
보안 특집 04 | OKX Web3 & OneKey: 장비 보안에 '버프'를 더하다
서론
OKX Web3 지갑은 체인 상의 다양한 보안 문제를 다루기 위해 특별히 기획된 「보안 특집」 코너를 마련했습니다. 실제 사용자 사례와 보안 전문가 또는 기관과의 협업을 통해 다양한 관점에서 문제를 분석하고 해결책을 제시함으로써, 안전한 거래 규칙을 체계적으로 정리하고 사용자 교육을 강화하는 것을 목표로 합니다. 또한 사용자가 개인 키 및 지갑 자산 보호에 대해 스스로 인식하고 행동할 수 있도록 돕고자 합니다.
Web3 세계를 서핑할 때, 두 가지 비용은 아끼지 말아야 합니다.
하나는 체인 상에서 소모되는 가스비이고,
또 하나는 오프라인에서 장비를 구매하는 비용입니다.
그러나 온체인이든 오프라인이든, 보안 역시 매우 중요합니다~
이번은 보안 특집 제4호로, 암호화 하드웨어 지갑 브랜드 OneKey의 보안팀과 OKX Web3 지갑 보안팀을 초청하여 실질적인 운영 가이드 관점에서 여러분의 장비 보안을 한층 더 강화하는 방법을 소개합니다.

OneKey 보안팀: OneKey는 2019년 설립된, 보안과 오픈소스에 특화된 하드웨어 및 소프트웨어 지갑 전문 회사로, 보안 공격·방어 연구소도 운영하고 있으며 Coinbase, Ribbit Capital, Dragonfly 등 주요 기관들로부터 투자를 유치한 바 있습니다. 현재 OneKey 하드웨어 지갑은 아시아 지역에서 가장 인기 있는 하드웨어 지갑 브랜드 중 하나로 자리잡고 있습니다.
OKX Web3 지갑 보안팀: 안녕하세요, 이번 공동 기고를 통해 여러분과 소통하게 되어 기쁩니다. OKX Web3 지갑 보안팀은 OKX의 Web3 영역 내 각종 보안 체계 구축을 담당하고 있으며, 지갑 보안 기능 개발, 스마트 컨트랙트 보안 감사, 체인 상 프로젝트 모니터링 등을 수행하여 제품 보안, 자금 보안, 거래 보안 등 다중 방어 서비스를 제공함으로써 블록체인 생태계 전체의 보안 유지에 기여하고 있습니다.
Q1: 사용자의 실제 장비 관련 리스크 사례를 몇 가지 공유해 주실 수 있나요?
OneKey 보안팀: Web3 사용자들이 직면할 수 있는 장비 리스크는 다양하며, 몇 가지 대표적인 사례를 소개하겠습니다.
사례 1: 사용자 Alice는 자신의 장비를 잠시 비운 사이, 주변 사람에게 물리적으로 장비에 접근당해 자산이 탈취되었습니다. 이는 컴퓨터 보안 분야에서 '악의적 메이드 공격(Evil Maid Attack)'이라고 불리는 것으로, 사용자가 경험하는 가장 일반적인 장비 리스크 중 하나입니다.
애널리스트 동료, 방 청소 아르바이트, 심지어 가장 가까운 파트너까지도 갑작스럽게 욕심을 품고 공격자가 될 수 있습니다. 실제로 저희는 하드웨어 지갑 내 자산이 도난당한 사건을 조사하면서, 사용자가 신고한 후 거래소에서 KYC 정보를 확보하여 결국 범행자가 주변 인물이라는 사실을 밝혀낸 적이 있습니다.所谓 ‘천방지축, 집贼难防(천방백방 막아도, 집안 도둑은 막기 어렵다)’는 말처럼, 신뢰하는 사람이 오히려 위협이 될 수 있습니다.
사례 2: 사용자 Bob은 신체적 강압을 당해 자산 통제 권한이 있는 장비를 어쩔 수 없이 넘겨주었습니다. 이를 암호화폐 커뮤니티에서는 다소 아이러니하게 ‘5달러 렌치 공격($5 Wrench Attack)’이라 부릅니다.
최근 크립토 자산의 부의 효과가 널리 알려지면서 고액 자산가를 대상으로 한 납치·강탈 사건이 특히 범죄율이 높은 국가에서 증가 추세에 있습니다. 2023년 초에는 오프라인에서 디지털 자산 거래 중 습격을 당했다는 언론 보도가 있었습니다. 피해자는 오프라인 암호화폐 투자자 모임에 참석했다가 저녁 식사 후 차량 안에서 납치되었으며, 범죄자들은 피해자의 얼굴 인식 기능을 이용해 휴대폰과 지갑 앱을 해제하고, 지갑 내 암호화폐를 410만 USDT로 교환한 후 즉시 자금을 이동시켜 도주했습니다. 최근 트위터에서도 유명한 암호화폐 마이닝 OG가 국제 범죄 조직에 의해 강도를 당했으며, 평생 모은 대부분의 자산을 빼앗겼다고 전했습니다.
