anonymous-2029318_640.png

요즘 비트코인에 다들 관심이 많아져서 그동안 투자를 망설이시던 분들도 많이 참여하고 있습니다. 너무 과열된 모습을 보여 정부에서는 규제를 한다고 으름장을 놓을 정도로 너도나도 입금해서 코인에 투자하기 바쁜 것 같습니다.

새롭게 참여하시는 분들은 거래소 가입만으로 벅차다고 느끼기 때문에 거래의 과정에서 생기는 보안문제나 거래 후에 보유하게 된 코인을 어떻게 안전하게 보관할지에 대해서는 신경쓰지 않는 것이 현실입니다. 물론 예전부터 코인을 투자하시던 분들도 보안에 신경쓰지 않는 경우가 많습니다.

많이 알려진 보안 문제점으로는 거래소가 해킹당하거나 먹튀를 하는 경우, 해킹프로그램으로 인한 비트코인 키 탈취, 거래소 로그인 아이디 탈취 등이 있습니다.

저는 코인에 처음 입문했을 때 마운트곡스라는 거래소에서 거래를 시작했습니다. 그당시에 비트코인 한개의 가격이 얼마했는지 잘은 기억나지 않지만 대범하게 1개를 구입해서 결국 0.02라는 잔고를 남기게 되었는데 비트가 그만큼 폭락했던 것은 아니고 비트 한개당 가격에 대해 잘 개념이 서지 않는 초보가 금액에서 0 하나를 뺀 채로 금액을 입력하는 등 마구잡이로 투자하다가 그렇게 되어서 그 좌절감은 더 심했던 것 같습니다. 그마저도 마운트곡스 해킹사건이라 불리는 일로 거래소가 파산해 옮기지 못하고 묶이게 되었습니다.

거래소가 해킹을 당했다고 해도 실제로 당한건지 운영자가 횡령을 한건지 알기가 어렵습니다. 저도 개인적으로는 마운트곡스의 CEO가 돈을 마구 썼다고 생각하고 있습니다. CEO가 가상화폐 계좌를 마음대로 제어할 수 있는 권한을 혼자 갖고 있었고 펜트하우스에 살면서 호화스러운 생활을 하다가 회사가 망해가는 마지막까지 비싼차를 지르려다가 제지당했다는 소문을 들었기 때문입니다. 그 후 마운트곡스가 설립된 일본의 법원에서 보낸 안내장도 받는 신기한 경험까지 했었는데요. 제생각에는 그당시 기술로는 이게 해킹인지 횡령인지 알아내기도 힘들었을 것입니다.

코인을 거래하다보면 이렇게 이런저런 이유로 코인을 잃어버리거나 해킹당할 위험성에 노출되게 됩니다.

비트코인이 이렇게 핫하지 않던 시절 비트코인을 대량으로 구입 후 하드에 키를 담아둔 채 하드가 망가지거나 쓰레기통에 버려 수십억을 날린 사례들을 들으셨을 것입니다. 그당시에는 수십억이지만 지금은 수백억대의 비트가 어느 계좌에 영원히 묶여 접근하지 못하게 되는 것이지요.

bitcoin-2730220_640.jpg

블록체인은 알려진대로 아직까지는 블록체인 자체를 해킹하는 것은 불가능하다고 알려져 있습니다. 블록체인 기술마다 다르겠지만 아직까지는 그렇습니다. 언젠가 블록체인이 해킹당하는 때가 오면 그때는 비트코인의 마지막 날이 되겠지만 일단은 그런 걱정을 하고 있는 사람은 아무도 없습니다. 하지만 블록체인 기술과는 별개로 개인의 컴퓨터나 거래소가 해킹당하는 것은 별개의 문제입니다.

그럼 코인을 보관하고 안전하게 거래하는 방법에 대해 하나하나 짚어보도록 하겠습니다.

안전한 코인거래를 위해서는 일단 안전한 컴퓨터 환경이 필요합니다.

제가 코인판에 처음 입문했을 때 이미 코인을 하고 계셨던 분들은 노트북이나 컴퓨터 한대를 더 구입하여 가상화폐 지갑으로만 쓰고 필요할 때만 온라인으로 만든채 지갑을 설치해 사용하시는 것도 봤습니다.

