100% 확실한 보안은 없다.
불편함감수&의심 = 보안 ↑
편리함추구&안심 = 해킹 ↑
[필수]
- 백신/보안프로그램 주기적으로 사용하세요.
자동 검사는 물론 수동 검사도 수시로 해주세요. - 모든 거래소의 비밀번호를 다르게 설정해야 합니다. 메일 계정과도 달라야 합니다.
동일한 비밀번호를 사용하는 사이트가 없어야합니다. - 내 스마트폰 통신사 홈페이지 계정 및 비밀번호도 거래소 및 메일 계정과 다르게 설정해야합니다.
- PC에 프라이빗키나 거래소 비밀번호 등을 보관하면 안됩니다.
메일 내게쓰기, 에버노트, 카카오톡, 메모장, 워드파일 등을 포함합니다. - 폰카메라로 프라이빗키, 비밀번호를 촬영하면 안됩니다.
클라우드 저장설정으로 인해 자동 업로드 될 수 있습니다. - 가입한 거래소마다 반드시 OTP 설정으로 2차 보안을 확실히 해야합니다.
거래소 로그인 메일 계정(구글/다음/네이버)도, OTP설정해주세요. - 송금 할 때에는 주소 복사붙여넣기 한다고 안심하지말고 더블체킹해야합니다.
관련 글 : 크립토셔플러
-암호화폐 탈취 멀웨어인 에브리얼(Evrial)이나 크립토셔플러(CryptoShuffler)와 같은 기능이다. 다만 콤보잭은 다양한 종류의 코인들을 동시에 노린다는 차이를 가지고 있다. “비트코인, 라이트코인, 모네로, 이더리움 등 욕심껏 챙기는 멀웨어다.” - 브라우저에 비밀번호 자동저장 하지마세요.
크롬, 웨일, 인터넷익스플로러 등 모두 포함합니다. - 동기화 기능은 편리하지만 보안측면에서 치명적일 수 있습니다.
동기화 기능 활성화는 신중하게 결정해주세요. 권장하지 않습니다. - 공용 WIFI 함부로 사용하지 않아야 합니다.
- PC에 팀뷰어 설치하지마세요.
팀뷰어는 원격제어프로그램으로 해킹당했을 시, 나도 모르는 새에 컴퓨터가 원격으로 조종당할 수 있습니다. - 링크를 신뢰하지마세요.
인터넷 내 모든 링크, 카카오톡 채팅으로 전달되는 링크등 모두 의심없이 클릭하는 습관을 조심해야합니다.
관련 글 : 링크를 의심하라 - 운영체제(OS)는 정품으로 사용하세요.
그리고 한글, 오피스, 어도비 프로그램 등 모두 정품 프로그램 사용을 권장합니다.
불법 프로그램에 악의적 의도로 무언가를 숨겨놨을 수도 있어요. - 파일 다운로드는 항상 조심해야합니다. PDF, DOCX 파일 등을 모두 조심하세요.
17년 빗썸 고객정보 유출건은 빗썸 직원이 이력서로 위장한 파일을 다운로드 하는 바람에 생긴 일이었답니다.
관련글 : 빗썸 해킹 - 소규모 거래소, 신생거래소는 경계해야합니다.
국내 소규모 거래소의 경우 로그인 OTP 기능도 구현하지 못한 곳도 많으며, 제대로 된 보안팀이 없는 경우도 많으니 사람들이 주로 사용하는 거래소만 쓰세요.
[거래소 로그인 메일 계정]
-
네이버 메일 계정이 거래소 로그인 메일이라면
해외로그인 차단과 지역 IP설정은 필수겠죠. 그리고 네이버 OTP 등록과 함께 로그인아이디를 따로 설정해주세요. 만약 내 네이버 아이디가 keepcoing@naver.com 에 비밀번호 012345 라면, 해커는 keepcoing라는 아이디와, 비밀번호 012345만 있으면 쉽게 접속할 수 있겠죠. 문제는 keepcoing 이라는 아이디는 네이버 블로그, 네이버 쪽지 등을 통해서 쉽게 노출되는 정보입니다. 하지만 로그인 아이디를 따로 설정해두면, keepcoing로는 로그인이 안됩니다. antihackerkeepcoing 이런식으로 로그인아이디를 따로 설정해주세요. [로그인 전용아이디 설정하러 가기]
-
구글 메일 계정이 거래소 로그인 메일이라면
구글메일에 구글OTP설정을 해주세요.