OKX Web3 지갑 보안팀: 오늘의 주제는 매우 의미 깊습니다. 그간 우리는 개인 키 보안, MEME 거래 보안, 에어드롭 보안 등 다양한 온체인 보안 주제를 다뤘는데, 실제로 장비 보안 역시 매우 중요합니다. 몇 가지 고전적인 사례를 공유드리겠습니다.
사례 1: 변조된 하드웨어 지갑
사용자 A는 공인되지 않은 플랫폼에서 하드웨어 지갑을 구입한 후 검증 절차 없이 바로 사용을 시작했습니다. 그러나 해당 지갑의 펌웨어는 이미 조작되어 있었으며, 복수의 복구 문구가 미리 생성되어 있었습니다. 결국 사용자가 이 지갑에 보관한 암호화 자산은 해커에 의해 완전히 통제되었고, 큰 손실을 입었습니다.
예방 조치: 1) 사용자는 공식 또는 신뢰할 수 있는 경로를 통해 하드웨어 지갑을 구매해야 합니다. 2) 지갑 사용 전 반드시 공식 검증 절차를 거쳐 펌웨어의 무결성을 확인해야 합니다.
사례 2: 피싱 공격
사용자 B는 “지갑 보안센터”라는 발신처에서 지갑에 보안 문제가 발생했으므로 복구 문구를 입력하여 업데이트를 진행하라는 메일을 받았습니다. 이는 정교하게 기획된 피싱 공격이었으며, 사용자는 결국 모든 자산을 잃게 되었습니다.
예방 조치: 1) 사용자는 어떤 경우에도 신원이 확인되지 않은 웹사이트에 개인 키나 복구 문구를 입력해서는 안 됩니다. 2) 하드웨어 지갑의 화면을 활용해 모든 거래 및 작업 정보를 직접 확인해야 합니다.
사례 3: 소프트웨어 보안
사용자 C는 신뢰할 수 없는 출처에서 악성 소프트웨어를 다운로드하였고, 지갑 작업 중 악성 코드로 인해 자산을 잃었습니다.
예방 조치: 1) 사용자는 공식 채널에서 소프트웨어를 다운로드하고 정기적으로 소프트웨어 및 펌웨어를 업데이트해야 합니다. 2) 백신 소프트웨어와 방화벽을 사용해 장비를 보호해야 합니다.
Q2: 사용자가 자주 사용하는 물리 장비 및 시설과 그에 따른 리스크 유형은 무엇인가요?
OneKey 보안팀: 사용자 자산 보안과 관련된 장비에는 일반적으로 스마트폰, 컴퓨터, 하드웨어 지갑, USB 저장 장치, 네트워크 통신 장치(Wi-Fi 등)가 포함됩니다.
앞서 언급한 ‘악의적 메이드 공격(Evil Maid Attack)’, 그리고 폭력 범죄인 ‘5달러 렌치 공격($5 Wrench Attack)’ 외에도 아래와 같은 리스크에 특히 주의해야 합니다.
1. 사회공학 및 피싱 공격
사회공학 및 피싱 공격은 현재 매우 흔하고 효과적인 공격 수법으로, 공격자는 인간의 심리적 약점을 이용해 사용자가 위험한 작업을 수행하도록 유도합니다. 예를 들어, 악성 피싱 링크 및 첨부 파일의 경우, 공격자는 은행 알림이나 소셜미디어 플랫폼의 공지처럼 위장하여 악성 링크가 포함된 이메일, 문자, 소셜미디어 메시지를 보내곤 합니다. 사용자가 이러한 링크를 클릭하거나 첨부파일을 다운로드하면 악성 소프트웨어가 장비에 설치되어 원격 침입이 가능해집니다.
또 다른 예로, 기술 지원 직원을 사칭하는 경우가 있습니다. 공격자는 전화나 이메일로 사용자에게 접근하여 장비에 문제가 있으니 즉시 조치를 취해야 한다고 주장하며, 원격 접속 권한을 요구하거나 민감한 정보를 유출하게 만듭니다. 현재 트위터에서 암호화폐 관련 단어를 언급하기만 해도 곧바로 로봇들이 기술 지원을 가장해 접근해오는 경우가 많습니다.
2. 공급망 공격(Supply Chain Attack)
공급망 공격이란 장비 생산 또는 운송 과정에서 악성 코드가 삽입되는 것을 의미합니다. 구체적으로 다음과 같은 세 가지 형태로 나타납니다.
