심층 대화: 온체인 거래에서 보안 위험을 어떻게 방지할 수 있는가? 거래소 상장 평가 기준과 프로젝트 리스크 식별
저희는 Bitget의 연구원 Tommy와 슬로우미스트(SlowMist) 보안 팀의 운영 책임자 Lisa를 초청하여 거래소의 상장 평가 리스크, 체인상 보안 문제, 그리고 투자자가 자신의 자산을 어떻게 보호할 수 있는지에 대해 함께 논의했습니다. 두 게스트는 신규 프로젝트 평가, 이미 상장된 토큰 모니터링, 해킹 사건 대응 등 다양한 경험을 공유하며 현재 암호화폐 시장에서 개인 및 기관 투자자가 주목해야 할 보안 위협과 새로운 도구들을 활용해 보안성을 강화하는 방법에 대해서도 다뤘습니다.
오프닝 소개
Tommy:
안녕하세요, 저는 암호화폐 거래소 Bitget에서 2년 반 동안 연구원으로 일하고 있습니다. Bitget은 초기에는 200~300명 규모의 팀이었으며 주요 사업은 선물 및 복사거래였지만, 현재는 선물 상품 시장 점유율이 약 27%에 달하고 플랫폼 월 방문 수가 3,000만 회를 넘어서며 전 생태계를 아우르는 암호화폐 거래 플랫폼으로 성장했습니다. 전 세계 100개 이상 국가 및 지역에서 2,500만 명 이상의 등록 사용자를 보유하고 있습니다.
제 2년 넘는 근무 기간 동안 VIP 고객 대상 세미나 외에는 PPT를 거의 제작하지 않았습니다. 저희 팀은 형식적인 발표나 번거로운 보고보다 효율성과 결과 중심을 중요하게 여깁니다. 저희 연구소 팀은 DeFi 제품 설계 및 구현에 능통한 최정상급 인재부터 체인상 데이터 분석에 풍부한 경험을 가진 전문가까지 다양한 역량을 갖추고 있습니다.
Lisa:
안녕하세요, 저는 슬로우미스트의 운영 책임자 Lisa입니다. 슬로우미스트는 업계를 선도하는 블록체인 보안 기업으로, 체인상 및 체인하 보안 경험뿐 아니라 위협 정보(Threat Intelligence) 분야에서도 오랜 축적을 보유하고 있습니다. 슬로우미스트는 "위협 탐지에서 위협 방어까지" 맞춤형 통합 보안 솔루션을 제공하며, 주로 보안 감사(Security Audit)와 자금세탁방지 추적(FATF/AML Tracing) 두 가지 서비스를 중심으로 활동합니다. 슬로우미스트라는 이름은 <삼체>에서 유래했으며, 소설 속 '느린 안개 구역(slow fog zone)'은 안전 지대를 의미하며, 이는 블록체인이라는 위험한 '암흑의 숲(Dark Forest)' 속에서 우리가 만들어내는 안전 지대를 상징합니다. 또한 저희는 '슬로우미스트 존(MistTrack Zone)'이라는 화이트햇 커뮤니티를 운영 중이며, 현재 30만 명 이상이 참여하고 있습니다.
상장 전 리스크 평가는 어떻게 수행하나요? 신생 프로젝트와 유명 프로젝트의 평가 전략은 다르게 적용되나요?
Tommy:
Bitget의 리스크 평가는 연구소가 주도하며, 감사 및 리스크 관리 팀이 협력합니다. 먼저 해당 프로젝트의 분야(섹터), 팀 배경, 투자자 이력을 종합적으로 검토합니다. 만약 Bitget의 리스크 관리 기준에 위배되는 요소, 예를 들어 도박·음란·마약 또는 정치적 민감 사안이 포함되면 즉시 거절합니다. 또한 미국 증권거래위원회(SEC)에 소송된 프로젝트나 부정적인 평판을 가진 프로젝트도 거절됩니다. 예를 들어 Pulsechain(PLS)은 TGE 직전 높은 관심을 받았으나 SEC와의 분쟁 및 부정적 평가로 인해 잠정적으로 협업을 거절한 바 있습니다.