저는 이것도 나쁘지 않다고 생각합니다. 투자금액이 클 경우 노트북 한대로 안전해 질수만 있다면 그정도 투자는 문제가 없을 것이라 생각됩니다. 보통 개인의 컴퓨터가 해킹을 당할 때는 인터넷에서 출처가 없는 파일을 가져다 설치하거나 무심코 누른 버튼 하나로 그렇게 되는 경우가 많습니다. 이런 일이 생각보다 간단하게 일어나기 때문에 많은 분들이 이미 바이러스에 감염되어 있을 수 있다는 생각을 항상 갖고 계셔야 하고 일반적으로 사용하는 컴퓨터와 계좌용 컴퓨터를 구분하는 것은 효율적인 방법이 될 수 있습니다. 참고로 지금은 노트북을 대체할 라즈베리파이나 PC스틱, 휴대용 지갑등 대안이 많이 나와 있어서 노트북을 구매하지 않아도 방법은 많이 있습니다.

그럼 해킹프로그램이 설치되지 않은 컴퓨터는 안전할까요?

그렇지 않습니다. 보통 원격에서 시스템을 뚫고 들어오는 경우도 있습니다. 시스템의 취약점을 통해서 아무 행동도 안했는데 원격으로 스스로 들어오는 것입니다. 이 것은 보통 사용하고 계신 윈도우가 버전이 낮을 경우(업데이트를 미루거나 안해서 시스템의 취약점이 수정되지 못하는 경우) 발생합니다.

운영체제만 그런 것도 아닙니다. 그 안에 설치된 정상적인 프로그램들도 시스템을 위험하게 만들 수 있습니다. 예를 들면 예전에 자동으로 업데이트하는 기능을 가진 한 유명한 무료 프로그램이 있었는데 버그가 있어서 그 프로그램을 쓰는 사람의 컴퓨터에 해커가 마음대로 프로그램을 설치한 후 바이러스에 감염시킨 적이 있었습니다.

조금더 안전한 운영체제로 MacOS가 있습니다. 많이 사용하고 계시는 맥북을 구매하면 들어있는 운영체제입니다. 하지만 MacOS는 구조상 좀더 해킹이 어려울 뿐이지 여러가지로 해킹이 가능하기도 합니다. 실제로 얼마전 MacOS에는 시스템 관리자 계정인 root에 비밀번호를 입력하지 않아도 원격으로 접속해 시스템을 장악할 수 있는 버그가 발견되어 긴급하게 업데이트를 하기도 했습니다.

시스템의 버그를 발견해 내는 것은 어렵고 그것을 일개의 해커가 알아내서 해킹을 한다는 것은 어려울 수도 있습니다. 다만 해커는 그 버그에 대한 정보를 돈주고 살수도 있기 때문에 항상 업데이트를 해야만 그나마 그런 위험에서 일부 벗어날 수 있습니다.

모바일에서는 어떠할까요?

우리가 가장 흔하게 이용하고 많이 해킹당하는 안드로이드폰을 예로들면 아시다시피 앱을 출처에 상관없이 설치할 수도 있고 문자메세지를 읽다가 링크를 클릭하면 앱을 설치하게 해서 해킹하는 등의 너무 활발한 해킹이 이뤄지고 있습니다. 이런부분은 이미 많이 알려져 있어서 이제는 그렇게 쉽게 당하지는 않습니다.

그럼 아이폰은 어떨까요?

아이폰은 구조상 조금더 강력하게 그런부분을 관리하고 출처가 알려지지 않은 프로그램을 설치하기는 쉽지 않습니다. 그래서 일반적으로 내가 직접 깔지 않는 이상 문자메세지나 이런것으로 해킹프로그램을 설치하는 시도는 어려운걸로 알려져 있습니다. 하지만 웹브라우저에서 링크클릭만으로 해킹이 당한다는 생각을 해보신적 있으신가요? 아이폰은 예전부터 보안에 강하다고 알려져 있었지만 락스크린이 이상한 방법에 의해서 풀리는 등의 약간 완성도가 떨어지는 모습을 보여오기도 했는데요. 예전에 아이폰 탈옥이 한참 유행할 때 아이폰을 탈옥하는 방법으로 웹브라우저 사파리로 어느 특정 사이트에 들어가서 하단의 슬라이드를 손가락으로 미는 것만으로 탈옥이 시작되는 정말 말도안되는 일도 있었습니다.

그당시 저는 무슨 원리인지 궁금하여 찾아봤었습니다. 온라인에 해킹코드가 심어진 PDF파일을 올려두고 사용자가 그 PDF를 열게되면 해킹코드가 실행되면서 시스템을 탈옥상태로 만드는 진짜 무시무시한 버그를 이용한 해킹이었던 것입니다. 그 후 바로 패치가 되었고 그 후로는 그런일이 발생하지 않았지만 정말 생각을 깨는 위험한 해킹방법이었던 것 같습니다. 위에서 말씀드린대로 운영체제 안에 설치된 앱 만으로도 시스템을 위협하는 상황이 발생한 것입니다.

