사용자들의 자금을 노리고 있으며, 슬로우미스트 보안 팀이 접수한 자금 도난 신고 양식을 보면 많은 사용자들이 가짜 지갑을 다운로드하거나 구매함으로써 피해를 입었다는 사실을 알 수 있다. 따라서 이번 편에서는 왜 가짜 지갑을 다운로드하거나 구매하게 되는지, 그리고 개인키/복구 문구가 유출되는 위험에 대해 살펴보고, 사용자의 자금을 보호하기 위한 일련의 보안 조치를 제시하고자 한다.
가짜 지갑 다운로드
많은 스마트폰이 Google Play Store를 지원하지 않거나 네트워크 문제로 인해 사용자들은 다른 경로를 통해 지갑을 다운로드한다. 예를 들면 다음과 같은 방법들이 있다:
제3자 다운로드 사이트
일부 사용자는 apkcombo, apkpure 등의 제3자 다운로드 사이트를 통해 지갑을 설치하는데, 이들 사이트는 자사의 앱이 Google Play Store에서 미러링된 것이라고 주장하지만 실제로 그 안전성이 보장되는지는 의문이다. 슬로우미스트 보안 팀은 Web3 가짜 지갑의 제3자 출처를 조사한 바 있는데, 결과적으로 apkcombo에서 제공하는 특정 지갑 버전은 실제로 존재하지 않는 것으로 밝혀졌다. 사용자가 초기 화면에서 지갑 생성이나 복구 문구 입력을 시도하면, 가짜 지갑은 곧바로 복구 문구 정보를 피싱 서버로 전송한다.

검색 엔진
검색 엔진의 결과 순위는 광고를 통해 구입할 수 있으므로, 때때로 진짜 공식 웹사이트보다 가짜 웹사이트가 더 상위에 노출되는 경우도 발생한다. 따라서 검색 엔진에서 지갑 이름을 검색한 후 상위 링크를 클릭해 지갑을 다운로드하는 것은 매우 위험하다. 이렇게 하면 쉽게 가짜 공식 사이트로 유도되어 가짜 지갑을 설치하게 될 수 있다. 사용자가 공식 웹사이트 주소를 모를 경우, 표시되는 페이지만으로는 사이트의 진위를 판단하기 어렵다. 사기꾼들이 만든 가짜 웹사이트는 실제 공식 사이트와 거의 동일하게 만들어져 있기 때문에 구분이 불가능할 정도다. 또한 트위터나 기타 플랫폼에서 다른 사용자가 공유한 링크를 클릭하는 것도 추천하지 않는다. 대부분의 경우 이러한 링크는 피싱 목적의 악성 링크이기 때문이다.

친구/가족 또는 '돼지 길들이기 사기(킬링 더 폰)'
블록체인의 어두운 숲에서는 무조건적인 신뢰를 배제해야 한다. 친구나 가족이 당신을 해칠 의도가 없더라도, 그들이 다운로드한 지갑이 가짜일 수 있고 다만 아직 도난당하지 않았을 뿐이다. 따라서 그들이 공유한 QR 코드나 링크를 통해 지갑을 설치한다면, 당신도 가짜 지갑을 설치할 가능성이 있다.
슬로우미스트 보안 팀은 다수의 '돼지 길들이기 사기' 사건 관련 도난 신고서를 받았다. 사기꾼들의 수법은 먼저 피해자의 신뢰를 얻은 후, 암호화폐 투자를 유도하고 가짜 지갑 다운로드 링크를 공유하는 방식이다. 결국 피해자는 감정뿐 아니라 자금까지 모두 잃게 된다. 따라서 온라인 상의 익명의 사람에게는 항상 경계해야 하며, 특히 투자를 권유하거나 알려지지 않은 링크를 보내는 경우에는 절대 믿지 말아야 한다.


텔레그램(Telegram)
텔레그램에서 유명 지갑 이름을 검색하면, 일부 사칭한 공식 그룹이 존재하는 것을 확인할 수 있다. 사기꾼들은 자신들이 해당 지갑의 공식 채널이라며 주장하며, 심지어 그룹 내에서 "공식 웹사이트 링크를 정확히 확인하라"고 당부하지만, 그들이 제공하는 링크 자체가 모두 가짜다.

앱 마켓
주의할 점은 공식 앱 스토어에 등록된 앱이라도 반드시 안전하다고 볼 수 없다는 것이다. 일부 불량 업자들은 키워드 광고 구매 등을 통해 사용자를 사기성 앱으로 유도할 수 있으므로, 독자 여러분께서는 이를 신중하게 구별해야 한다.