다음으로 토큰 경제 모델, 상장 당시 FDV(완전 희석 가치) 및 초기 유통 시가총액을 평가합니다. 이러한 수치가 과도하게 높으면 거절하거나 조정을 요구합니다. 시가총액이 높지만 성장 가능성은 낮은 프로젝트는 일반 투자자들이 손해를 보는 구조가 되기 때문입니다. 최근 일부 VC가 투자한 코인들도 상장 후 가격이 90% 하락하는 사례를 목격했으며, 이런 종류의 토큰은 앞으로 피할 계획입니다. 그러나 어찌 됐든 프로젝트 혹은 토큰의 미래 가격 흐름을 정확히 예측하기는 어렵기 때문에, 저희는 가능한 한 거래자의 손실을 줄일 수 있는 방법론을 통해 리스크를 최소화하려 합니다.
비선발 상장 프로젝트, 특히 최근 상장한 메모코인(Memecoins)의 경우 스마트컨트랙트 리스크, 칩스 집중도, LP 풀의 잠금 상태 등을 특별히 주목합니다. 신생 프로젝트의 경우에는 더욱 신중하게 접근하지만 동시에 혁신을 포용하기도 합니다. 예를 들어 Bitget이 가장 먼저 상장한 UNIBOT의 경우, 초기 설계상 '거래세 변경 가능', '블랙/화이트리스트 기능' 등 컨트랙트 권한을 보유했기에 잠재적 단점이 있었지만, 연구팀이 UNIBOT의 수익 모델을 분석한 결과 지속 가능성과 러그풀(Rug Pull) 동기가 없다고 판단하여 상장을 결정했고, 결국 거래자들에게 괜찮은 수익을 제공했습니다. 다른 예시로 ORDI의 경우, BRC-20 표준이 비트코인 생태계를 재활성화할 수 있으며 마이너 집단의 지지를 받을 것이라고 판단했습니다.
VC 코인과 커뮤니티 코인은 어떻게 평가하나요? 두 유형 사이의 차이는 무엇인가요?
Tommy:
비즈니스 관점에서 Bitget의 핵심 목표는 리스크를 통제하면서도 사용자에게 풍부한 자산 선택과 투자 기회를 제공하는 것입니다. 일부 VC 코인은 TGE 시 큰 관심을 받지만, 그 개념이나 토큰 이코노미 설계가 FDV를 지탱하기에 부족하다고 판단될 수 있습니다. 하지만 이런 토큰을 상장하지 않으면 사용자들, 특히 소액 투자자와 대규모 고객들로부터 "왜 이런 선택지를 제공하지 않느냐"는 질문을 받기도 합니다. 사용자가 실제로 구매할지는 본인의 결정이므로, 저희는 기회 자체는 제공해야 한다고 생각합니다. 시가총액이 큰 토큰의 경우, 상장 당일 또는 익일에 선물 거래를 오픈하여 매수 또는 매도 기회를 제공합니다.
내부적으로 매우 높은 트래픽과 큰 상승 잠재력을 가진 '천왕급' 프로젝트에는 S 등급을 부여합니다. 트래픽과 투자자 배경은 좋지만 제품이 견고하지 않거나 커뮤니티 반응이 평범한 경우 A 등급으로 하향 조정합니다. A 등급 프로젝트는 S 등급처럼 적극적으로 홍보되진 않지만, 거래소 입장에서는 여전히 상장 가치가 있다고 판단합니다.
상장 후 프로젝트의 실적과 리스크는 어떻게 지속적으로 모니터링 하나요?
