더스팅(Dusting) 공격이란?
더스팅 공격은 가상자산 사용자들의 프라이버시를 침해하는 것으로, 해커들은 지갑의 소유주를 추적해 피싱 공격 등을 감행할 수 있습니다.
더스팅(Dusting) 공격이란?
더스팅 공격은 해커와 스캐머들이 아주 적은 양의 코인을 사용자 지갑에 전송해 비트코인과 가상자산 사용자의 프라이버시를 침해하는 신종 악성 활동을 지칭합니다. 비트코인에 익숙한 많은 이들이 트랜잭션에 침투하려는 시도로부터 자신들의 익명성이 잘 보호되고 있다는 가정 하에 활동하지만, 불행히도 그렇지 않습니다.
더스트의 정의
가상자산에서 더스트(dust)라는 용어는 아주 적은 양의 코인이나 토큰을 가리키는데, 양이 워낙 작아 사람들은 이를 무시하곤 합니다. 비트코인을 예로 들자면, 가장 작은 단위는 1 사토시 (0.00000001BTC)이며, 수백 사토시를 더스트라 할 수 있습니다.
즉, 더스트는 거래 수수료보다 훨씬 적기 때문에 보낼 가치조차 없는 트랜잭션 또는 금액입니다. 더스트는 또한 가상자산 거래소에 "고착되어" 거래할 수 없는 적은 양의 코인에 붙이는 명칭이기도 합니다.
대부분의 사람들은 지갑의 더스트를 알아채지 못하고 그 근원에 대해 거의 걱정하지 않습니다. 최근까지, 지갑에 있는 이 작은 금액에 관심을 갖지 않는 것은 아무런 문제가 되지 않았지만, 더스팅 공격이 발생함에 따라, 더는 그럴 수 없게 됐습니다.
더스팅 공격
스캐머들은 최근 들어, 비트코인 사용자들이 지갑에 있는 이 작은 금액에 많은 관심을 기울이지 않는다는 것을 알았고, 그들에게 아주 작은 사토시들을 보내 많은 주소를 "더스팅(dusting)" 하기 시작했습니다. 그리고 나서 해당 자금과 더스트된 지갑들의 모든 트랜잭션을 추적하기 시작했는데, 이는 해커들이 지갑 주소들을 추적하여 결국 그 지갑을 소유한 회사나 개인을 알아낼 수 있게 했습니다. 이러한 정보는 훗날 표적화된 피싱 공격이나, 인식하지 못한 희생자들에게 "당신이 누군지 알고 있다. 돈을 낸다면, 당신의 신원을 노출시키지지 않겠다"와 같은 공격을 하는데 사용될 수 있습니다. 초창기 더스팅 공격은 비트코인을 통해 이뤄졌지만, 공개적인 퍼블릭 블록체인에서 운영되는 다른 가상자산에서도 발생하고 있습니다.
2018년 10월 말, 비트코인 사무라이(Bitcoin’s Samourai) 지갑 개발자들은 일부 사용자들이 더스팅 공격을 받고 있다고 발표했습니다. 회사는 트위터를 통해 사용자들에게 경고하고, 스스로를 보호할 수 있는 방법들을 설명했습니다. 더스팅 공격으로부터 사용자를 보호하기 위해, 해당 지갑은 더스팅 추적에 관한 실시간 알림과 “사용 금지”와 같은 기능을 도입해 사용자가 의심스러운 자금을 걸러내, 향후 트랜잭션에서 이를 사용하지 않을 수 있게 했습니다.
만약 더스트 자금이 이동되지 않는다면, 공격자들은 해당 지갑이나 주소 소유자의 "익명성을 해체" 하는데 필요한 접점을 만들 수 없게 됩니다. 사무라이 지갑은 546 사토시 이하의 트랜잭션을 자동으로 보고하는 기능을 갖췄으며, 이를 통해 일정 수준의 보안을 제공하고 있습니다.
비트코인 익명성
비트코인은 공개적이고 탈중앙화되어 있기 때문에, 어떠한 개인 정보를 제공하지 않고도 누구나 지갑을 설정하고 네트워크에 참여할 수 있습니다. 모든 비트코인 트랜잭션은 공개적이고 가시적이지만, 해당 공개 주소 또는 트랜잭션 뒤에 있는 신원을 밝혀내는 것은 언제나 쉬운 일은 아니며, 이는 완전하지는 않지만 비트코인을 사적으로 만듭니다.
두 당사자(중개인의 개입 없이) 사이에서 이뤄지는 P2P(Peer-to-Peer) 거래에서는 익명성이 보장될 가능성이 더 높습니다. 주의할 점은, 프라이버시를 보호하기 위해 비트코인 사용자들은 각각의 지갑 주소를 한 번만 사용해야 한다는 것입니다.
그러나 대부분의 가상자산 숙련자들과 트레이더들은 제3자 거래소를 이용하고, 결국 그들의 개인 지갑을 거래소 지갑과 연결시킬 것이고, 따라서, 그들의 개인 정보도 연결되게 될 것입니다. 그러므로, 가상자산을 거래한다면, 믿을 수 있고 안전한 거래소를 선택하는 것이 중요합니다.
많은 사람들이 믿고 있는 것과 달리, 비트코인은 사실 익명의 가상자산이 아님을 염두에 두는 것이 좋습니다. 최근 발생한 더스팅 공격 외에도, 많은 기업, 연구소, 정부 기관들이 블록체인의 익명성을 해체하기 위해 블록체인을 분석하고 있습니다.
기타 개인 정보 보호 및 보안 문제
비트코인 블록체인은 해킹이 거의 불가능하지만, 지갑들은 가상자산 체인의 약한 연결일 뿐입니다. 사용자가 계정을 만들 때 자신의 개인 정보를 제공하지 않기 때문에, 일부 해커가 그들의 코인에 접근한다해도 도난을 증명할 수 없으며, 설사 할 수 있다고 하더라도 이는 무용지물일 것입니다.
사실, 범죄 희생자들이 비트코인 도난을 추적하는 것은 헛된 일입니다. 만약 자신만 접근할 수 있는 개인 지갑에 비트코인을 보유하고 있다면, 스스로의 은행 역할을 하고 있는 것이며, 키를 잃어버리거나 코인을 도둑맞을 경우에는 아무것도 할 수 없습니다.
프라이버시는 날이 갈수록 더 중요해지고 있습니다. 무언가를 숨기려는 사람들뿐 아니라, 모두에게 그렇습니다. 특별히 가상자산 트레이더와 투자자들에게는 더욱 중요합니다.
더스팅 공격이나 다른 익명성 해체 공격과 더불어, 크립토재킹(Cryptojacking), 랜섬웨어(Ransomware), 피싱(Phishing)과 같은 가상자산 공간에서 매우 빠르게 진화하고 있는 다른 보안 위협에도 주의를 기울여야 합니다. 더불어, 모든 장치에 VPN과 함께 신뢰할 수 있는 바이러스 백신 설치하는 것을 고려해봐야 합니다. 또한, 지갑을 암호화하고 암호화된 폴더에 키를 저장해야 합니다.