첫째, 하드웨어 조작: 공격자는 하드웨어 지갑이나 USB 저장 장치 생산 과정에서 악성 소프트웨어를 삽입할 수 있습니다. 예컨대, 신뢰할 수 없는 경로에서 장비를 구매할 경우 조작된 장비를 받을 수 있으며, 이는 정보를 탈취하거나 원격 접속을 허용하는 악성 코드가 사전 설치되어 있을 수 있습니다.
둘째, 소프트웨어 조작: 공격자는 장비의 소프트웨어 공급망을 공격해 소프트웨어나 펌웨어 업데이트 패키지를 조작할 수 있습니다. 사용자가 이러한 업데이트를 다운로드하고 설치하면 백도어 또는 기타 악성 코드가 장비에 설치될 수 있습니다.
셋째, 물류 공격: 운송 과정에서 공격자가 장비를 가로채 조작할 수 있습니다. 예를 들어 택배 도중 하드웨어 장비가 교체되거나 조작되어 후속 공격이 이루어질 수 있습니다.
3. 중간자 공격(Man-in-the-Middle Attack, MITM)
중간자 공격이란 두 당사자 간 통신을 가로채 데이터를 가로막거나 변조하는 공격 방식입니다.
예를 들어, 사용자가 암호화되지 않은 네트워크를 사용할 경우 공격자는 쉽게 데이터를 가로챌 수 있습니다. HTTP 웹사이트를 사용할 때 공격자는 사용자가 송수신하는 데이터를 가로채고 수정할 수 있습니다.
또한 공용 Wi-Fi의 경우, 사용자의 데이터 전송이 공격자에 의해 더 쉽게 가로채질 수 있습니다. 공격자는 악성 공용 Wi-Fi 핫스팟을 설정할 수도 있는데, 사용자가 연결하면 민감 정보(로그인 인증정보, 금융 거래 기록 등)를 감시하고 탈취할 수 있습니다. 극단적인 경우, 본인의 Wi-Fi조차 해킹되어 악성 소프트웨어가 설치될 수 있습니다.
4. 제3자 내부 공격 및 소프트웨어 취약점
제3자 내부 공격과 소프트웨어 취약점은 사용자가 통제하기 어려운 리스크이지만, 물리 장비 보안에 중대한 영향을 미칩니다.
가장 흔한 것은 소프트웨어 및 하드웨어의 보안 결함입니다. 이러한 결함은 공격자가 원격 공격이나 물리적 우회 공격을 수행하는 데 이용될 수 있습니다. 예를 들어 일부 플러그인이나 애플리케이션은 발견되지 않은 버그를 가지고 있을 수 있으며, 공격자는 이를 통해 장비 제어권을 얻을 수 있습니다. 이는 일반적으로 최신 보안 업데이트를 유지함으로써 해결할 수 있습니다. 또한 하드웨어의 경우 최신 암호화 칩 사용을 고려해야 합니다.
소프트웨어 제공업체의 내부 인력 활동: 소프트웨어 개발자나 서비스 제공자의 내부 인력이 접근 권한을 남용해 악의적인 활동을 하거나 사용자 데이터를 유출하거나 소프트웨어에 악성 코드를 삽입할 수 있습니다. 외부 요인에 의한 악의적 활동 가능성도 배제할 수 없습니다.
예를 들어, 과거 ‘에어드롭 스튜디오’가 다중 계정 관리를 위한 지문 브라우저를 사용하다가 자산을 도난당한 사례는 소프트웨어 또는 플러그인 내부의 악의적 행위 때문일 수 있습니다. 이는 합법적인 소프트웨어라도 내부 통제가 철저하지 않으면 사용자 자산 보안에 위협이 될 수 있음을 보여줍니다.
또 다른 예로, Ledger가 과거 겪었던 논란의 공격이 있습니다. 많은 dApp이 사용하는 Connect Kit에 문제가 발생했는데, 원인은 전직 직원이 피싱 공격을 당해 Connect Kit의 GitHub 저장소에 악성 코드가 삽입된 것이었습니다. 다행히 Ledger 보안팀은 문제를 인지한 지 40분 만에 수정 조치를 배포했고, Tether도 즉시 공격자의 USDT 자금을 동결시켰습니다.
OKX Web3 지갑 보안팀: 사용자가 자주 사용하는 물리 장비를 정리하고, 각각의 잠재적 리스크를 설명드리겠습니다.