Lisa:
공개 블록체인 전체 또는 스마트컨트랙트에 대한 종합 감사보다는, 거래소의 상장 평가 지원 시 슬로우미스트는 자산의 보안 위협에 더 집중합니다. 기술적 고려 사항이 가장 중요합니다. 예를 들어 소스 코드의 보안성을 검토하고, 지속적인 유지보수 및 업데이트 여부를 확인합니다. 또한 개인키 생성 시 무작위성(randomness)이 안전한지, 신뢰할 수 있는 난수 원(Random Source)을 사용하는지 점검하며, 암호학적 보안성도 살펴봅니다. 산업계에서 검증된 알고리즘을 사용했는지, 암호 구성 요소가 성숙하고 신뢰할 수 있는지 확인합니다. 경제 모델의 리스크도 매우 중요합니다. 예를 들어 잠재적인 피라미드 구조나 '데스 스파이럴(Death Spiral)' 같은 문제를 주의 깊게 살핍니다. 물론 팀 리스크도 핵심 요소이며, 특수 권한 존재 여부나 토큰 집중도가 과도하면 러그풀이나 급매도로 이어질 수 있습니다.
거래소는 해커들의 주요 공격 대상이며, 서버는 보안 시스템 뒤에 위치시키고, 자금 관리 핵심 서비스는 오프라인에서 운영하는 경우도 많습니다. 하지만 블록체인 시스템은 데이터 무결성에 엄격한 요구를 하기 때문에, 악성 거래가 외곽 보안 장치를 우회해 '위조 입금(Fake Deposit)' 문제를 일으킬 수 있습니다. 흔한 위조 입금 공격 기법으로는 '위조 코인'이 있는데, 거래소가 특정 코인의 전송 로직 판단에 취약점을 가지고 있을 때 발생합니다. 공격자는 위조 입금 거래를 생성하여 거래소가 이를 정상 입금으로 오인하게 만들고, 사용자 계좌에 잔액을 부여받는 식입니다. 또한 비트코인 프로토콜의 RBF(Replace-by-Fee) 기능을 이용한 위조 입금도 흔한 수법으로, 공격자가 더 높은 수수료를 지불해 이전 거래를 대체함으로써 거래소가 잘못 판단하게 하고 자산 손실을 유도합니다.
참고로 위조 입금 공격은 블록체인 자체의 결함이라기보다는, 공격자가 블록체인의 특성을 이용해 악성 거래를 의도적으로 구성한 것입니다. 위조 입금 공격을 방어하기 위해선 특히 대규모 또는 고위험 거래에 대해 인공 심사를 도입하는 것이 효과적입니다. 또한 외부 API 인터페이스에 대한 보안 인증과 정기적인 검토를 통해 API의 보안성을 확보함으로써 무단 접근 및 잠재적 취약점을 방지할 수 있습니다.
Tommy:
프로젝트 상장 이후 리스크가 발생하면 시장 반응이 매우 빠르게 나타나며, Bitget 내부에서는 즉시 해당 프로젝트의 긴급 상장 폐지 여부를 논의하고 사용자 보호 조치를 취합니다. 저희는 모든 상장 토큰의 실적을 지속적으로 모니터링하고 있으며, 최근에는 이 분야 관리를 강화하고 있습니다. 앞으로 ST(Special Treatment, 특별관리) 토큰이 더 많이 등장할 수 있습니다.
ST 토큰이 규정된 기간 내에 기본적인 개선이나 유동성 회복을 하지 못하면 상장 폐지를 고려할 계획입니다. 많은 프로젝트가 상장 후 성과가 저조해지면 프로젝트 팀이 소극적으로 전환하며('擺爛'), 프로젝트를 더 이상 진전시키지 않아 시장 깊이가 나빠지고, 일반 투자자들이 매매 시 큰 슬리피지를 겪게 되며, 사용자 경험에 심각한 영향을 미칩니다. 저희는 이러한 문제 해결에 적극 나서고 있습니다.