그렇다면 사용자는 어떻게 해야 가짜 지갑을 다운로드하는 일을 피할 수 있을까?
공식 웹사이트에서 다운로드
정품 공식 웹사이트를 찾는 능력은 지갑 다운로드뿐만 아니라 이후 Web3 프로젝트에 참여할 때도 중요하게 작용한다. 따라서 여기서 올바른 공식 웹사이트를 찾는 방법을 설명하겠다.
일부 사용자는 트위터에서 프로젝트 팀을 직접 검색하여 팔로워 수, 계정 생성 시간, 블루 또는 골드 체크 여부를 기준으로 공식 계정인지 판단하려 한다. 그러나 이러한 요소들 역시 모두 위조가 가능하다. 이전에도 우리는 가짜 프로젝트 팀 | 댓글란의 고급 위조 계정에 주의하라라는 글에서 고급 위조 계정을 판매하는 암시장에 대해 언급한 바 있다. 따라서 초보 사용자들에게는 먼저 트위터에서 업계의 보안 회사, 보안 전문가, 유명 미디어 등을 팔로우한 후, 찾은 공식 계정이 이들로부터 인정받고 있는지 확인하는 것이 좋다.

(https://twitter.com/DefiLlama)
위의 방법을 통해 대개 진짜 공식 트위터 계정을 찾을 수 있지만, 추가로 다각적인 검증이 필요하다. 공식 트위터 계정이 해킹당한 사례는 이미 여러 차례 있었으며, 해커는 공식 계정의 프로필에 있는 웹사이트 링크를 가짜 링크로 교체하기도 한다. 따라서 사용자는 찾은 공식 웹사이트 주소를 DefiLlama, CoinGecko, CoinMarketCap 등 다른 신뢰 가능한 출처에서 제공하는 링크와 비교해 보아야 한다.

(https://defillama.com/)

(https://landing.coingecko.com/links/)
공식 웹사이트 링크를 찾아 확인한 후에는 북마크에 저장하는 것이 좋다. 다음부터는 다시 찾고 확인하는 수고를 줄일 수 있으며, 가짜 사이트로 들어갈 위험도 줄어든다.
앱 마켓
Apple Store, Google Play Store와 같은 공식 앱 마켓을 통해 지갑을 다운로드할 수 있다. 하지만 다운로드 전 반드시 개발자 정보를 확인하여 공식 발표된 개발자와 일치하는지 확인해야 한다. 또한 앱 평점, 다운로드 수 등의 정보도 함께 참고하는 것이 좋다.

공식 버전 검증
여기까지 읽은 일부 독자들은 "그럼 내가 다운로드한 지갑이 진짜인지 어떻게 검증할 수 있느냐?"고 물을 수 있다. 파일 무결성 검사를 실시하면 된다. 이 작업은 파일의 해시 값을 비교하여 전송 또는 저장 과정에서 변경되었는지를 판단하는 것이다. 사용자는 다운로드한 APK 파일을 해시 값 검증 도구에 드래그하면, 도구는 MD5, SHA-256 등의 해시 함수를 이용해 파일의 해시 값을 생성한다. 이 값이 공식 사이트에서 제공한 해시 값과 일치하면 진짜 지갑이며, 불일치하면 가짜 지갑임을 의미한다. 만약 자신의 지갑이 가짜임을 확인했다면 어떻게 해야 할까?
1. 우선 유출 범위를 확인한다. 가짜 지갑을 다운로드했지만 개인키/복구 문구를 입력하지 않았다면, 해당 앱을 삭제하고 공식 버전을 다시 다운로드하면 된다.
2. 개인키/복구 문구를 이미 가짜 지갑에 입력했다면, 즉시 정보가 유출된 것이다. 공식 웹사이트에서 정품 지갑을 다운로드하여 복구 문구를 입력하고, 새로운 주소를 생성해 자산을 빠르게 이전해야 한다.
3. 암호화폐가 도난당한 경우, 무료로 사건 평가 및 커뮤니티 지원 서비스를 제공한다. 분류별 안내(자금 도난/사기 피해/협박)에 따라 신청서를 제출하면 된다. 또한 제출된 해커 주소는 InMist 위협 인텔리전스 협업 네트워크에 공유되어 리스크 관리에 활용된다. (참고: 중국어 양식은 https://aml.slowmist.com/cn/recovery-funds.html 에, 영문 양식은 https://aml.slowmist.com/recovery-funds.html 에 제출)
가짜 하드웨어 지갑 구매
지금까지는 왜 가짜 소프트웨어 지갑을 다운로드하게 되는지와 그 해결책을 다뤘다. 이제는 왜 가짜 하드웨어 지갑을 구매하게 되는지에 대해 알아보자.
일부 사용자는 온라인 쇼핑몰에서 하드웨어 지갑을 구매하지만, 비공식 인증 판매처의 제품은 큰 보안 위험이 따른다. 지갑이 사용자에게 도달하기 전에 얼마나 많은 사람의 손을 거쳤는지, 내부 부품이 조작되었는지 여부는 모두 불확실하기 때문이다. 내부 구성요소가 조작된 경우 외관상이나 기능상으로는 문제를 발견하기 어렵다.


