5m
2025년 2월, 암호 화폐 거래소 바이비트는 북한 공격자들로 귀속되는 약 14억 달러의 충격적인 해킹 사고를 당하여, 역사상 가장 큰 암호 화폐 강도 사건을 기록했습니다. 안타깝게도, 바이비트 사건은 고립된 사건이 아니었습니다. 2024년에는 암호 화폐 관련 약 23억 달러가 해킹, 사기 및 도난으로 상실되어 2023년의 손실액 대비 42% 증가하는 경악스러운 증가가 있었습니다. 이러한 범죄 활동의 증가는 전 세계 수백만 소매 투자자들에게 영향을 미쳤습니다.
사이버 범죄자들이 대형 거래소부터 개인 지갑에 이르기까지 모든 것을 노린다는 것은 암호 화폐 투자자들에게는 사상 최고치에 이른 위협이 있습니다. 이 안내서의 목적은 이러한 증가하는 보안 위험 속에서 소매 암호 화폐 보유자들이 자산을 지키는 방법에 대해 교육하는 것입니다.
우리는 일반적인 위협, 안전한 플랫폼 선택 방법, 지갑 보호를 위한 모범 사례들을 다룰 것입니다. 도전에 대한 이해와 스마트한 보안 습관을 채택함으로써, 희생자가 되는 가능성을 크게 줄이고 자신있게 암호 화폐 공간을 탐험할 수 있습니다.
암호 화폐 투자자들은 신속하고 되돌릴 수 없는 손실로 이어질 수 있는 다양한 보안 위협에 직면합니다. 이러한 위험을 이해하는 것은 매우 중요합니다. 특히 전통적인 금융과 달리, 암호 화폐에는 복구 옵션이 거의 없습니다. 전화할 은행도 없으며 손실을 자동으로 보상해주는 보험회사도 없습니다. 블록체인 거래는 한 번 확인되면 되돌릴 수 없으며, 환불이 불가능합니다. 즉, 자금이 도난당하거나 잘못된 주소로 보내진 경우, 그 자금은 사라질 가능성이 높습니다. 아래는 가장 일반적인 위험 요인과 인식이 첫 번째 방어선이 되는 이유입니다:
거래소 해킹: 중앙 집중식 암호 화폐 거래소는 사용자의 자금과 개인 키를 보관하여 해커들에게 유익한 대상이 됩니다. 수년 동안 여러 거래소가 침투당했습니다. 2024년에만 이러한 대규모 해킹이 수억 달러의 손실을 야기했습니다. 이러한 공격은 일반적으로 해커가 거래소 지갑을 침해하여 대량의 암호 화폐를 도난당하는 것을 포함합니다. 거래소가 개인 키를 제어하기 때문에 플랫폼이 침투된 후에는 사용자들이 도난을 막을 방법이 거의 없습니다.
피싱 사기: 피싱은 사기꾼들이 가짜 웹사이트, 이메일 또는 정식 서비스를 흉내내어 민감한 정보 (로그인 자격 증명 또는 시드 문구)를 빼앗거나 악성 거래를 승인하도록 속이는 사회 공학의 한 형태입니다. 피싱 공격은 귀하의 거래소 로그인 페이지를 모방한 사기 사이트를 통해 올 수도 있고, 귀하의 지갑 공급자인 것처럼 보이는 긴급 이메일을 받을 수도 있습니다.
스마트 계약 취약점: 탈중앙화된 금융(DeFi)의 등장으로 스마트 계약 취약점을 통한 새로운 위험 요인이 소개되었습니다. 스마트 계약은 블록체인 위에서 자체 실행되는 코드입니다 - 버그나 루프홀이 있으면 해커가 DeFi 프로토콜에서 자금을 공격하여 약탈할 수 있습니다.
이러한 공격은 종종 직접적인 사용자 오류 없이 발생할 수 있습니다. 보이지 않는 결함이 공격자에 의해 악용될 수 있기 때문에 당신이 의도대로 프로토콜을 사용하는 도중입니다. 그렇다고 해도, 잘 감사 및 신뢰할 수 있는 DeFi 프로젝트를 선택함으로써(나중에 논의함) 이 위험을 완화할 수 있습니다.