토큰 리스크 방어 측면에서는 상장 전에 대부분의 작업을 완료합니다. 첫 번째 메모코인 열풍 당시 Bitget은 많은 고위험 메모코인을 거절했습니다. 예를 들어 배분 방식이 부당하거나, 프로젝트 팀이 과도한 칩스를 보유하거나, 체인상 지갑 주소 데이터가 조작된 경우였습니다. 프로젝트 측에서 상장 수수료를 지불하겠다고 제안해도 상장을 거절했습니다.
슬로우미스트가 처리한 대표적인 체인상 보안 사건은 어떤 것이 있나요?
Lisa:
슬로우미스트 창립 이래 수많은 체인상 보안 사건을 처리했습니다. 여기서 두 가지 사례 유형을 공유하겠습니다. 하나는 프로젝트 팀이 공격을 당한 사건, 다른 하나는 개인 사용자가 자산을 도난당한 사례입니다.
먼저 2021년의 Poly Network 사건입니다. 당시 가장 큰 피해 규모를 기록한 공격 사건 중 하나로, 관련 금액은 무려 6억 1,000만 달러에 달했습니다. 사건 발생 후 Poly Network는 당일 밤 8시경 공격 사실을 발표했고, 9시경 Tether사는 해커 주소의 일부 USDT를 즉시 동결했습니다. 저희는 밤 11시경 해커의 일부 신원 정보 및 IP 주소를 발견하고 자금 흐름 추적을 시작했습니다. 다음 날 오후 해커는 자금을 반환하기 시작했습니다. 이 사건은 슬로우미스트에게 있어 이정표가 되었습니다. 이를 통해 우리는 신속 대응, 체인상 자금세탁방지, 자산 동결 등의 일련의 비상 예방 및 방어 프로세스를 정립할 수 있었습니다.
다른 유형은 개인 사용자 도난 사건입니다. 올해 2월, 한 사용자가 저희를 찾아왔는데, 자신이 자산을 도난당했다고 알렸습니다. 해커는 유명 언론사 기자를 가장해 피해자가 악성 스크립트가 포함된 링크를 클릭하게 만들었고, 결국 계정 권한과 자금을 모두 탈취당했습니다. 피해자는 도난 후 저희에게 연락해 자신의 경험을 공개했습니다. 저희는 자금이 특정 거래소로 이체된 것을 확인하고 즉시 해당 거래소에 연락해 일시 동결 조치를 요청했습니다. 수사 절차가 복잡했지만, 3개월 반 후 피해자는 결국 도난 자산을 회수하는 데 성공했습니다. 이는 대만 사법 역사상 구체적인 용의자 정보 없이, 자금 흐름 분석과 지갑 소유자 증명을 통해 법 집행 기관의 협조를 받아 자산 동결 및 반환을 성사시킨 첫 사례입니다.
이러한 사례를 통해 제가 공유하고 싶은 팁은 다음과 같습니다. 만약 불행히도 자산을 도난당했다면 우선 손실을 최소화하는 것이 중요합니다. 예를 들어, 권한 도난 시 즉시 권한을 취소하고, 개인키 또는 복구 문구가 유출된 경우 남은 자산을 즉시 이전해야 합니다. PC에 트로이목마가 설치된 경우, 즉시 인터넷 연결을 끊되 컴퓨터는 종료하지 말고, 이후 증거 수집을 위해 유지한 후, 각 플랫폼 저장 비밀번호를 변경하고 지갑도 교체하세요. 도난 시간선과 상세 설명을 기록하고, 제3자 보안 팀의 도움을 요청하며, 수사 접수 후 법 집행 기관의 지원을 요청하세요. 이러한 조치들은 개인 자산을 보호하기 위한 중요한 절차입니다.
어떻게 하면 토큰 컨트랙트나 인터랙션 프로젝트가 안전한지 판단할 수 있나요?