현재 사용자가 주로 사용하는 물리 장비는 다음과 같습니다. 1) 컴퓨터(데스크탑 및 노트북): 탈중앙화 애플리케이션(dApp) 접속, 암호화폐 지갑 관리, 블록체인 네트워크 참여 등에 사용됩니다. 2) 스마트폰 및 태블릿: 모바일로 dApp에 접속하거나 지갑을 관리하고 거래를 수행합니다. 3) 하드웨어 지갑: Ledger, Trezor과 같은 전용 장비로, 암호화폐 개인 키를 안전하게 저장하여 해킹으로부터 보호합니다. 4) 네트워크 인프라: 라우터, 스위치, 방화벽 등으로 네트워크 연결의 안정성과 보안을 확보합니다. 5) 노드 장비: 개인 컴퓨터 또는 전용 서버에 블록체인 노드 소프트웨어를 실행하여 네트워크 합의 및 데이터 검증에 참여합니다. 6) 콜드 스토리지 장비: USB 드라이브, 종이 지갑 등 개인 키를 오프라인으로 저장하여 온라인 공격으로부터 보호합니다.
물리 장비에서 발생 가능한 잠재적 리스크는 다음과 같습니다.
1) 물리 장비 리스크
• 장비 분실 또는 손상: 하드웨어 지갑이나 컴퓨터 등의 장비가 분실되거나 손상되면 개인 키를 잃어 암호화 자산에 접근할 수 없게 됩니다.
• 물리적 침입: 범죄자가 물리적 수단으로 장비에 침입하여 개인 키 또는 민감 정보를 직접 획득할 수 있습니다.
2) 네트워크 보안 리스크
• 악성 소프트웨어 및 바이러스: 악성코드를 통해 사용자 장비를 공격해 개인 키나 민감 정보를 탈취합니다.
• 피싱 공격: 합법적인 서비스처럼 위장해 사용자가 개인 키 또는 로그인 인증정보를 유출하도록 유도합니다.
• 중간자 공격(MITM): 공격자가 사용자와 블록체인 네트워크 사이의 통신을 가로채거나 변조합니다.
3) 사용자 행동 리스크
• 사회공학 공격: 공격자가 사회공학 기법을 사용해 사용자가 개인 키나 민감 정보를 유출하도록 유도합니다.
• 조작 실수: 사용자가 거래나 자산 관리 중 실수를 할 경우 자산을 잃을 수 있습니다.
4) 기술 리스크
• 소프트웨어 취약점: dApp, 암호화 지갑 또는 블록체인 프로토콜의 버그를 해커가 악용할 수 있습니다.
• 스마트 컨트랙트 취약점: 스마트 컨트랙트 코드의 결함으로 인해 자금이 도난될 수 있습니다.
5) 규제 및 법적 리스크
• 법적 준수: 각국 및 지역마다 암호화폐 및 블록체인 기술에 대한 규제 정책이 달라 사용자의 자산 보안 및 거래 자유에 영향을 줄 수 있습니다.
• 규제 변화: 정책의 갑작스러운 변화로 인해 자산이 동결되거나 거래가 제한될 수 있습니다.
Q3: 하드웨어 지갑은 개인 키 보안을 위한 필수 선택인가요? 개인 키 보호 방법에는 어떤 종류가 있나요?
OneKey 보안팀: 물론 하드웨어 지갑이 개인 키 보안의 유일한 선택지는 아니지만, 개인 키 보안을 강화하는 매우 효과적인 방법 중 하나입니다. 가장 큰 장점은 개인 키의 생성, 기록, 저장, 거래 승인까지 모든 과정을 인터넷과 완전히 격리하여, 악성 소프트웨어나 해커의 공격으로부터 개인 키를 안전하게 보호할 수 있다는 점입니다.
먼저 하드웨어 지갑의 장점을 살펴보겠습니다.
1) 물리적 격리: 하드웨어 지갑은 개인 키를 전용 장치에 저장하며, 인터넷에 연결된 컴퓨터 및 모바일 기기와 완전히 분리됩니다. 즉, 사용자의 컴퓨터나 휴대폰이 악성코드에 감염되더라도 개인 키는 인터넷에 노출되지 않으므로 안전합니다.
2) 거래 검증: 하드웨어 지갑을 사용할 때 사용자는 반드시 장치 자체에서 거래 내용을 직접 확인하고 승인해야 합니다. 이 과정을 통해 공격자가 사용자의 온라인 계정 정보를 탈취하더라도 무단으로 자산을 이전할 수 없습니다.
3) 보안 칩: 많은 하드웨어 지갑은 개인 키 저장을 위한 전용 보안 칩을 사용합니다. 이 칩은 CC EAL6+와 같은 엄격한 보안 인증을 받았으며(예: OneKey Pro, Ledger Stax 등 최신 모델), 물리적 우회 공격에 강합니다. 전자기 분석, 전력 분석 공격 등 고급 공격 기법에도 저항력이 있어 무단 접근뿐 아니라 다양한 공격으로부터 보호합니다.