윈도우PC, 맥, 안드로이드 폰, 아이폰 상관없이 항상 최신으로 업데이트를 해야하는 것은 당연하고 최대한 설치된 프로그램 수를 줄여 해킹의 위협을 최대한 줄이는 것이 중요합니다.

코인은 돈이 얽혀있고 법이 아직 제대로 만들어져 있지 않고 추적또한 어려워서 해커가 할수 있는 모든 기술을 동원하고 있다는 생각을 하고 있습니다. 그래서 저는 항상 두려움을 느끼고 있습니다.

제가 생각하는 가장 기초적인 규칙은 이렇습니다.

  • 운영체제 항상 최신으로 업데이트 하기
  • 출처가 불분명한 프로그램 설치시 신중하기(꼭 설치해야 하는 프로그램이면 다른컴퓨터에서 실행)
  • 안전한 인터넷 이용하기(공공장소, PC방에서 거래 금지, 휴대폰망 이용, VPN이용)
  • 백신을 필수로 설치하기
  • 문제가 있어보이는 거래소 사용금지(사람들이 많이 이용하는 거래소를 주로 이용)
  • OTP사용하기
  • 인터넷 주소가 맞는지 확인하기
  • 코인은 거래소가 아닌 나노렛져에 보관(출금시 하드웨어 버튼을 누르는 등의 기기조작이 필요하기 때문에 좀더 안전)

위의 항목에서 안전한 인터넷 이용하기가 사실 제일 어렵습니다.

요즘 카페같은데서 인터넷을 많이 이용하실 텐데요. 사실 그런곳에서 사용하는 인터넷은 다른사람들도 같은 공유기에 접속하고 있기 때문에 다른사람의 데이터를 훔쳐보는게 어렵지 않습니다. 공유기 설정을 변경하여 다른사람의 정보를 확인하거나 심지어 공유기에 바이러스가 감염되기도 하는데 특정 사이트를 가짜 사이트로 교체하여 아이디랑 비밀번호를 입력하게 하는 것도 가능합니다. 한동안 유행하던 가짜네이버 로그인 화면이 뜨는 문제는 공유기에 바이러스가 감염되어 일어난 일이었습니다.

사실 무선으로 작동하는 와이파이는 같은 네트워크에 있지 않아도 공중에 떠다니는 데이터를 중간에서 받아서 훔쳐볼 수 있습니다. 이걸 가능하게 하는 장비(?)는 대단한 것도 아니고 이것이 가능하다고 알려진 특정 무선랜카드를 2만원에 누구나 구입할 수 있습니다.

보통은 비밀번호가 걸려있어서 비밀번호로 암호화를 해 데이터를 쉽게 보지 못하도록 하지만 비밀번호를 걸어두지 않은 와이파이는 카페든 집이든 위험합니다. 집에서 암호를 걸지 않고 사용하신다면 옆집에서 훔쳐보는 것은 일도 아닙니다. 암호화가 된다고 해도 암호화의 종류에 따라 해독이 되기도 하고 그렇게 수집한 암호화된 데이터를 해독해주는 업체도 존재하기 때문에 와이파이가 무료인 곳에서는 절대 코인거래등을 하지 않는게 좋습니다.

암호화가 되지 않는 네트워크에서는 https로 시작하지 않는 웹페이지에서 일어나는 데이터는 모두 쉽게 탈취가 가능합니다. 주요 거래소들은 https를 쓸 것이기 때문에 안심하실 수도 있지만 우리가 사용하는 사이트 중 https를 이용하지 않는 사이트 한곳만이라도 아이디, 비밀번호가 와이파이 전파로 날라가던 도 중 공중에서 수집되기라도 하면 다른 사이트에 비밀번호를 똑같이 입력해 해킹시도를 할 것입니다.

저는 공공장소에서 인터넷을 사용할 때 해킹이 불가능한 LTE망을 이용하기도 하지만 정 안될 때는 VPN이라는 기술을 이용해 네트워크를 한번 더 암호화 해줍니다. 암호화되지 않은 네트워크에서 나만의 암호화통신으로 안전하게 인터넷을 할수 있기 때문입니다.