-
모든 메일 공통
거래소 공식 메일계정들을 모두 즐겨찾기, VIP설정 해두세요. 이유는 피싱 메일에 낚이지 않게 하기 위해서입니다. 유사한 도메인, 메일로 피싱 메일을 보내는 해커들도 기승을 부리고 있습니다.
그리고 출처를 모르는 메일은 절대 클릭하지마세요. 첨부파일은 더더욱 다운받지마시구요. 피싱메일에 낚이지 않기 위해서 공식 메일 계정을 VIP로 등록해두세요. VIP에게 메일이 오면 따로 표시가 뜨죠. 그리고 매수 매도 관련 알람을 받을 수 있습니다. 내가 매수, 매도 하지 않았는데 매수 매도 알람이 뜬다면 해커가 내 계정에 접근한 상황이니 빠르게 계정 동결을 요청해야하며, VIP 표시가 되지않은 거래소 메일은 피싱 메일일 확률이 높으니 클릭하지않습니다.
[통신사]
해커들은 통신사 홈페이지를 해킹해서 거래소의 자산을 탈취해가기도 합니다. 신분증을 조작해 내 진짜 핸드폰은 분실폰 혹은 도난폰으로 등록하고, 해커의 대포폰으로 모든 전화, 문자를 돌려서 OTP 리셋 설정, 비밀번호 리셋 요청 등의 SMS를 받아보고 해킹하는 거죠. 혹은 거래소의 공식 고객센터 번호를 스팸메세지로 설정해놓고서, 홈페이지를 통해 스팸메세지함을 훤히 들여다볼 수도 있습니다. 통신사 3사 모두 고객정보 비밀번호를 설정하면 모든 통신사 관련 활동은 비밀번호를 입력해야만 정보를 열람할 수 있습니다. 해커는 이 비밀번호에 막히는 거죠. 신분증 필수이니, 신분증 지참해서 신청하시구요!
- SKT 고객정보비밀번호 서비스
비밀번호 6자리
직영점·지점에서 직접 방문 신청 - KT 고객정보열람비밀번호 서비스
비밀번호 4-8자리
KT 플라자·올레KT홈페이지에서 신청가능 - LG U+ 고객정보보호 서비스
비밀번호 4자리
직영점에 직접 방문 신청가능
[전화번호부 등록]
저는 가입한 모든 거래소의 ‘공식 고객센터 전화번호’를 폰에 저장해두었습니다. 17년에 빗썸 이용 고객 대량 해킹 사건이 있었죠? 여러가지 해킹 수법으로 털어갔지만, 그 중에는 빗썸고객센터를 사칭한 보이스피싱 수법도 있었는데요. 번호는 전국 대표번호 (1661-XXXX 등의 형태)로 전화가 오거나 인터넷 전화 070 으로 전화가 온다고하네요.
이렇게 해두면 알려지지않은 번호로 전화가 걸려왔는데, 거래소 고객센터라고 주장하며 개인정보, OTP번호를 요구한다면! 등록된 번호, 공식 번호가 아니니 일단 의심을 해볼수있겠죠.
[거래소 즐겨찾기해두기]
마이이더월렛 피싱사이트는 천여개가 넘게 있습니다. 링크 : 피싱사이트 리스트
검색해서 접속하지 말고, 자주 접속하는 사이트는 주소를 외우거나 혹은 즐겨찾기 해두세요.
그리고 한 가지 더! 즐겨찾기 및 외워서 접속한다 하더라도, 즉 정상주소로 접속하더라도 납치당할 수 있습니다. 바로 호스트파일이 변경된 경우인데요. 주소를 제대로 해도 피싱사이트로 연결된답니다. C:\Windows\System32\drivers\etc 로 접속해보세요. 이를 복사해서 폴더나, 브라우저에 붙여넣기 하시면 됩니다. 이 폴더에서 host 파일이 변경되었는지 확인해보세요. 이상한 주소가 추가되었는지 확인해보세요.