하드웨어 지갑 외에도 개인 키 보안을 강화할 수 있는 여러 방법이 있으며, 사용자는 자신의 필요에 따라 적합한 방식을 선택할 수 있습니다.
1) 종이 지갑(Paper Wallet): 개인 키와 공개 키를 종이에 출력하여 오프라인으로 보관하는 방식입니다. 간단하고 완전히 오프라인이라는 장점이 있지만, 화재, 습기, 분실 등의 물리적 보안에 주의해야 합니다. 가능하면 금속판에 각인하는 것이 좋습니다(시장에는 OneKey의 KeyTag 등 다양한 제품이 있음).
2) 모바일 콜드 지갑: 콜드 지갑은 개인 키 또는 암호화 자산을 완전히 오프라인 상태로 저장하는 방식입니다. 예를 들어, 오프라인 상태의 휴대폰이나 컴퓨터를 사용할 수 있습니다. 하드웨어 지갑과 유사하게 네트워크 공격으로부터 보호되지만, 사용자가 직접 장비를 구성하고 관리해야 합니다.
3) 분할 암호화 저장: 개인 키를 여러 조각으로 나누어 서로 다른 위치에 저장하는 방식입니다. 공격자가 일부 조각만 확보하더라도 전체 키를 복구할 수 없습니다. 이 방식은 공격 난이도를 높여 보안을 강화하지만, 사용자는 각 조각을 철저히 관리하여 분실 시 복구 불가 상황을 방지해야 합니다.
4) 멀티시그(Multisig): 멀티시그 기술은 여러 개인 키가 공동으로 서명해야만 거래가 완료되는 방식입니다. 이 방법은 단일 키 유출 시 자산이 탈취되는 위험을 방지합니다. 예를 들어, 3자 서명 멀티시그 계좌를 설정하여 최소 2개 이상의 키가 동의해야 거래가 실행되도록 할 수 있습니다. 보안성 향상뿐 아니라 유연한 관리도 가능합니다.
5) 암호학 혁신 기술: 기술 발전에 따라 개인 키 보호에 적용되는 새로운 암호학 기술도 등장하고 있습니다. 예를 들어, 문턱 서명(Threshold Signature Scheme, TSS)이나 다자간 계산(Multi-Party Computation, MPC) 기술은 분산 처리와 협업 방식을 통해 개인 키 관리의 보안성과 신뢰성을 더욱 높입니다. 다만 이 기술은 주로 기업에서 사용되며 개인 사용은 거의 없습니다.
OKX Web3 지갑 보안팀: 하드웨어 지갑은 개인 키를 독립적이고 오프라인 장치에 저장함으로써 네트워크 공격, 악성 소프트웨어 등 온라인 위협으로부터 개인 키를 보호합니다. 소프트웨어 지갑이나 기타 저장 방식에 비해 훨씬 높은 보안 수준을 제공하며, 특히 많은 양의 암호화 자산을 보유한 사용자에게 적합합니다. 개인 키 보호 방법은 다음 관점에서 접근할 수 있습니다.
1) 안전한 저장 장치 사용: 신뢰할 수 있는 하드웨어 지갑 또는 기타 콜드 스토리지 장치를 선택하여 네트워크 공격으로 인한 개인 키 유출 위험을 줄입니다.
2) 보안 인식 교육 강화: 개인 키 보안의 중요성을 인식하고, 개인 키 입력을 요구하는 웹사이트나 프로그램에 항상 경계해야 합니다. 클립보드 공격을 방지하기 위해 복사 시 일부만 복사하고 나머지는 수동으로 입력하는 것도 좋은 방법입니다.
3) 복구 문구 및 개인 키 안전한 저장: 복구 문구를 사진 촬영하거나 스크린샷으로 저장하지 말고, 종이에 기록하여 안전한 장소에 보관하는 것이 좋습니다.
4) 개인 키 분리 저장: 개인 키를 여러 부분으로 나누어 서로 다른 장소에 보관함으로써 단일 실패 지점(Single Point of Failure) 리스크를 줄입니다.
Q4: 현재 신원 인증 및 접근 제어 분야에서 존재하는 취약점은 무엇인가요?
OneKey 보안팀: 블록체인은 Web2처럼 사용자의 신원 정보를 저장하고 인식하지 않습니다. 대신 암호학을 통해 자산의 자기 관리(self-custody)와 접근을 구현합니다. 즉, 개인 키가 전부입니다. 사용자가 암호화 자산에 접근하는 데 있어 가장 큰 리스크는 개인 키 관리 부주의에서 비롯됩니다. 결국 개인 키는 암호화 자산에 접근할 수 있는 유일한 증명이기 때문입니다. 개인 키를 분실하거나 유출, 혹은 자연재해로 손상될 경우 자산을 영구적으로 잃을 수 있습니다.