저는 이렇게 나열한 것들을 지키며 조심하면서 컴퓨터를 사용하지만 얼마전부터 자꾸 제가 로그인하지 않은 사이트에 로그인했다고 이메일을 받곤 합니다. 국내 모 거래소 아이디와 패스워스가 유출됐다고 뜬 후부터 그 아이디랑 비밀번호가 사용되는 유명한 사이트에 지속적으로 누가 로그인했다고 뜨고 있습니다. 보통은 웹사이트 암호가 유출되더라도 암호를 변형시켜 저장해놓기 때문에 해커들이 마땅히 사용할수 없지만 제가 느끼기엔 그 거래소는 암호를 암호화 하지 않은 평문으로 저장해놨던게 아닌가 생각됩니다.

저는 그런 메일 받을 때마다 철렁하면서 중요하지 않은 사이트라도 OTP설정을 바로바로 해주고 있습니다. OTP의 경우엔 그나마 아직까지는 잘 관리되는 제폰에서만 확인할 수 있다고 생각되기 때문에 아이디랑 비밀번호를 안다고 해도 한번 더 해킹을 방어해줄 수 있을 것입니다.

해킹은 조용하게 기다리고 있다가 조용하게 빼가기 때문에 해킹당하더라도 모르는 경우가 많습니다.

요즘은 많은 사람들이 투자를 하기 때문에 해커들이 불특정 다수를 노리고 대기하고 있을지도 모릅니다. 얼마전에 PC방에서 거래소에 접속하는 사람들도 있다는 소식을 들었습니다. 위에 제가 작성한 글대로라면 해커들이 너무나 쉽게 해킹할수 있을 것이라 보여집니다.

그동안 위험하게 코인트레이딩을 하는 분들을 많이 봐와서 이김에 속시원히 적어보았습니다.

제가 나열한 방법 말고도 이론적으로 더 많은 방법이 있습니다. 해커는 가상화폐로 돈을 벌기 위해 더 창의적으로 접근할 것입니다.
지금 사용하고 있는 컴퓨터를 믿지 마시고 항상 관리하여 안전한 코인트레이딩이 되시길 바랍니다.

나는 얼마전 이레지던시 카드를 신청했었고 그 관련글을 작성했었다.
https://steemit.com/kr/@jamesk/estcoin-e-residency

이레지던시를 실제로 사용하려는 계획을 갖고있었기 때문에 다른 나라를 방문해서라도 그 카드를 받을 생각이었고 처음에는 중국에서 받는 것으로 신청했었다.

언제 중국을 갈지 고민을 하다가 한참 중국과 사이가 안좋았던 때라 다른 나라도 여행할 겸 다른나라로 수령지를 변경하게 되었다.

일정변경은 이메일로 이뤄졌는데 받는 장소를 바꾸겠다고 담당자에게 의사를 전달하니 그것과 관련된 웹페이지를 알려주었다. 그 후 싱가폴로 변경하겠다고 하니 싱가폴은 12월 7일과 8일만 수령할 수 있다고 알려왔다. 11~12월 기간동안다른날은 받을 수 없고 그 이틀만 카드를 받는 이벤트가 있어서 그날 방문할 예정이라면 신청하라는 것이었다. 그래서 다른 지역을 다시 찾게되었고 우연히 벨라루스 여행을 가게되어 벨라루스를 방문하여 받는 것으로 계획을 변경했었다. 변경하는데 드는 비용은 50유로이며 해외로 계좌이체를 해야하기 때문에 수수료가 2만원이 넘게 들었던 것으로 기억한다.

일본을 자주 다니는 사람이라면 일본에서 수령하는 것도 가능하다.
벨라루스를 방문하기 바로전 담당자에게서 연락이 왔었는데 한국에 이레지던시 센터가 전세계 최초로 생긴다는 소식이었다. 계획을 변경하는데 50유로같은 수수료를 물지 않고 변경을 해줄 것이며 다만 한국에서 바로 발급되는 것이기 때문에 2만원정도의 카드발급 수수료가 새로 든다고 하면서 그렇게 변경하겠냐는 메일이었다. 요즘보면 싱가폴과 한국의 스타트업이 활발해져서 이레지던시도 제대로 들어오게 된 것 같다.

나는 연락온 다음날이 출국이었기 때문에 그냥 벨라루스에서 받는 것으로 했다.