Lisa:
가장 간단한 방법은 코드를 직접 확인하는 것입니다. 하지만 기술에 익숙하지 않은 일반 사용자라면, 대표적인 피싱 및 사기 사례들을 많이 접해보고, 그 특징과 형태를 파악함으로써 경각심을 높이는 것이 중요합니다. 특히 '살 수는 있지만 팔 수 없는' 위조 토큰과 같은 함정에 주의해야 합니다. 프로젝트를 평가할 때는 높은 수익률이 일반적으로 높은 리스크를 동반한다는 점을 기억하세요. 팀이 공개적이며 투명한지, 팀원들이 알려진 인물인지 확인함으로써 러그풀이나 사기를 당할 확률을 줄일 수 있습니다. 또한 코드가 보안 감사를 거쳤는지도 반드시 확인하세요. 가능하면 유명 헤드 프로젝트에 참여하는 것이 좋습니다. 설령 공격을 당하더라도 보상 방안이 마련되어 있는 경우가 많아 자산 보호 측면에서 더 안전합니다.
Tommy:
저는 대부분의 일반 사용자가 코드 보안을 직접 점검할 능력이나 시간이 없다고 생각합니다. 가장 쉬운 방법은 GoPlus와 같은 신뢰할 수 있는 제3자 도구를 사용하는 것입니다. 이 도구는 EVM 체인을 포함한 여러 체인을 지원합니다. Solana 사용자는 RugCheck나 gmgn ai를 사용해볼 수 있으며, 토큰 리스크를 탐지하는 데 도움이 됩니다. 체인상에서 투자할 때 일부 토큰은 컨트랙트를 공개하지 않거나, 거래세 수정 권한을 보유하고 있을 수 있습니다. 이는 프로젝트 팀이 대규모 자금 유입 후 매도세를 99% 또는 100%로 조정하는 등의 악의적 행동으로 이어질 수 있으며, 이 역시 일종의 사기입니다.
또한 현재 Bitget Wallet 등 비관리형(non-custodial) 지갑에는 리스크 경고 기능이 내장되어 있어, 고위험 토큰 거래 시 알림을 받을 수 있어 초보 사용자에게 매우 친절합니다. DeFi 금융 상품에 참여하는 경우, 유명 프로젝트 외에도 TVL(총 예치 가치)을 주목합니다. TVL이 5,000만 달러를 넘는 프로젝트라면 참여를 고려할 수 있지만, 이것이 다수의 사용자에 의해 이루어진 것인지 아니면 소수의 대형 지갑에 의해 조작된 것인지 주의 깊게 살펴봐야 합니다. 수천만 달러 이상의 TVL을 가진 대형 풀은 설령 윤리적 리스크가 발생하더라도 문제 해결이 비교적 쉬울 가능성이 높습니다.
일반 사용자와 기관 사용자에게 각각 어떤 체인상 보안 조언을 해주실 수 있나요?
Tommy:
일반 사용자에게 드리는 조언은 다음과 같습니다. 첫째, 웹사이트 방문 시 URL的真实性를 꼼꼼히 확인하세요. 둘째, 토큰 권한 부여 시 무제한 권한을 피하고, 소규모 프로젝트의 계약 권한은 사용 후 즉시 취소하세요. DeFi 거래를 하지 않는다면 예치금 증명(Proof of Reserve)을 제공하는 중앙화 거래소에서 간단한 금융 상품을 이용하는 것도 좋은 방법입니다. 비트코인 보유자라면 하드웨어 지갑 사용을 추천합니다.
기관 사용자의 경우 일반적으로 보안 조치에 대해 잘 알고 있지만, 그럼에도 불구하고 멀티시그 지갑(Multisig Wallet) 사용을 권장하며, 권한 관리를 철저히 해야 합니다. 보안 사고 발생 시 즉시 대응하여 초기의 작은 문제를 무시하지 마세요. 이런 문제가 더 큰 손실로 이어질 수 있습니다. 전문 보안 인력을 고용하여 정기적인 보안 감사 및 평가를 수행하는 것도 중요하며, 보안 기관과 협력해 침투 테스트(Penetration Testing)를 진행하는 것도 추천합니다.
