암호화폐용 월렛 절도 사건
암호화폐들은 월렛(wallet)이라고 하는 코인 전용 지갑(파일 보관함)에 보관한다. 그런데 이러한 월렛에 저장된 파일 역시 컴퓨터에 저장된 것들과 마찬가지로 훼손되거나 조작되거나 훔쳐갈 수 있다. 설상가상으로 자신의 PIN넘버, 패스워드를 잊어버리거나, 월렛이 있는 하드 드라이브를 잃어버리는 경우도 적지 않다. 이 경우 코인을 보관해 둔 파일 보관함에 영영 접근할 수 없게 된다. 랜섬웨어도 마찬가지 문제를 일으킨다. 일반적인 은행 계좌에 온라인으로 접근할 때는 또 다른 컴퓨터를 통해 온라인 계정에 접근하면 나의 재산이 훼손되지 않고 그대로 보존되어 있지만, 암호화폐 월렛은 그렇지 않다.
그래서 대부분 전문가는 이러한 암호화폐를 악성코드나 해커가 노릴 수 없는 오프라인 월렛에 보관하라고 조언한다. 물론 이렇게 하면 코인을 사용하는 것도 더 복잡해진다. 오프라인 월렛이기 때문에 사용하거나 업데이트하려 할 때 수일씩 기다리게 될 수도 있다. 만일 온라인 월렛을 사용 중이라면, 가능한 한 다중 인증 방식을 적용하여 최대한 자산을 보호할 수 있도록 하자.
암호화폐 트로이 목마
한편, 암호화폐 계좌번호의 형태를 띤 정보가 등장하기만을 기다리며 모니터 뒤에 조용히 숨어 때를 기다리는 암호화폐 트로이 목마도 존재한다. 계좌 번호로 보이는 것을 발견하면, 이 트로이 목마는 잠에서 깨어나 사용자가 송금하려던 원래 계좌를 자신의(공격자의) 계좌 번호와 바꿔치기 한다. 다행히 미세한 차이를 알아차릴 수 있다면 다행이지만, 그렇지 못하고 그냥 보내기 버튼을 누른다면 그대로 당하게 된다.
실제 적용상의 취약점
“이론적으로만 보면, 이론과 실제에는 차이가 없어야 한다. 하지만 실제로 보면, 항상 차이가 있다.” 이 명언을 처음 남긴 사람이 누구인지는 아무도 모르지만, 종이 책에 처음 등장한 것은 월터 J. 사비치의 1986년 저서 ‘파스칼: 프로그래밍의 기술과 과학 입문서’에서였다.
늘 그렇듯, 암호 알고리즘은 언제나 그 알고리즘을 이용하는 실제 프로그램보다 더 안전하다. 프로그래밍 버그나, 믿을 수 있는 사설 키 보안(또는 비트코인 월렛)이 갖추어져 있지 않은 경우 모든 것이 한 번에 끝날 수 있다. 지금은 별로 와 닿지 않겠지만, 암호화폐를 사용하기 전에, 혹은 블록체인 프로젝트에 참여하기 전에 소프트웨어 프로그래머들이 안전한 개발 라이프사이클(secure development lifecycle, SDL) 프로세스를 적용해 버그를 최소화하고 있는지 살펴보자.
실제로, 암호화폐를 훔치기 위해 해커들이 암호 화폐 소프트웨어를 조작한 사례가 몇 건이나 있었다. 가장 최근의 사건 중 하나는 해커가 코딩 실수를 하는 바람에 도둑질에 실패했을 뿐 아니라 전 피해자의 월렛이 복구가 안 될 정도로 망가진 일도 있었다. 돈을 훔친 사람은 없는데, 잃은 사람은 수두룩한 상황이 된 것이다.
암호화되지 않은 텍스트 공격
좋은 암호는 그 결과물이 전혀 말도 안 되는 헛소리처럼 보이는 암호문을 만들어 낼 수 있어야 한다. 이론적으로는, 이렇게 암호화를 할 경우 공격자가 원래 텍스트를 알아볼 수 없어야 한다. 그렇지만 블록체인 기술의 경우 블록의 포맷이 잘 알려져 있거나 맞추기가 어렵지 않다. 특정 글자, 단어, 숫자 등이 모든 블록의 동일한 위치에 있기 때문에 해커는 암호로 보호되는 모든 블록의(암호화되지 않은) 텍스트 일부를 ‘베낄’ 수 있게 된다. 게다가 모든 블록은 이전 블록의 함수이기 때문에 기저의 암호화 보안 수준을 약화 시킨다. 기저에 존재하는 암호화가 충분히 강력하다면 문제없지만, 그런데도 공격자에게 시작부터 기선 제압을 당하게 될 수 있다.
취약한 SHA-256?
많은 보안 전문가들은 비트코인이나 블록체인(두 기술 모두 SHA-256을 주로 사용한다)이 과연 SHA-256에 대해 걱정할 필요가 있는가를 궁금해하고 있다. SHA-256은 그 전신이라 할 수 있는 SHA-1과 동일한 수학적 약점을 지니고 있다. 정답부터 얘기하자면, 지금 당장은 아니라는 것이다. 적어도 당분간은 SHA-256만으로 충분하다. 무엇보다, 전 세계 금융 거래 및 HTTPS 거래의 대부분이 SHA-256으로 보호되고 있는 만큼 만일 SHA-256에 보안상의 문제가 생긴다면 그때는 블록체인이니 비트코인보다 훨씬 더 큰 문제가 생기기 때문이다. 그렇지만 만일 암호화폐나 블록체인 생성을 계획하고 있다면, 아마도 가장 먼저 해야 할 일은 ‘크립토 애질리티(crypto-agility)’를 갖추는 것이다. 어떠한 상황에서도 대체할 수 있는 암호 기술을 준비하여 기저의 프로그램을 안전하게 보호해야 한다.
웹사이트 해킹
중앙 집중된 웹사이트 통제의 잦은 해킹은, 비트코인을 둘러싸고 가장 자주 발생하는 해킹 쓰레드이긴 하지만 사실 여느 블록체인 프로젝트에도 적용될 수 있는 이야기다. 이런 해킹 사례는 아주 빈번하게 발생하는 것으로, 불과 지난주만 해도 약 7,000만 달러어치의 비트코인이 해킹을 통해 탈취된 사건이 있었다. 수천만, 심지어 수억 달러 규모의 자금을 관리하는 암호화폐 사이트들이 너무 쉽게, 너무 자주 해킹당하고 있다. 그리고 이런 일이 발생할 때마다 사람들이 투자를 통해 쌓아 올려놓은 비트코인의 가치는 너무나 허망하게 무너져 버린다. 반드시 자신의 디지털 자산은 안전한 오프라인에 옮겨 놓도록 하자.
가끔은 양심 없는 운영자가 수백만 달러를 훔쳐 달아나는 경우도 발생한다. 따라서 암호화폐 웹사이트와 거래 시에는 반드시 믿을 만한 사이트인지, 보안 상태는 안전한지 살펴보도록 하자. 적어도 아직은 암호화폐 거래를 하다가 부당하게 돈을 잃어도 FDIC(미 연방예금보험공사)는 당신을 도와주지 않을 것이다.
Surfshark
VPN (가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인 정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.
2017.12.14
Roger A. Grimes | CSO
추천기사