이러한 이유로 OneKey와 같은 브랜드가 존재하는 것입니다. 우리는 사용자에게 안전한 개인 키 자기 관리 솔루션을 제공합니다. 하지만 많은 사용자가 개인 키 관리 시 보안 인식이 부족하여 온라인 문서나 스크린샷 등 안전하지 않은 방식으로 저장하는 경우가 많습니다. 가장 좋은 방법은 오프라인에서 생성하고 저장하는 것으로, 주사위 던지기나 수기 작성 외에도 앞서 언급한 하드웨어 지갑과 함께 금속 복구판을 사용하는 것을 고려할 수 있습니다.
물론 일부 사용자는 거래소 계정에 직접 자산을 보관하기도 하는데, 이 경우 신원 인증 및 접근 제어는 Web2와 유사해집니다.
이는 사용자의 비밀번호 보안 인식과 직결됩니다. 약한 비밀번호나 반복 사용은 흔한 문제이며, 쉬운 비밀번호를 사용하거나 여러 플랫폼(예: 인증용 이메일)에서 동일한 비밀번호를 반복 사용하면 브루트포스 공격이나 데이터 유출 시 피해를 입을 위험이 커집니다.
다중 인증(MFA)이 보안을 강화할 수 있지만, 잘못 구현되거나 결함이 있을 경우(예: SMS 해킹) 공격 대상이 될 수 있습니다. 예를 들어 SIM 교체 공격(SIM Swap Attack)은 공격자가 이동통신사 직원을 사기나 뇌물로 매수해 피해자의 전화번호를 공격자가 소유한 SIM 카드로 옮김으로써 모든 SMS 인증번호를 수신하는 공격입니다. 과거 비탈릭 부테린(Vitalik Buterin)도 ‘SIM SWAP’ 공격을 당해 트위터를 통해 피싱 메시지를 발송하는 등 여러 사용자가 피해를 입은 바 있습니다. 또한 Google Authenticator와 같은 MFA 앱의 백업 코드를 부적절하게 저장할 경우 공격자가 이를 탈취해 계정을 공격할 수 있습니다.
OKX Web3 지갑 보안팀: 매우 중요한 주제입니다. 현재 주목해야 할 점은 다음과 같습니다.
1) 약한 비밀번호 및 비밀번호 재사용: 사용자는 간단하고 예측 가능한 비밀번호를 사용하거나 여러 서비스에서 동일한 비밀번호를 반복 사용하는 경우가 많아, 브루트포스 공격이나 다른 경로를 통한 유출 시 공격 위험이 증가합니다.
2) 다중요소 인증(MFA) 미흡: Web2에서는 MFA가 보안을 크게 강화하지만, Web3 지갑의 경우 개인 키가 유출되면 공격자가 계정의 모든 권한을 갖게 되므로 효과적인 MFA 메커니즘을 구축하기 어렵습니다.
3) 피싱 공격 및 사회공학: 공격자는 피싱 이메일, 가짜 웹사이트 등을 통해 사용자의 민감 정보를 유도합니다. 최근 Web3를 대상으로 한 피싱 사이트는 조직화·서비스화되고 있으며, 충분한 보안 인식 없이는 쉽게 속을 수 있습니다.
4) API 키 관리 부실: 개발자가 API 키를 클라이언트 앱에 하드코딩하거나, 적절한 권한 제어 및 만료 관리를 하지 않을 경우 키 유출 시 악용될 수 있습니다.
Q5: AI 얼굴 합성 등 새로운 가상 기술이 초래하는 리스크를 사용자는 어떻게 예방해야 하나요?
OneKey 보안팀: 2015년 BlackHat 컨퍼런스에서 글로벌 해커들은 얼굴 인식 기술이 가장 신뢰할 수 없는 신원 인증 수단이라고 일치하게 평가했습니다. 이후 약 10년, AI 기술의 발전으로 얼굴을 완벽하게 교체하는 ‘마법’이 현실화되었으며, 일반적인 시각적 얼굴 인식은 더 이상 안전한 보장을 제공하지 못합니다. 따라서 인증 측면에서는 알고리즘 기술을 업그레이드해 딥페이크 콘텐츠를 식별하고 차단하는 것이 중요합니다.
AI 합성 얼굴과 같은 리스크에 대해 사용자 입장에서 할 수 있는 것은 많지 않지만, 아래와 같은 작은 팁을 드립니다.