개인 키 관리 오류: 당신의 개인 키(또는 시드 문구)는 귀하의 암호 화폐 자금에 액세스하기 위한 암호와 같습니다. 다른 사람이 이를 획득하면 그들은 귀하의 자산에 대해 완전한 통제권을 갖게 됩니다. 불행하게도, 개인 키 침해는 2024년에 암호화폐 도난의 가장 큰 원인으로, Chainanalysis에 따르면 모든 도난된 자금의 약 43.8%를 차지했습니다.
키 침해는 여러 방법으로 발생할 수 있습니다: 컴퓨터에 있는 악성 소프트웨어가 당신의 키 입력을 기록하거나, 당신이 불안전하게 저장한 시드 문구의 백업을 공격자가 발견하거나, 사설 플랫폼 내부 위협조차도 포함될 수 있습니다. 은행 PIN 또는 암호와 달리, 한 번 누출된 개인 키는 변경할 수 없습니다. 유일한 치료법은 잔여 자금을 새 지갑으로 옮기는 것뿐입니다(시간 내에 알아채면). 많은 거래소 해킹 사고는 최종적으로 개인 키 도난으로 이어집니다. 예를 들어, 2024년 대규모 DMM 비트코인 거래소 해킹은 개인 키 관리의 부실로 발생했을 수 있습니다. 개인 사용자들에게는 개인 키나 시드 문구를 분실하면 지갑의 자금에 대한 액세스 권한을 영구적으로 상실하게 됩니다. 탈중앙화된 암호화폐에는 "비밀번호를 잊었습니다" 옵션이 없습니다. 이러한 이유로 키를 안전하게 다루는 것이 절대적으로 중요합니다. 이에 대해 지갑 보안 부분에서 다룰 것입니다.
이러한 위협들 각각은 암호화폐가 안전망 없이 운영된다는 사실로 인해 악화됩니다. 은행 계좌가 해킹당하거나 신용 카드가 도난당한 경우 은행에 신고하거나 사기 거래를 청구하거나 예금 보험에 의존할 수 있습니다. 암호화폐에서는 주로 보안 책임이 사용자에게 원천적으로 있습니다.
암호화폐를 보호하기 위한 기초적 단계 중 하나는 거래, 투자 또는 자산 보관을 위한 올바른 플랫폼을 선택하는 것입니다. 중앙 집중형 거래소를 사용하거나 DeFi 프로토콜로 진입하든, 해당 서비스의 보안 조치와 평판을 평가하는 것이 중요합니다. 다음은 플랫폼을 검증하기위한 주요 기준 및 팁입니다:
중앙 집중형 거래소(Centralized Exchange, CEX)를 사용하여 암호화폐를 구매하거나 보유하는 경우, 그들의 보안 이력과 투명성을 조사하십시오. 확인해야 할 몇 가지 사항은 다음과 같습니다:
보유 증명 감사: 거래소가 고객 자산을 1:1 비율로 보유하는지 보여주기 위해 보유 증명을 게시하나요? 보유 증명 (PoR)은 거래소가 실제로 손님 자금을 모두 소유하고 있는지를 확인하는 독립적인 감사를 의미합니다. 이름난 거래소들 중 상당수는 현재 정기적인 PoR 감사를 거치거나 고객에게 Merkle-tree 증명을 제공합니다. 일부 명문 거래소가 스퍼를 게시합니다.贞사 자금을 가지고 있는지 확인합니다.일부 명문 거래소가 계속해서 PoR 감사를 진행하거나 Merkle-tree 증명을 고객에게 제공합니다.getActiveSheet 수정은 사설환경에서 중요한 요소입니다.
보통 제펀드와 제삼자 감사를 받는 거래소는 그렇지 않은 거래소보다 신뢰할 수 있습니다.