Lisa:
체인상 조작 시 지갑 보안이 핵심입니다. 지갑 자산 도난은 크게 세 가지 유형으로 나뉩니다: 개인키 또는 복구 문구 유출, 권한 서명 피싱, 송금 목적지 주소 변조입니다.
개인키와 복구 문구 유출을 방지하려면 가짜 지갑 사용을 피해야 합니다. 많은 사용자가 검색 엔진 광고나 제3자 다운로드 사이트를 통해 지갑을 다운로드하는데, 이러한 경로는 개인키와 복구 문구 유출 위험이 있습니다. 또한 악성 브라우저 확장 프로그램도 사용자 인증 정보 및 민감한 데이터를 탈취할 수 있으므로, 신뢰할 수 있는 출처에서만 확장 프로그램을 설치하고, 자금 거래 시 전용 브라우저를 분리하여 사용하며, 정기적으로 바이러스 백신 소프트웨어로 장치를 점검하는 것이 좋습니다.
피싱 공격 중 가장 흔한 것은 '맹목 서명(Blind Signing)'입니다. 사용자가 서명 내용을 이해하지 못한 채 서명을 하는 경우인데, 특히 오프라인 서명 시 '서명이 체인에 올라가지 않고 가스도 소모되지 않는다'는 이유로 경각심을 늦추게 되어 자금을 도난당하는 경우가 많습니다. 맹목 서명의 권한 흔적은 피싱 공격자의 주소에서만 확인할 수 있어 피해자는 쉽게 알아차리기 어렵습니다.
체인상 조작 리스크 방어의 핵심은 도메인과 서명입니다. 사용자는 '보는 그대로 서명한다(what you see is what you sign)'는 원칙을 지키고, 맹목 서명은 거부해야 합니다. 서명 내용을 이해할 수 없다면 조작을 포기하는 것이 좋습니다. 또한 바이러스 백신 설치, 이중 인증(2FA) 활성화, 출처 불명의 링크 클릭 자제 등도 계정 보안을 강화하는 데 도움이 됩니다. 마지막으로 사례 학습을 통해 보안 의식을 높이세요. 감정에 휘둘려 무리한 조작을 하지 말고, 의심스러운 상황에서는 여러 경로로 검증하여 안전을 확보하세요. 슬로우미스트 창립자 유현(余弦)이 집필한 <블록체인 암흑의 숲 자구 수칙>은 반드시 읽어볼 만한 책입니다.
메모코인 거래 시 흔히 발생하는 보안 위험은 무엇인가요?
Tommy:
프리세일 메모코인의 경우, 많은 트레이더들이 공개 직후 즉시 진입하기 위해 봇, 직접 작성한 코드, 또는 gmgn ai 같은 플랫폼을 이용해 스나이핑을 시도합니다. 하지만 프로젝트 팀이 다양한 이유로 공개 시간을 연기하는 경우가 있어, 많은 사람들이 위조 토큰을 스나이핑하게 됩니다. 이러한 토큰은 티커 이름과 이미지가 동일하지만, 실제 토큰이 공개될 때 이미 시장에 4~5개의 러그풀을 노리는 가짜 토큰이 유통되고 있는 상황이 발생합니다. 따라서 높은 관심을 받는 프리세일 토큰에 참여할 때는 반드시 프로젝트 팀이 공식 확인한 컨트랙트가 상장된 후에 참여해야 하며, 그렇지 않으면 쉽게 사기를 당할 수 있습니다.
현재 메모코인 컨트랙트 권한 포기, 칩스 분산, LP 소각은 기본 요건이 되었습니다. 메모 트레이더들은 이러한 조건에 매우 엄격하며, 프로젝트 팀원이 사전에 구매한 정황이 발견되면 다른 사람들은 더 이상 참여하려 하지 않습니다.
