[더샌드박스] 코인, NFT를 해킹으로 부터 지키는 방법

 내가 어렸을 적 처음 머드게임이란 장르의 게임을 하면서 주변의 친구들이나 나보다 어린 꼬마들이 게임계정 및 아이템을 사기 및 해킹? 당하곤 했었다.
 지금생각하면 너무 어이없는 방법들이였고 코묻은 돈 밖에 안되는 게임 아이템을 왜그렇게 빼앗아 갔나 싶지만 어린마음에는 큰 상처가 됫을 것이 분명하다 (.... 나는 어릴적 게임으로 세상을 배웟지.. 믿을놈 하나없단걸..)

 

 그런데 지금 개인 코인지갑, NFT쪽에서 비슷한 일들이 벌어지고 있는데, 문제는 이게 금액이 크기 때문에 해커 입장에서는 더 최선을 다해서 아이템 및 코인을 갈취해야할 동기가 커진 반면, 대중들의 개인지갑 관리 경험은 걸음마 수준이여서 수 많은 낚싯 및 해킹에 노출되어있고, 크립토씬의 기본적인 기조가 그렇듯 이 해킹당한 것들을 중앙에서 되찾아주거나 해커가 수익화해서 들고 도망가는걸 막아주는 관리주체가 없기 때문에 모든 책임이 온전히 나에게 있다는 것이 문제이다. 

 

 나도 처음 랜드는 구매하고 나서 불안감에 항상 시달렸었다. 왜냐하면 지갑이 해킹당했다는 이야기는 끊이지 않고 들리고 있고, 나는 관련된 경험이 없었기 때문이다.

 

 모든 경우의 수와 방법을 내가 알고있지 않지만 그래도 대부분의 리스크는 아래 글들을 통해 대비할 수 있을 걸로 보인다.

 

 1. 메타마스크 복구구문 관리
 이 핫월렛(메타마스크)의 복구구문은 이 지갑의 소유권이 나에게 있나는 것을 증명하는 모든 것이라고 할 수 있다. 이건 단순히 비밀번호의 개념을 넘어 개인 신상까지 포함되어있다고 생각하면되는데 쉽게 말하면 부동산 등기부 등본인데, 문제는 무기명이다.

 

 즉, 다른사람이 내 복구구문을 취득하게 된다면 그 사람의 것이 된다고 생각해도 틀리지 않다. 그런데 여러개의 영어 문구를 나에게 알고있으라고 화면에서 말하면, 많은 사람들은 그 문구를 사진을 찍거나, 메모장에 저장한다. 심지어 클라우드에 연결되어있는 계정에 해당 파일을 보관하기도 한다. 물론 그렇게 관리해도 크게 문제가 생기지 않을 수도 있지만 내 재산이 들어가있는 등기권리증을 해커가 발견한다면 언제든 가져갈수 있게 던져 놓았다고 봐도 무관하다.

 → 복구구문은 종이로 적어서 개인만 알 수 있는 곳에 보관하라. 어떤 형태의 디지털 정보도 낮은 확률로 타인에게 노출 될 수 있다. 문제는 그 낮은 확률을 계속해서 노리는 사람들이 있고 그게 노출됫을 때 본인의 지갑은 0원이 된다는 것이다.

 

 → 콜드 월렛을 사용하라. 
 콜드월렛이 뭔지 잘 모르시는 분들이 있겠지만 간략하게 설명하자면 우리가 계좌이체 할때 사용하는 OTP라고 생각하시면된다. 그런데 10원짜리 거래도 이 OTP를 입력해야하기 때문에 오프라인에서 내가 콜드월렛 디바이스로 승인을 누르지 않는다면 아무 거래도 실행되지 않기때문에 훨씬 높은 보안성을 가지고 있다. (물론 내가 낚시에 당해서 잘못된 링크에 승인을 누르면 털림..)

 

 

스캠(사기) 메일

 2. 스캠, 피싱, 프리민팅
 내가 어렸을 적 게임을 할때와 같은 매커니즘이다. 내가 가지고 있는 아이템을 시세보다 높게 구매해주겠다고 판매자를 조바심나게 하거나, 마치 큰 이득을 줄것처럼 기망해서 계정비번을 달라고 하는 등 이미 비슷한 사례는 우리모두 많이 겪어왔지만 크립토 판에서는 새롭게 느껴질수 있다. 세상에 공짜는없고 이상한 NFT가 내 지갑에들어와서 왠지 돈을 받고 팔수 있을것 같이 표시되어있지만 그건 낚시고, 온갖메일로 당첨이됫니 공짜로 받으라니 이거받으면 돈이 되니하고 메일을 보낸다한들 클릭해서 지갑에서 승인하는순간 내 지갑의 잔고는 0으로 수렴한다.

 → 기본적으로 가만히 있는데 나에게 금전적인 이익을 주려는 사람은 없다는 것을 다시한번 상기시켜라. 메일이건 문자건 링크건 트위터건 나를 속여서 금전적인 이익을 취하려는 사람은 모든 루트를 통해 나에게 접근을 한다. 뭔가 꿀통인거같으면 그 꿀통에 빠져죽을 수도 있다는 걸 인지해야한다.

 → 프리민팅, 이른바 공짜로 NFT를 주는 것들은 대부분 초기 판매후 튀거나 거래량을 올려서 수수료를 거둬들이고 튀거나, 실사용 가치가없는 NFT는 그냥 봉이김선달 한강물이라고 생각하면된다. 괜한 욕심에 프리민팅 사이트에 계정을 연결했다가 지갑이 털려도 책임져주는 사람은 없다. 
  나는 내가 자주 사용하는 사이트들은 즐겨찾기를해놓고 꼭 확실한 URL로 접속해서 사용하고, 잘모르는 프로젝트나 사이트에 절대 계정을 연결시키지 않는다. 혹여 너무하고싶다면 서브 계정을만들어서 소액의 가스비를 옮겨서 참여해볼걸 추천한다.

 

 3. 해킹 프로그램 설치
 2번 항목과 유사하지만 이건 정말 영혼까지 털릴 수 있다. 일반적으로 기본적인 보안이 되어있기 때문에 간단한 해킹툴은 자동으로 깔리지 않지만 스스로 무장해제를하고 해킹툴을 깔게끔 유도하는 메일이 종종 있다. 뭔가 내가 공짜로 돈을 벌어보겠다고 설치버튼을 누르는순간.... 컴퓨터를 포맷해도 소용없게 모든 정보가 탈취 당한 후 일 수 있다.
 → 공식 프로젝트 메일인 척 사칭해서 메일을 보내는 경우가 많은데, 나같은 경우 공식 메일을 메일함에서 VIP표시를해두어 해당 메일주소에서 온 메일은 표시가 나르게 해놓고 사용한다. 종종 다른메일로 공식 메일이 오긴하지만, 그래도 우선 VIP메일이 아닐 경우 더 유심히 보기때문에 내가 실수를 할 확률을 한번 줄여주지 싶다.

 

 

 

 오늘의 결론

 

 FTX거래소에 맡겨놔도 먹고튀고 뒤로 빼돌리는세상에 믿을놈은 하나도없다. 우선 콜드월렛을 구입해서 내가 스스로 자산을 잘 지키는 법을 배워야하고 누군가 달콤한 유혹을 한다면 의심부터 하는 것이 좋다. 제발.