보험 기금 및 안전망: 최고 수준의 거래소는 경우에 따라 사용자들을 보호하기 위한 비상 보험 기금을 유지합니다. 예를 들어, 바이낸스는 유저들을 보호하기 위한 비상 예비 기금인 'Secure Asset Fund for Users (SAFU)'를 운영하고 있습니다. 비슷하게, 코인베이스는 자산의 범죄 보험을 가지고 있습니다. 거래소가 어떤 보험이나 비상 상황 기금에 대해 언급하는지 확인해보세요; 이는 사고가 발생했을 때 살길이 될 수 있습니다. 그러나 보험이 모든 손실을 보상해주지 않을 수도 있으며, 어떤 소형 거래소는 전혀 보험이 없을 수도 있습니다.
보안 이력과 평판: 거래소의 역사를 조사해보세요. 얼마나 오랫동안 운영되었으며, 이전에 해킹 사고가 있었나요? 그렇다면 피해를 입은 사용자에 대해 보상했나요? 꾸준한 강력한 보안 조치와 깨끗한 이력은 긍정적인 신호입니다. 반면에, 거래소가 과거에 여러 차례 사고나 논란을 일으켰다면 신중해야 합니다. 또한 거래소의 규정 준수와 사이버 보안 평가 여부도 고려해보세요. 예를 들어, 일부 데이터 집계자들은 거래소의 사이버 보안에 대해 점수를 매기고 있습니다 - 인기 있는 분석 플랫폼인 'CoinGecko'는 사이버 보안 평가를 교체 "Trust Score" 지표에 통합했습니다. 이러한 평가는 거래소의 서버 안전성, 버그 바운티 프로그램, 과거 해킹 이력과 같은 요소를 평가하여 플랫폼이 얼마나 안전한지 추정합니다. 높은 보안 등급을 받은 거래소와 견고한 버그 바운티 관행, 그리고 과거 큰 사건이 없었던 거래소는 당신의 자금에 더 안전한 선택입니다.
분산형 금융 프로토콜(DEX, 대출 플랫폼, 수익 농장 등)과 관련된 경우에는 다른 종류의 신중함이 필요합니다. DeFi 플랫폼은 본질적으로 블록체인에서 작동하는 코드일 뿐이므로, 그 코드의 완전성과 그 뒤에 있는 팀을 평가해야 합니다:
감사 상태: 신뢰할 만한 스마트 계약 감사를 받은 DeFi 프로젝트를 선호하세요. CertiK, OpenZeppelin, Trail of Bits 등의 보안 기업이 취약점을 찾기 위해 철저한 코드 리뷰를 수행합니다. 적절한 감사(또는 여러 감사)는 안전을 100%보장하지 못하지만, 개발자가 보안에 신경을 쓴 강력한 지표입니다. 감사는 취약점을 식별하고 완화시키는 데 도움을 주어 사용자를 안전하게 보호하고 나쁜 행위자가 그들을 이용하기 전에 자금을 보호합니다. 프로젝트가 감사를 받지 않고도 수백만 달러의 사용자 자금을 처리하고 있다면, 이는 경고 신호입니다. 많은 플랫폼은 감사 보고서를 게시할 것입니다 - 시간을 내어 읽거나 적어도 누가 감사를 수행했는지와 언제 감사를 받았는지 확인하십시오.
팀 평판과 투명성: 프로젝트 뒤에 있는 사람들을 조사해보세요. 경험 많고 잘 알려진 개발팀(특히 과거에 안전한 프로젝트를 성공적으로 출시한 팀)을 주목하세요.신원성이 보다 높은 익명 팀보다는 역사가 없는 익명 팀보다 신뢰도가 떨어집니다. 이는 익명 팀이 모두 사기적이라는 것을 의미하는 것은 아니지만, 리스크를 증가시킵니다. 개발자가 갑자기 사용자의 자금을 가져가는 러그 풀(Rug pulls)은 익명 또는 미인증 팀에서 더 흔하게 발생합니다.
프로젝트 역사와 커뮤니티 신뢰: DeFi 플랫폼이 얼마나 오래되었는지, 사건이 있었는지 확인해야 합니다. 1년 이상 변동성 있는 시장에서 안전하게 운영된 플랫폼은 일반적으로 지난 주에 출시된 미검증 프로토콜보다 안전합니다. 프로젝트에 대한 이야기를 확인하기 위해 커뮤니티 포럼, 소셜 미디어(트위터/X, 레딧, 디스코드)를 확인하세요. 종종 암호화폐 커뮤니티는 알려진 문제점을 제기할 것입니다 - 사용자나 분석가가 의심스러운 행동을 보고하면(예: 개발자가 갑자기 코드 변경이나 자금 대량 유출), 주의를 기울이세요.