이러한 기본 조건 외에도, LP 풀의 유동성이 최소 30만~50만 달러는 확보되어야 한다고 생각합니다. 소규모 풀은 러그풀 리스크가 매우 높으며 수익성도 제한적입니다. 또한 TGE 시 FDV가 너무 높아서는 안 됩니다. 메모코인이 체인상 거래량도 크지 않고 소셜 미디어에서의 논의도 많지 않음에도 수천만 달러 수준의 FDV를 가지면 매우 의심스럽습니다.
또한 많은 메모코인 개발자는 단 하나의 토큰만 발행하지 않고, 동시에 여러 개를 출시하기도 합니다. 개발자가 이전에 여러 번 러그풀한 메모코인을 출시한 전력이 있다면, 새 프로젝트에서도 다시 러그풀할 가능성이 높습니다. 따라서 이런 개발자의 신규 프로젝트에는 경계심을 가져야 합니다.
Lisa:
이더리움과 솔라나 체인에서 메모코인 트레이딩 시 서로 다른 체인상 리스크가 존재합니다. EVM 계열 공용 블록체인은 토큰 발행 자유도가 높으며, 토큰 로직이 개발자가 직접 구현합니다. 반면 솔라나는 공식 채널을 통해 토큰을 발행하므로, 체인상 거래 리스크가 다릅니다.
흔한 리스크 유형으로는 악성 토큰과 러그풀 토큰이 있습니다. 예를 들어 일부 메모코인은 논의도 많고 관심도 높지만, 사용자가 매도하려 할 때 주소가 블랙리스트에 올라 전송이 불가능한 경우가 있습니다. 이러한 토큰은 특수한 전송 제한 로직을 설정해 사용자가 판매하지 못하게 만듭니다. 또한 러그풀 토큰은 대량 증발 가능한 백도어 로직을 포함하고 있어, 프로젝트 팀이 특권 함수를 통해 자산을 무한 발행하거나 사용자 주소를 동결하는 등의 악의적 조작을 할 수 있습니다.
사용자의 체인상 보안성을 높이는 데 도움이 되는 새로운 기술과 도구는 무엇이 있나요?
Lisa:
초반에 언급한 Scam Sniffer는 피싱 리스크 차단 플러그인으로 매우 유용하며, 저도 직접 사용하고 있습니다. 또한 해당 업체의 권한 관리 도구도 추천합니다. Revoke.Cash도 권한 취소 및 확인을 위한 고전적인 도구입니다. 또한 AVG, 카스퍼스키(Kaspersky) 같은 바이러스 백신 소프트웨어도 신뢰할 수 있는 선택지입니다.
이러한 권한 및 피싱 차단 도구 외에도 GoPlus는 플리오盤(貔貅盘)과 플리오幣(貔貅币)를 효과적으로 탐지할 수 있어 매우 추천합니다. 또한 로컬 장치 관련 도구로는 1Password와 같은 유명한 비밀번호 관리기, 2FA 인증 도구도 있습니다. 백업이 필요하긴 하지만, 이중 인증을 사용하지 않는 것보다 훨씬 안전합니다.
또한 슬로우미스트의 MistTrack 자금세탁방지 추적 시스템도 특별히 추천하고 싶습니다. 저희는 MistTrack 기반의 'Black U Detection(검은 U 탐지)' 도구를 출시했으며, 사용자는 거래 주소를 입력해 점수를 확인함으로써 자금세탁 리스크를 식별하고 회피할 수 있습니다.
이러한 도구들은 체인상 보안성을 높이는 데 도움이 되지만, 절대적인 보안을 보장하지는 않습니다. 새로운 버전에 버그가 발생하거나, 오히려 백도어가 삽입되는 경우도 있습니다. 따라서 이러한 도구 사용 시 독립적인 사고를 유지하고 제로 트러스트(Zero Trust) 원칙을 실천하며 지속적으로 검증하는 것이 중요합니다. 절대적인 보안은 없다는 인식이 매우 중요합니다.