1) 얼굴 인식 앱 신중한 사용
사용자는 얼굴 인식 앱을 선택할 때 보안 기록과 개인정보 정책이 우수한 앱을 선호해야 합니다. 출처가 불분명하거나 보안성이 의심되는 앱은 피하고, 정기적으로 소프트웨어를 업데이트하여 최신 보안 패치를 적용해야 합니다. 국내에서는 과거 여러 소액 대출 앱이 사용자의 얼굴 데이터를 불법 수집 및 판매해 개인정보를 유출한 사례가 있었습니다.
2) 다중요소 인증(MFA) 이해
단일 생체 인식 인증은 큰 리스크를 안고 있습니다. 다양한 인증 방식을 조합하면 보안을 크게 강화할 수 있습니다. MFA는 지문, 홍채 스캔, 음성 인식, 심지어 DNA 데이터까지 결합할 수 있습니다. 인증 측면에서 한 방식이 무력화되더라도 추가 보안층을 제공할 수 있으며, 사용자로서도 이러한 개인정보 보호가 중요합니다.
3) 경계심 유지 및 사기 방지
AI로 얼굴과 음성을 모방할 수 있게 되면서, 온라인에서 타인을 가장하는 것은 훨씬 쉬워졌습니다. 민감 정보나 자금 이체 요청에는 특히 경계해야 하며, 전화나 대면으로 신원을 다시 확인하는 이중 검증을 수행해야 합니다. 긴급한 요청을 함부로 믿지 말고, 가짜 경영진, 지인, 고객센터 등을 사칭하는 사기 수법을 인식해야 합니다. 현재 유명인을 가장한 사례도 많으므로 프로젝트 참여 시 ‘가짜 연대’에 주의해야 합니다.
OKX Web3 지갑 보안팀: 일반적으로 새로운 가상 기술은 새로운 리스크를 가져오지만, 동시에 새로운 방어 기술 연구를 촉진하며, 이는 다시 새로운 리스크 관리 제품을 만들어냅니다.
1. AI 위조 리스크
AI 합성 영상 분야에서는 이미 여러 AI 위조 탐지 제품이 등장했습니다. 산업계는 딥페이크 사용으로 인해 생성된 고유한 디지털 지문(fingerprint)을 탐지하는 자동 감지 기술을 개발하고 있습니다. 사용자는 얼굴 특징, 테두리 처리, 음성과 화면의 싱크 불일치 등을 세심히 관찰해 AI 합성 여부를 판단할 수 있습니다. 마이크로소프트는 딥페이크 인식 능력을 교육하는 일련의 도구를 제공하고 있으며, 사용자는 이를 통해 개인의 식별 능력을 강화할 수 있습니다.
2. 데이터 및 개인정보 리스크
대규모 언어 모델(LLM)의 다양한 분야 적용은 사용자 데이터 및 개인정보 리스크를 동반합니다. 대화형 로봇 사용 시 개인정보 보호에 유의하고, 개인 키, API 키, 비밀번호 등 중요한 정보는 직접 입력하지 않도록 하며, 대체 표현이나 혼동 기법을 사용해 정보를 숨기는 것이 좋습니다. 개발자의 경우, Github는 코드 제출 시 OpenAI API 키 등 개인정보 유출이 감지되면 푸시 오류를 발생시키는 등의 기능을 제공합니다.
3. 콘텐츠 생성 남용 리스크
사용자의 일상 업무에서 대규모 모델이 생성한 콘텐츠를 자주 접하게 되며, 이는 효율성을 높이지만 허위 정보 및 지식재산권 침해 문제를 초래할 수 있습니다. 현재 이러한 리스크를 줄이기 위해 텍스트가 대규모 모델에 의해 생성되었는지 여부를 탐지하는 제품들도 등장하고 있습니다. 또한 개발자는 대규모 모델을 이용한 코드 생성 시 기능의 정확성과 보안성을 꼼꼼히 검토해야 하며, 민감하거나 공개가 필요한 코드는 반드시 철저한 검토 및 감사를 거쳐야 합니다.
4. 일상적인 관심과 학습
사용자는 짧은 영상, 긴 영상, 다양한 기사 등을 열람할 때 의식적으로 AI 위조 또는 AI 생성 콘텐츠인지 판단해야 합니다. 흔한 AI 목소리, 발음 오류, 얼굴 합성 영상 등을 기억하고, 중요한 상황에서는 이러한 리스크를 인지하고 판단하려는 노력이 필요합니다.
Q6: 전문가 관점에서 물리 장비 보안을 위한 조언을 나눠주세요.
OneKey 보안팀: 앞서 언급한 다양한 리스크를 바탕으로 보호 조치를 간략히 정리하겠습니다.
