
Web3 보안 입문자 피해야 할 함정 가이드: 지갑의 악성 멀티시그 위험
글 작성: 만무 보안 팀
배경
이전 기사인 Web3 보안 입문 피해야 할 함정 가이드에서는 지갑 다운로드/구매 시의 위험성과 진짜 공식 웹사이트를 찾는 방법, 지갑 진위 확인법, 개인키/암기 문구 유출 리스크에 대해 다뤘습니다. 우리는 흔히 "Not your keys, not your coins(당신의 키가 아니면 당신의 코인이 아님)"라고 말하지만, 실제로 개인키/암기 문구를 가지고 있음에도 불구하고 자산을 통제할 수 없는 경우도 있습니다. 즉, 악의적인 다중 서명(multisig) 공격을 당한 경우입니다. 우리가 수집한 MistTrack 해킹 신고 양식을 종합하면, 일부 사용자의 지갑이 악의적 다중 서명 공격을 당한 후 자신의 지갑 계좌에 여전히 잔액이 있는데도 자금을 출금할 수 없는 이유를 이해하지 못하고 있습니다. 따라서 이번 기사에서는 TRON 지갑을 예로 들어 다중 서명 피싱에 관한 지식을 설명하겠습니다. 다중 서명 메커니즘, 해커들의 일반적인 수법, 그리고 지갑이 악의적으로 다중 서명 설정되는 것을 방지하는 방법 등을 다룹니다.

다중 서명 메커니즘
먼저 다중 서명(multisig)이란 무엇인지 간단히 설명하겠습니다. 다중 서명 메커니즘은 지갑의 보안을 강화하기 위해 설계된 것으로, 여러 사용자가 공동으로 하나의 디지털 자산 지갑에 대한 접근 및 사용 권한을 관리하고 제어할 수 있게 합니다. 일부 관리자가 개인키/암기 문구를 분실하거나 유출하더라도 지갑 내 자산이 반드시 피해를 입는 것은 아닙니다.
TRON의 다중 서명 권한 시스템은 세 가지 다른 권한을 제공합니다: Owner(소유자), Witness(증인), Active(활성). 각 권한은 특정한 기능과 용도를 가지고 있습니다.
Owner 권한:
-
모든 컨트랙트와 작업을 실행할 수 있는 최고 권한;
-
다른 권한(서명자 추가 또는 제거 포함)을 수정할 수 있는 권한은 오직 이 권한을 가진 자만이 보유;
-
새 계정 생성 후 기본적으로 해당 계정 주체가 이 권한을 소유함.
Witness 권한:
주로 슈퍼 대표(Super Representatives)와 관련되며, 이 권한을 가진 계정은 슈퍼 대표 선거 및 투표에 참여하고 슈퍼 대표 관련 작업을 관리할 수 있음.
Active 권한:
송금, 스마트 컨트랙트 호출 등 일상적인 작업에 사용됨. 이 권한은 Owner 권한에 의해 설정 및 수정 가능하며, 특정 작업을 수행해야 하는 계정에 할당하는 데 자주 사용됩니다. TRX 송금, 자산 스테이킹 등의 일련의 권한 부여 작업을 묶은 것임.
앞서 언급했듯이 새 계정을 만들면 해당 계정 주소는 기본적으로 Owner 권한(최고 권한)을 갖게 되며, 계정의 권한 구조를 조정하고 어떤 주소에게 권한을 부여할지 선택할 수 있고, 각 주소의 가중치 크기를 정하며 임계값(threshold)을 설정할 수 있음. 여기서 임계값이란 특정 작업을 수행하기 위해 필요한 서명자의 가중치 합계를 의미합니다. 아래 그림에서 임계값이 2로 설정되어 있으며, 3개의 권한 부여 주소 각각의 가중치는 1입니다. 따라서 특정 작업을 수행할 때 두 개의 서명자만 확인되면 해당 작업이 유효해집니다.

(https://support.tronscan.org/hc/article_attachments/29939335264665)
악의적 다중 서명 과정
해커가 사용자의 개인키/암기 문구를 확보한 후, 만약 사용자가 다중 서명 메커니즘을 사용하지 않았다면(즉, 해당 지갑 계정이 사용자 혼자만 제어하는 경우), 해커는 자신의 주소에 Owner/Active 권한을 부여하거나 사용자의 Owner/Active 권한을 자신에게 이전할 수 있습니다. 이러한 두 가지 조작은 모두 일반적으로 '악의적 다중 서명'이라고 불리지만, 사실 광범위한 표현이며, 실제로는 사용자가 여전히 Owner/Active 권한을 가지고 있는지 여부에 따라 구분할 수 있습니다.
다중 서명 메커니즘 이용
아래 그림에서 사용자의 Owner/Active 권한은 제거되지 않았으며, 해커는 자신의 주소에 Owner/Active 권한을 부여했습니다. 이때 계정은 사용자와 해커가 공동으로 제어하게 되며(임계값 2), 사용자 주소와 해커 주소의 가중치는 모두 1입니다. 사용자는 개인키/암기 문구를 소지하고 있으며 Owner/Active 권한도 가지고 있지만 자산을 이체할 수 없습니다. 왜냐하면 사용자가 자산 이체 요청을 발동할 경우 사용자와 해커의 주소 모두의 서명이 필요하며, 이 작업만이 정상적으로 실행될 수 있기 때문입니다.