암호화 산업에서 보안 조치가 더 강화되어야 할 분야는 어디라고 생각하시나요?
Lisa:
암호화 산업은 보안 문제를 무시할 수 없습니다. 한 번의 실수가 수백만 달러의 손실로 이어져 프로젝트가 마비되거나 개인이 파산할 수 있으며, 모든 분야가 해킹 공격 위협에 노출되어 있습니다. 보안의 통나무 이론(Wooden Barrel Theory)에 따라, 보안 강화는 전반적인 요구사항입니다. 사용자, 프로젝트 팀, 공급망 등 모든 단계가 중요하며, 어느 한 곳도 보안 취약점이 있어서는 안 됩니다. 어느 한 부분의 소홀함이 전체 보안 체계를 무너뜨릴 수 있기 때문에, 기술적 방어와 인적 방어를 결합한 체계적인 방어 구조가 필요합니다.
첫째, 사용자의 보안 의식을 높여야 합니다. 슬로우미스트는 도난/사기 신고 양식 시스템을 운영하며, 사용자가 피해를 입은 후 정보를 제출하면 무료로 자금 추적 및 커뮤니티 평가를 제공합니다. 이러한 피드백을 통해 많은 사용자의 보안 인식이 매우 시급히 개선되어야 한다는 것을 알 수 있습니다. 사용자들은 보안 경고를 무시하거나 FOMO(두려움에 따른 매수) 감정에 휩싸여 흔한 공격 수법에 대해 잘 알지 못하는 경우가 많습니다.
프로젝트 팀이든 개인 사용자든 흔한 공격 수법을 이해하고, 사전에 비상 대응 계획을 수립하여 손실 발생 시 신속히 문제를 파악하고 통제할 수 있어야 합니다. 저희는 슬로우미스트를 통해 <블록체인 암흑의 숲 자구 수칙>과 트위터를 통해 보안 지식을 전파하고 있지만, 많은 사용자가 자금에만 관심을 갖고 보안 문제에 깊이 관여하려 하지 않습니다. 이는 업계 전반의 공동 노력이 필요한 부분이며, 사용자 자금 보호를 위한 더 나은 환경을 조성해야 합니다.
최근 트위터에서는 프로젝트 팀을 가장한 가짜 피싱 댓글이 많이 등장하고 있습니다. SpaceX 엔지니어들이 새로 개발한 기능으로, 사용자가 답글에서 링크를 비활성화할 수 있도록 했으며, 이는 네트워크 피싱 리스크를 크게 줄이는 효과적인 보안 조치입니다. 이러한 긍정적인 변화들이 계속되길 바라며, 앞으로도 사용자들이 리스크 대비 능력을 높일 수 있는 더 많은 보안 서비스가 등장하길 기대합니다.
Tommy:
저는 업계 종사자이자 사용자, 플레이어로서, 도구형 제품들이 계속해서 개선되어 보안 문제에 대한 걱정을 줄여주기를 바랍니다. 리스크가 발생했을 때 즉시 알림을 주거나, 잠재적 위험 조작을 바로 차단해주는 도구를 기대합니다. 이런 방식이 훨씬 사용자 친화적이며, Web3의 사용자 경험은 궁극적으로 현재의 Web2 수준을 넘어설 수 있다고 믿습니다.
외부 사용자들이 Crypto 생태계에 원활하게 진입할 수 있게 될 때, 이 산업은 비로소 진정한 성장을 이룰 수 있습니다. 이러한 인프라의 완성은 사용자가 리스크를 방어하는 데 도움이 될 뿐 아니라, 신규 진입자에게 더 나은 경험을 제공하며, 사기로 인한 실망이 전 산업에 대한 거부감으로 이어지는 것을 막을 수 있습니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
吴说区块链