(https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/)
다음은 하드웨어 지갑의 공급망 공격에 대응하기 위한 몇 가지 방법이다:
공식 채널에서 구매: 공급망 공격을 방지하는 가장 효과적인 방법이다. 온라인 마켓, 대리 구매, 익명의 판매자 등 비공식 경로를 통한 구매는 절대 하지 말아야 한다.
외관 점검: 지갑을 받은 후 외부 포장이 훼손되었는지 확인한다. 기본적인 점검이지만, 해커들이 이 단계에서 노출될 가능성은 낮다.
공식 웹사이트에서 정품 인증: 일부 하드웨어 지갑은 공식 웹사이트에서 정품 인증 서비스를 제공한다. 지갑 초기화 시 장치가 사용자에게 정품 인증을 진행하도록 안내한다. 운송 중 장치가 조작된 경우, 정품 인증을 통과할 수 없다.
분해 시 자동 파괴 메커니즘: 분해 시 자동으로 파괴되는 기능을 갖춘 하드웨어 지갑을 선택할 수 있다. 누군가 장치를 열어 내부 부품을 조작하려 할 경우, 자동 파괴 메커니즘이 작동해 보안 칩 내 민감 정보가 모두 삭제되고 장치는 더 이상 사용할 수 없게 된다.
개인키/복구 문구 유출 위험
지금까지 진짜 지갑을 다운로드하거나 구매하는 방법을 알아보았다. 이제 개인키/복구 문구를 안전하게 관리하는 방법이 또 하나의 문제다. 개인키와 복구 문구는 지갑 복구 및 자산 제어를 위한 유일한 증명 수단이다. 개인키는 64자리 16진수 문자열로 구성되며, 복구 문구는 일반적으로 12개의 단어로 이루어진다. 슬로우미스트 보안 팀은 경고한다. 개인키/복구 문구가 유출되면 지갑 자산이 도난당할 가능성이 매우 높다. 다음은 개인키/복구 문구 유출을 초래하는 일반적인 원인들이다:
비밀 유지 실패: 사용자가 친구나 가족에게 개인키/복구 문구를 알려주며 보관을 부탁하는 경우, 그 친척이 자금을 가져가는 사례가 발생한다.
온라인 저장 또는 전송: 일부 사용자는 개인키/복구 문구를 타인에게 알려서는 안 된다는 것을 알고 있지만, 여전히 위챗 즐겨찾기, 사진 촬영, 스크린샷, 클라우드 저장, 메모장 등으로 저장한다. 이러한 플랫폼 계정이 해커에게 수집되어 해킹당하면, 개인키/복구 문구는 쉽게 유출된다.
복사-붙여넣기: 많은 클립보드 도구와 입력기는 사용자의 클립보드 내용을 클라우드에 업로드하므로, 개인키/복구 문구가 안전하지 않은 환경에 노출된다. 또한 멀웨어는 사용자가 개인키/복구 문구를 복사하는 순간 클립보드 정보를 탈취할 수 있다. 따라서 개인키/복구 문구를 복사-붙여넣기 하는 것은 권장하지 않는다. 보기에는 무해해 보이지만, 실제로는 큰 유출 위험을 안고 있다.
그렇다면 개인키/복구 문구 유출을 어떻게 방지할 수 있을까?

첫째, 개인키/복구 문구를 친구나 가족을 포함해 누구에게도 알려서는 안 된다. 둘째, 가능한 물리적 매체를 통해 저장해야 하며, 해커가 네트워크 공격을 통해 정보를 탈취하는 것을 방지해야 한다. 예를 들어, 질 좋은 종이에 개인키/복구 문구를 적어 보관하거나(필름 봉합도 가능), 복구 문구 전용 보관함을 사용할 수 있다. 또한 멀티시그 설정, 개인키/복구 문구 분산 저장 등의 방법도 보안성을 강화하는 데 도움이 된다. 개인키/복구 문구 백업 방법에 대해서는 슬로우미스트가 발행한 블록체인 어두운 숲 자구 수칙을 참고하기 바란다.
정리
이번 기사에서는 지갑 다운로드 및 구매 시 발생할 수 있는 위험 요소, 진짜 공식 웹사이트를 찾는 방법, 지갑의 진위를 검증하는 방법, 그리고 개인키/복구 문구 유출 위험에 대해 다뤘다. 이번 내용이 독자들이 블록체인의 어두운 숲에 첫발을 내딛는 데 도움이 되기를 바라며, 다음 편에서는 지갑 사용 중 발생할 수 있는 피싱, 서명, 권한 부여 위험에 대해 설명할 예정이니 계속해서 관심 가져주시기 바란다. (참고: 본문에 언급된 브랜드 및 이미지는 독자의 이해를 돕기 위한 보조 자료일 뿐, 추천이나 보증을 의미하지 않습니다.)
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News