거래 및 투자하는 곳을 신중하게 선택하면 잠재적인 위협의 큰 부분을 미리 제거할 수 있습니다. 집을 짓기 전에 안전한 동네를 선택하는 것과 같습니다. 암호화폐에서는 플랫폼을 평가할 때 선택하고 심사숙고해야 합니다 - 추가 조사는 비극적인 선택으로부터 구해줄 수 있습니다. 다음으로, 자신의 지갑과 계정을 어떻게 보호할지 살펴보겠습니다. 이것은 보안의 한 면입니다.
안전한 플랫폼을 사용하더라도 개인의 보안 관행이 궁극적으로 암호화폐의 안전성을 결정할 것입니다. 이 섹션에서는 도난이나 손실로부터 자산을 보호하기 위한 최상의 실천 방법을 다룹니다. 소매 투자자로서 이 습관을 받아들이는 것은 중요합니다. 왜냐하면 암호화폐의 관리자이기 때문입니다. 이 책임을 맡는 방법은 다음과 같습니다:
안전한 지갑 사용(하드웨어 대 소프트웨어 지갑)
암호화폐를 저장할 지갑을 선택하는 것은 보안에 큰 차이를 만들 수 있습니다. 일반적으로 하드웨어 지갑(콜드 지갑)은 장기간 중요한 금액을 보유하기에 권장되며, 소프트웨어 지갑(핫 지갑)은 작은 일상 자금에 편리합니다. 하드웨어 지갑은 오프라인에서 개인 키를 보관하는 물리적 장치(USB 스틱과 같은)입니다. 인터넷에 연결되지 않았기 때문에 해커가 침입하는 것이 훨씬 어렵습니다.
하드웨어 지갑. 출처: Bitcoin Magazine
컴퓨터에 악성 소프트웨어가 감염되어 있더라도 정확하게 사용된 하드웨어 지갑은 악성 소프트웨어가 키를 도난당하는 것을 방지할 수 있습니다. 인기있는 하드웨어 지갑은 Ledger, Trezor 등이 있으며, 이 장치에서 거래를 물리적으로 확인하도록 요구하여 보호층을 추가합니다.
반면에 핫 지갑(모바일 앱 또는 데스크톱 지갑)은 키를 인터넷에 연결된 장치에 저장하므로 온라인 공격에 노출되기 쉽습니다. 핫 지갑은 일상 사용이나 소액 금액에 적합하지만, 상당한 금액의 암호화폐를 장기간 보관하는 데 사용해서는 안됩니다. 좋은 전략은 사용
시드 문구와 개인 키를 안전하게 보호하세요
지갑을 설정하면 시드 문구 (일반적으로 12 또는 24단어) 또는 개인 키가 제공됩니다. 이것을 은행 계좌의 핀 번호 또는 금고 상자 열쇠처럼 다루세요 - 사실, 그 이상으로 중요합니다. 분실되거나 도난당하면 자금을 되찾을 수 없습니다.
출처: Ready.io
다음 안내를 따르세요:
오프라인으로 백업: 시드 문구를 종이에 적거나 금속 백업 플레이트에 새겨 넣고 안전하고 비공개 위치에 저장하세요(또는 여러 군데에 나눠 저장할 수도 있습니다). 컴퓨터 파일이나 클라우드 스토리지에만 저장하지 마세요. 해커가 발견할 수 있습니다. 기기에 액세스 권한을 잃으면 시드 문구가 지갑을 복원하는 유일한 방법이므로 주의 깊게 지켜주세요.
공유하지 말고 랜덤 사이트에 입력하지 마세요: 합법적인 지원 담당자나 소프트웨어는 절대로 완전한 시드 문구 제공을 요구하지 않습니다. 웹사이트나 앱이 지갑의 공식 앱 외부에서 12/24 단어 문구를 요구하면 거의 확실히 사기 시도입니다. 사용자를 속여 가짜 "지갑 업데이트" 사이트나 양식에 시드를 입력하도록 유도하기 위한 무수한 사기가 있습니다. 입력하게 되면 자금이 도난당할 것입니다.