다중 서명된 계정은 자산 이체 작업을 수행하기 위해 다수의 서명 확인이 필요하지만, 지갑 계정에 입금하는 것은 다중 서명이 필요하지 않습니다. 사용자가 정기적으로 계정 권한 상황을 점검하지 않거나 최근에 출금 작업을 하지 않았다면, 지갑 계정의 권한이 변경되었는지 알 수 없으며, 계속해서 피해를 입게 됩니다. 지갑 내 자산이 많지 않다면, 해커는 장기적인 전략을 취하여 해당 계정에 어느 정도의 디지털 자산이 축적된 후 일괄적으로 모든 자산을 훔쳐갈 수도 있습니다.
TRON의 권한 관리 설계 메커니즘 이용
또 다른 경우는 해커가 TRON의 권한 관리 설계 메커니즘을 이용하여 사용자의 Owner/Active 권한을 직접 해커 주소로 이전하는 것입니다(임계값은 여전히 1). 이를 통해 사용자는 Owner/Active 권한을 완전히 상실하여 '투표권'조차 잃게 됩니다. 참고로, 이 경우 해커는 다중 서명 메커니즘을 이용하여 사용자가 자산을 이체하지 못하게 한 것이 아니지만, 일반적으로 이런 상황도 '지갑이 악의적으로 다중 서명되었다'고 부릅니다.

위 두 가지 경우의 결과는 동일합니다. 사용자가 Owner/Active 권한을 여전히 가지고 있든 그렇지 않든, 계정에 대한 실질적인 통제권을 잃게 되며, 해커 주소는 계정의 최고 권한을 획득하여 계정 권한 변경, 자산 이체 등의 작업을 수행할 수 있게 됩니다.
악의적 다중 서명 경로
MistTrack에서 수집한 해킹 신고 양식을 종합하여 지갑이 악의적 다중 서명 공격을 당하는 일반적인 원인들을 정리하였으며, 사용자 여러분께서 다음의 몇 가지 상황을 접하게 될 경우 경계심을 가져주시기 바랍니다:
1. 지갑 다운로드 시 올바른 경로를 찾지 못하고 텔레그램, 트위터, 인터넷 사용자들이 보내준 가짜 공식 사이트 링크를 클릭하여 가짜 지갑을 다운로드받아 개인키/암기 문구가 유출되고 지갑이 악의적으로 다중 서명되는 경우.

2. 연료카드, 기프트카드, VPN 서비스 등을 판매하는 피싱 충전 사이트에서 개인키/암기 문구를 입력하여 결국 지갑 계정의 통제권을 상실하는 경우.

3. OTC 거래 중 누군가가 개인키/암기 문구를 사진으로 찍거나 어떤 수단으로 계정 권한을 획득한 후 지갑이 악의적으로 다중 서명되고 자산이 손실되는 경우.

4. 일부 사기꾼들이 자신이 지갑 계정 내 자산을 인출할 수 없다며 개인키/암기 문구를 제공하고 도와줄 경우 보상을 준다고 유혹하는 경우. 비록 이 개인키/암기 문구에 해당하는 지갑 주소에는 실제로 자금이 존재하지만, 아무리 수수료를 많이 내고 손이 빠르게 움직여도 인출할 수 없습니다. 왜냐하면 인출 권한이 사기꾼에 의해 다른 주소로 설정되어 있기 때문입니다.

5. 좀 더 드문 경우로, 사용자가 TRON에서 피싱 링크를 클릭하거나 악성 데이터에 서명한 후 지갑이 악의적으로 다중 서명되는 경우.

요약
본 안내서에서는 TRON 지갑을 예로 들어 다중 서명 메커니즘과 해커들이 악의적 다중 서명을 수행하는 과정 및 수법을 설명하였습니다. 이를 통해 독자들이 다중 서명 메커니즘에 대한 이해를 깊이 있게 하고 지갑이 악의적으로 다중 서명되는 것을 예방하는 능력을 향상시키길 바랍니다. 물론 악의적 다중 서명 외에도 비교적 특별한 사례들이 존재합니다. 일부 초보 사용자들은 조작 실수나 이해 부족으로 인해 지갑을 실수로 다중 서명 설정하여 여러 서명이 있어야만 송금이 가능한 상황이 발생할 수 있습니다. 이 경우, 사용자는 단순히 다중 서명 요구사항을 충족하거나 권한 관리에서 Owner/Active 권한을 하나의 주소에만 부여하여 다시 단일 서명 상태로 복원하면 됩니다.

마지막으로, 만무 보안 팀은 사용자 여러분들께 다음과 같이 제안드립니다. 정기적으로 계정 권한을 점검하여 이상 여부를 확인하세요. 공식 경로를 통해 지갑을 다운로드하세요. 저희는 Web3 보안 입문 피해야 할 함정 가이드|가짜 지갑과 개인키 암기 문구 유출 리스크에서 어떻게 올바른 공식 웹사이트를 찾고 지갑의 진위를 검증하는지 설명했습니다. 출처가 불분명한 링크를 클릭하지 마시고, 특히 개인키/암기 문구를 쉽게 입력하지 마세요. 바이러스 백신 소프트웨어(예: 카스퍼스키, AVG 등)와 피싱 리스크 차단 플러그인(예: Scam Sniffer)을 설치하여 기기의 보안성을 높이세요.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News