1. 네트워크 연결 장비 침입 리스크 주의
일상에서 네트워크 연결 장비는 어디에나 존재하지만, 이는 잠재적 침입 리스크를 동반합니다. 개인 키, 비밀번호, MFA 백업 코드 등 고위험 데이터를 보호하기 위해 강력한 암호화 방법을 사용하고, 네트워크와 격리된 저장 방식을 선택하는 것이 좋습니다. 또한 피싱 및 트로이 목마 공격에 대한 경계를 항상 유지해야 합니다. 암호화 자산 작업용 전용 장비와 일반 용도 장비를 분리 사용하는 것도 좋은 방법입니다. 예를 들어, 일상용 노트북과 암호화 자산 관리용 하드웨어 지갑을 분리하면 한 장비가 침해되더라도 다른 장비는 안전하게 유지할 수 있습니다.
2. 물리적 감시 및 보호 유지
하드웨어 지갑과 같은 고위험 장비의 보안을 강화하기 위해 엄격한 물리적 감시 및 보호 조치가 필요합니다. 집 안의 장비는 고성능 방범 보관함에 보관하고, CCTV와 자동 경보 기능을 갖춘 종합 스마트 보안 시스템을 설치하는 것이 좋습니다. 여행 시에는 보안 보관 시설이 있는 호텔을 선택하는 것이 중요합니다. 고급 호텔은 전문 보안 보관 서비스를 제공하며, 장비에 추가 보호층을 제공합니다. 또한 휴대용 보관함을 소지하여 언제든지 중요한 장비를 보호할 수 있습니다.
3. 리스크 노출 감소 및 단일 실패 지점 방지
장비와 자산을 분산 저장하는 것은 리스크를 줄이는 핵심 전략입니다. 모든 고권한 장비와 암호화 자산을 한 장소 또는 한 지갑에 보관하지 말고, 서로 다른 지리적 위치의 안전한 장소에 분산 저장하는 것이 좋습니다. 예를 들어 집, 사무실, 신뢰할 수 있는 친구나 가족에게 각각 일부 장비와 자산을 나누어 보관할 수 있습니다. 또한 여러 핫월렛과 하드웨어 콜드월렛을 사용해 각 지갑에 일부 자산만 보관하는 것도 효과적인 방법입니다. 보안을 강화하기 위해 멀티시그 지갑을 사용할 수도 있으며, 여러 서명자가 승인해야 거래가 가능하게 함으로써 자산 보안 수준을 크게 높일 수 있습니다.
4. 최악의 상황을 가정한 비상 대응 계획
잠재적 보안 위협에 대비해 최악의 상황을 대비한 비상 계획을 수립하는 것이 중요합니다. 고액 자산가는 눈에 띄지 않게 행동함으로써 공격 대상이 되는 것을 방지하는 것이 효과적입니다. 공개 장소에서 암호화 자산을 자랑하지 말고, 자산 정보를 조용히 유지하는 것이 좋습니다. 또한 장비 분실 또는 도난 시 대응 계획을 수립하는 것도 필요합니다. 공격자를 현혹하기 위한 유인용 지갑을 준비하거나, 중요한 장비의 데이터를 원격으로 잠그거나 삭제할 수 있도록 설정할 수 있습니다(백업이 있는 경우). 고위험 지역 방문 시 사설 경호원을 고용하거나, 특별 보안 통로와 고보안 호텔을 이용해 안전과 프라이버시를 확보할 수 있습니다.
OKX Web3 지갑 보안팀: 두 가지 차원에서 설명드리겠습니다. 하나는 OKX Web3 앱 차원, 다른 하나는 사용자 차원입니다.
1. OKX Web3 앱 차원
OKX Web3 지갑은 앱 보안을 위해 알고리즘 난독화, 로직 난독화, 코드 무결성 검사, 시스템 라이브러리 무결성 검사, 앱 변조 방지, 환경 보안 검사 등 다양한 보강 및 검사 기술을 적용하여 사용자가 앱을 사용할 때 해커 공격을 받을 가능성을 최소화했습니다. 또한 불법 집단이 앱을 재패키징하는 것을 방지하여 가짜 앱 다운로드 위험도 낮췄습니다.
또한 Web3 지갑 데이터 보안 차원에서는 최첨단 하드웨어 보안 기술을 사용해 칩 수준의 암호화 방식으로 지갑 내 민감 데이터를 암호화합니다. 이 암호화 데이터는 장비 칩에 바인딩되므로, 데이터가 유출되더라도 누구도 복호화할 수 없습니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다 Telegram 구독 그룹:https://t.me/TechFlowDaily 트위터 공식 계정:https://x.com/TechFlowPost 트위터 영어 계정:https://x.com/BlockFlow_News