실제로 대사관에 방문하는 일은 그리 어려운 일이 아니었다.
메일로 받은 링크를 클릭하니 시간예약을 할 수 있는 웹페이지가 있었고 남아있는 시간을 선택할 수 있었다. 다른 대사관이 그렇듯 12시 이전에 방문이 가능했고 나는 11시 45분으로 예약하고 11시 30분쯤 방문했었다.

picture1.jpg
(사진에는 에스토니아 국기가 걸려있는게 작게 보이는데 저게 아니었으면 이 건물이 대사관 건물인지 알아보지 못할 뻔 했다)

다른 여행일정도 있었기 때문에 여행 마지막날 금요일에 방문하는 일정이었는데 벨라루스에 있는 에스토니아 대사관은 울타리가 없는 빌딩이었고 사람들이 많이 출입하는 것도 보였다. 대사관이라기 보다 홍보센터같은 느낌이었다.

건물에 게이트가 6개나 되어서 건물을 돌면서 입구를 찾고 잘못들어가기도 했지만 마지막에 제대로된 입구를 찾아 들어가니 아무도 없었다. 인터폰을 하니 문을 열어주었고 조금 기다리니 담당자가 자리에 나타났다. 유리를 가운데 두고 서로 마주보고 앉게되었는데 중간에 안전장치가 되어있어 서로 볼수는 있지만 물건을 주고 받을 때 작은 사물함 같이 생긴 문을 열고 닫으며 안전하게 여권과 문서를 주고 받을 수 있게 되어있었다.

picture2.jpg
그렇게 간단한 신청서도 쓰고 손가락 지문도 찍으면서 절차를 마무리 했다. 마지막에 수령한 이레지던시 카드는 작은 박스로 구성되어 있었고 그 안에는 핀코드(암호코드)가 적혀있는 종이와 스마트카드를 읽을 수 있는 간단한 리더기도 들어있었다. 리더기를 잃어버리면 어떻게 하나 고민하기도 했지만 에스토니아에서 그냥 파는 일반적인 리더기였고 필요하다면 다른 스마트카드 리더기도 사용할수 있다고 알려져 있다.

그렇게 받아서 연결하고 난 후 간단한 프로그램들을 설치하고 실행해보니 내 이름이 뜨는 것을 확인할 수 있었다. ‘드디어 되는건가!’ 이러면서 기대에 찬 눈빛으로 이것저것 해봤더니 또 무슨 업데이트가 필요하단다.

요즘 이레지던시는 스마트카드에서 보안문제가 발견되어 인증서 업데이트를 필수로 해야하는 상황이었고 업데이트를 시도했지만 생각처럼 간단하게 되지는 않았다. 결국 수십번 시도하다가 담당자에게 연락을 하게 되었고 담당자가 처리하던 도중 해결이 되어 지금은 온전히 카드를 사용할 수 있는 상황이 되었다.

아직 해결해야할 불편함은 있어보인다.

맥북에서 사용하는 것은 조금 까다로운지 맥북 사용자 전용으로 문제해결 링크가 홈페이지에 준비되어 있었다. 나도 크롬에서 인증서가 작동하지 않는 문제가 있었다. 아마 맥북의 인증서 관련 문제였던 것 같은데 해결을 위해 윈도우에서 실행해봤지만 윈도우에서는 또 윈도우 나름의 문제들이 보였다. 만약에 컴퓨터를 잘 하지 못하는 사람이라면 이런 문제에 부딪혔을때 막막할 수 밖에 없을 것 같다. 그렇다고 문제해결을 위해 에스토니아에 가는 것은 힘들기 때문에 국제전화나 이메일로 해결을 해야하니 기본적으로 언어등의 장벽은 있어보였다. 어차피 영어나 러시아어 또는 에스토니아어에 능숙해야 모든 장점을 누릴 수 있는 서비스이기 때문에 언어를 잘해야하는 것은 어찌보면 당연하다. 그리고 다행인 것은 이레지던시 관련 담당자는 부서에 관계없이 상당히 친절하게 일을 처리해 주었다.

이레지던시는 이에스토니아라는 별칭을 가진 서비스를 전세계 사용자에게 확대한 온라인 시민권이다. 에스토니아 사람들은 이미 오래전부터 한국처럼 온라인으로 정부사이트에 접속해서 세금을 내거나 회사를 관리하는 업무를 볼 수 있었고 그 것을 전세계 사람들에게 열어준 것이다. 실제로 ID카드 발급을 받아보니 스마트카드를 이용해 보안을 강화하고 암호화기술을 적절히 사용해 온라인에서도 충분히 신뢰를 기반으로 안정적인 서비스를 이용할 수 있을 것이란 생각이 들었다.

이제 어떻게 이용할지 곰곰히 생각해봐야겠다.