
최근 발생한 해킹 사건에 대한 고찰 – 내 계정을 어떻게 보호할 수 있을까?
글: 왕푸귀아
최근 도난 사건들을 많이 봤는데, 대부분 플랫폼에서 책임을 지고 전액 보상을 해주고 있다. 하지만 사용자 본인도 계정의 보안 수준을 늘려야 한다. 결국 돈은 본인의 것이기 때문이다. 옛말에 "군자는 위험한 담장 아래 서지 않는다"고 했다. 직설적으로 말하면, 위험이 발생할 가능성을 아예 없애는 것이 중요하다는 뜻이다. '양이 죽은 후에 울타리를 고친다'는 식으로 손실을 줄이는 것이 아니라, 위험을 사전에 회피하는 것이 가장 고차원적인 리스크 관리 방법이다.
자금 분산 — 자금 규모와 상관없이, 자금을 최소한 두 부분 이상으로 나누어 보관하라. 가능하면 서로 다른 두 플랫폼에 나눠 보관하는 것이 가장 좋으며, 특정 한 플랫폼만 믿겠다면 적어도 두 개의 계정에 나눠서 보관해야 한다.
간단한 비밀번호 사용 금지 — 보기엔 쓸데없고 귀찮아 보일 수 있지만, 사실 가장 중요한 항목이다. 반드시 대문자, 소문자, 기호를 조합하여 비밀번호를 설정해야 한다. 이미 많은 플랫폼에서 이를 강제하고 있지만, 여전히 대소문자나 특수기호 없이도 비밀번호를 설정할 수 있는 사이트도 존재한다. 웹사이트 로그인, 이메일 회원가입, 게임 플레이 등 어떤 경우라도 충분한 강도를 갖춘 비밀번호를 설정하는 것을 권장한다.
비밀번호 중복 사용 금지 — 거래 플랫폼의 보안 수준이 충분히 높아서 자신의 비밀번호가 유출되지 않을 것이라고 생각할 수도 있다. 그러나 지금은 웹사이트든 앱이든 가릴 것 없이 어디든 회원가입이 필요하다. 그런데 모든 웹사이트가 사용자 보안을 철저히 하는 것은 아니다. 예를 들어, 당신이 성인물 스트리밍 사이트에 사용한 비밀번호가 다른 모든 계정과 동일하다면, 그 사이트가 악의적 행위를 하거나 보안 사고가 발생했을 때 당신의 모든 계정이 노출되는 위험에 처하게 된다.
정기적인 비밀번호 변경 — 전통 금융기관들이 특히 잘 지키는 습관이며, 번거롭게 느껴질 정도로 꾸준히 알림을 준다. 하지만 실제로 전통 금융기관은 고객에게만 이 조언을 하는 것이 아니라, 내부 직원들의 시스템 로그인에도 엄격히 적용하며, 과거에 사용했던 비밀번호는 다시 사용하지 못하게 한다. 언제 비밀번호가 유출되었는지, 공격이 언제 이루어질지 모른다. 따라서 귀찮다고 생각하지 말고, 정기적으로 비밀번호를 변경해 이러한 위험을 미연에 방지하라.
제3자 앱 연동 권한 관리 — 트위터, 디스코드, 혹은 각종 플랫폼에서 제3자 앱 연결 요청을 받을 때마다 주의 깊게 권한 내용을 확인하라. 너무 높은 권한을 부여해서는 안 된다. 또한, 사용 후에는 즉시 권한을 제거하라. 다음에 사용할 때 다시 연결하면 된다. 어쩔 수 없이 연동해야 한다면, 반드시 예비 계정을 사용하고 주계정을 위험에 노출시키지 마라.
로그인 기록 및 기기 관리 정기 확인 — 자신이 추가하지 않은 기기를 즉시 제거하고, 자신이 아닌 사용자의 로그인 기록을 주시할 뿐 아니라, 더 이상 사용하지 않는 자신의 기기도 삭제하여 분실, 수리, 판매 후 발생할 수 있는 리스크를 막아야 한다. 이메일 계정의 보안 설정에서도 동일한 작업을 수행하라.
API 권한 통제 — 가능한 한 API 사용을 자제하고, 불가피하게 사용해야 할 경우 권한을 엄격히 제한하라. 이번 사건에서는 API가 인출 권한까지 부여받았다는 보도도 있었다. 또한 정기적으로 API를 점검하여, 자신이 설정하지 않은 높은 권한의 API가 있다면 즉시 삭제하라.
반드시 2단계 인증(Google Authenticator) 활성화 — GA(구글 오토인식기) 사용은 매우 간편하며, 활성화하지 않을 이유가 없다. 보안 수준을 최대로 끌어올리는 방법이다. 이번 사건의 피해자들은 대부분 GA를 활성화하지 않았던 것으로 보인다. 참고로, Authenticator 앱을 다운로드할 때 다양한 소규모 개발자가 만든 제품들이 나오는데, 반드시 개발자를 확인하고 — Google을 선택하라.
Google Authenticator 클라우드 동기화 끄기 — 오른쪽 상단의 구름 아이콘을 누르면 클라우드 동기화를 해제할 수 있다.
Google Authenticator의 Key는 손으로 복사 보관하기 — 지갑의 개인키나 복구 문구를 어떻게 기록하는지 그대로 따라 하면 된다. 여러 장소에 백업을 남겨두어, 너무 은밀하게 숨겨서 본인도 찾지 못하는 일이 없도록 하라.
Google Authenticator와 거래 기기 분리 — GA를 인터넷에 연결하지 않는 별도의 휴대폰에 설치하라. 이 기기는 절대 인터넷에 접속하지 않으며, 실제론 휴대폰 형태의 전용 보안 토큰 장치라고 보면 된다.
이메일 및 휴대폰 번호 관련 기기 분리 — 여력이 된다면, 각각을 별도의 기기에 배치하라. 번거롭다고 생각하지 말라. 계속 강조하는 기기 분리는 큰 비용이 들지 않는다. 현재 아이폰 10도 1000위안(약 18만 원) 이하로 구입할 수 있기 때문이다.
세상 속에 숨어 살라! — 매우 중요한 점인데, 꼭 필요한 경우가 아니라면 주변 누구에게도 본인이 암호화폐 거래를 하고 있다는 사실을 알려서는 안 된다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News