추가 보안을 위해 멀티싱 또는 패스프레이즈를 고려하세요: 큰 암호화폐 금액이 있는 경우 멀티 서명 지갑(거래를 승인하기 위해 여러 키가 필요한 지갑)이나 시드에 패스프레이즈를 추가할 수 있습니다(13번째/25번째 단어 역할을 하는 추가 단어). 이러한 고급 설정은 단일 장애 지점에 대해 더 나은 보호를 제공할 수 있지만 복잡성이 높습니다. 대부분의 사용자에게는 하드웨어 지갑과 안전한 오프라인 백업이 강력한 보안 기준을 제공합니다.
모든 계정에 이중 인증(2FA)을 활성화하세요: 2FA를 지원하는 모든 거래소, 지갑 앱 또는 서비스에는 암호 외에 2FA를 활성화하세요. 일반적으로 암호를 도난당하더라도 폰에서 일회용 코드가 필요합니다. 그러나 모든 2FA 방법이 동일하지는 않습니다. 가능한 경우 SMS 기반 2FA 대신 인가자 앱(또는 하드웨어 2FA 키)을 사용하세요. 인가자 앱(Google Authenticator, Authy, 또는 Microsoft Authenticator와 같은)은 기기에서 매 30초마다 변경되는 시간 기반 코드를 생성합니다. 이는 SIM 스와핑 공격에 견고하기 때문에 SMS 텍스트보다 훨씬 안전합니다.
SIM 스와핑은 해커가 모바일 통신사를 속여 귀하의 전화번호를 자신에게 이전시키도록 유도하거나 뇌물을 주어 SMS 코드를 가로채는 일반적인 공격입니다. FBI는 SIM 스와핑 계획이 최근 몇 년 동안 급증하여 수십억 달러의 피해를 입은 것으로 경고했습니다.
손해를 볼 사자들입니다. 이동식 인증기 또는 (YubiKey와 같은) 하드웨어 보안 키를 사용하여 SMS 취약성을 제거할 수 있습니다.
“당신의 키가 아니라면, 당신의 코인도 아닙니다" - 자기 소유 유지
암호화폐의 핵심 원칙은 자체 보관입니다. 가능한 경우에는 자신이 개인 키를 제어하는 지갑에 암호화폐를 보관하는 것이 좋습니다. 잘 알려진 속담 "당신의 키가 아니라면, 당신의 코인도 아닙니다"는 당신이 자신의 자금에 대한 개인 키를 직접 소유하지 않는다면, 사실상 제 3자에게 자신의 돈을 신뢰하고 있다는 아이디어를 요약합니다.
거래를 위해 거래소를 사용하는 것은 종종 필요하지만, 특히 장기적으로 보유할 중요한 금액이라면 거래 후에 자신의 개인 지갑으로 자산을 인출하는 것을 고려해보세요. 자신의 키를 관리하는 것은 책임을 수반합니다 (위에서 논의한 대로 안전하게 보관해야 함), 그러나 진정한 소유권을 부여합니다.
암호화폐 투자는 지뢰밭을 짚는 것처럼 느껴질 필요가 없습니다. 논의된 보안 원칙을 적용하여 - 플랫폼 신중하게 검토, 지갑과 개인 키 보안, 리스크 노출 관리 및 정보 파악을 철저히 준수하여 - 자산에 대한 위협을 크게 줄일 수 있습니다. 몇 가지 주요 요점을 다시 살펴봅시다:
소매 투자자로서 지식과 좋은 보안 습관으로 스스로를 능력있게 만드는 것이 암호화폐 세계의 불확실성에 대한 최고의 방어 수단입니다. 아무도 전적으로 위험을 제거할 수 없지만, 이제 위험을 현명하게 탐색할 수있는 도구 상자가 있습니다. 두려움을 가진 투자자와 자신감 있는 투자자의 차이는 종종 준비된 정도에 달려 있습니다.
앱으로
21672