"보안 불완전 '가상자산' 지갑, 유의점 상당"

윤두식 지란지교시큐리티 대표, 피싱 사이트 주의·보안 도구 활용 등 조언

컴퓨팅입력 :2023/04/18 18:09

가상자산 지갑을 노린 해킹이 지속적으로 증가하고 있다. 현재 등장한 가상자산 지갑 보안 기술들이 저마다의 약점을 안고 있는 상황에서, 이용자가 해킹 피해를 입지 않기 위해서는 여러 유의사항을 염두해 지갑을 관리해야 한다는 조언이 나왔다.

윤두식 지란지교시큐리티 대표는 한국핀테크학회 주최로 18일 열린 '디지털금융 보안 세미나'에서 가상자산 지갑의 기술적 보안 체계와 유의사항에 대해 이같이 말했다.

윤두식 지란지교시큐리티 대표

가상자산 지갑 이용 시 개인키를 그대로 쓰는 시기를 지나 개인키를 12개의 단어로 변환한 '니모닉',  이를 사물로 보관하는 콜드 키 등 보안을 위한 여러 수단들이 등장했다. 그러나 여전히 키 관리에 불편이 따랐고, 분실 시 지갑에 보관된 자산을 잃어버릴 수 있다는 위험이 따랐다.

이런 문제를 해결하고자 스마트컨트랙트 기술을 활용해 다수에게 지갑 키를 지급한 뒤, 거래 또는 잃어버린 키 복구 시 다수의 서명을 받게 하는 '멀티 시그' 방식이 등장했다. 그러나 이 방법도 지갑 관리자들의 담합이나 불화 발생 시 지갑 이용이 어려워질 수 있다는 단점이 존재한다. 대응책으로 서명을 지갑 관리자가 아닌 다른 커뮤니티에게 받는 방식도 제안됐지만 아직 실용화는 되지 않은 상태다.

최근 논의되는 방식으로는 '논 커스터디얼 웹 월렛' 방식을 소개했다. 개인 사용자는 지갑에 소셜 로그인으로 접근을 하고, 해당 지갑의 키는 지갑 사업자가 채택한 매커니즘에 의해 키가 생성된다. 해당 키는 클라우드 서버에 저장되는데, 이 클라우드 서버에 접근할 수 있는 권한을 지갑 사용자로만 한정하는 방식이다. 편의성과 탈중앙화된 보안 방식을 개선한 체제다.

다만 윤두식 대표는 지갑의 기술적 보안이 실제 보안 수준을 담보할 수 없다고 강조했다. 사용자의 부주의한 지갑 사용이 보안 사고를 불러일으키는 사례가 발생해왔다는 것이다.

이 부주의함에 해당되는 용례는 매우 다양하다. 먼저 피싱 공격 피해를 방지하기 위해 ▲유사 도메인 ▲구글 검색 광고  ▲거래소 사칭 문자 ▲실제 사이트와 유사한 UI 등을 통한 피싱 사이트 접근에 주의해야 한다고 했다. 윤 대표는 "피싱 사이트에서 지갑 서명을 유도했을 때 별 의심 없이 승인해 자산을 잃는 사고가 빈번하다"고 말했다.

하드웨어 지갑 구매자 목록을 해킹한 뒤, 구매자들에게 지갑 보안 취약점이 발견됐다며, 새 지갑에 사용하던 키를 입력하라는 공격 사례도 나타났다.

지갑 사용자의 휴대폰 유심을 복제한 뒤 2단계 인증 과정에서 전송되는 일회용패스워드(OTP)를 참고해 해커가 지갑 관리 계정을 탈취하는 사고도 발생했다.

윤 대표는 "우선 규제를 준수하지 않는 거래소 이용을 자제해야 하고, 2단계 인증도 되도록 모든 사이트에서 할 필요가 있다"며 "지갑 거래 내역을 모니터링하고 알림을 제공해주는 서비스도 있는데 UI가 사용자 친화적이지 않아 이용이 확대되지 못한 상황"이라고 조언했다.

관련기사

로그인 전 사이트 주소 확인 및 피싱 사이트 접근 시 알림을 제공하는 보안 도구 활용도 도움이 될 수 있다고 언급했다. 되도록 코인마켓캡, 코인게코에 등록돼 있는 링크를 활용해 거래소에 접근하기를 권장했다. 디파이 서비스에 지갑을 연동할 때도 이같은 주의가 필요하다고 봤다.

그 외 원격 접근 소프트웨어는 사용 후 삭제, 폰 분실 시 초기화 가능한 '킬스위치' 설정 활용, 지갑 자산 분산 저장 등을 보안 수칙으로 조언했다.