모바일 기기에서 발생하는 흔한 스캠들
모바일 기기에서 다양한 스캠들이 발생할 수 있습니다. 개인 정보가 유출되고 가상자산을 도난당할 수 있기에 각별한 주의를 기울여야 합니다.
Community Submission - Author: WhoTookMyCrypto.com
2017년은 가상자산 업계의 가치가 급등하며 주류 미디어의 보도로 이어진 주목할 만한 해였습니다. 이는 자연스레 일반 대중과 사이버 범죄자들의 엄청난 관심을 불러일으켰습니다. 가상자산이 제공하는 상대적 익명성은 전통적인 은행 시스템을 우회하고, 기관의 금융 감독을 회피하려는 범죄자들의 선호 대상이 되었습니다.
사람들이 데스크톱보다 스마트폰에 더 많은 시간을 사용하고 있다는 점을 고려할 때, 사이버 범죄자들 또한 스마트폰에 관심을 갖게 된 것은 자연스러운 일입니다. 이어지는 논의에서는 스캐머가 모바일 기기를 통해 어떻게 가상자산 사용자들을 공격 대상으로 삼는지와 더불어, 사용자가 자신을 지키기 위한 몇 가지 과정들을 살펴볼 것입니다.
가짜 가상자산 앱
가짜 가상자산 거래소 앱
가장 잘 알려진 가짜 가상자산 거래소 앱은 아마도 폴로닉스의 경우일 것입니다. 2018년 7월 공식 모바일 거래 앱이 출시되기 전, 구글 플레이는 이미 여러 개의 가짜 폴로닉스 앱을 제공하고 있었고, 이는 특정 기능을 수행하도록 설계되어 있었습니다. 가짜 앱을 다운 받은 많은 사용자들의 로그인 정보가 유출되었고, 그들의 가상자산이 도난당하기도 했습니다. 일부 앱은 사용자의 지메일 계정 정보를 요구하기도 했습니다. 이때, 2단계 인증(2FA)이 설정되지 않은 계정만이 유출되었다는 사실은 무척 중요합니다.
다음 단계는 이러한 스캠으로부터 사용자를 보호하는 데 도움이 될 수 있습니다.
거래소의 공식 웹사이트를 통해 거래소가 실제로 모바일 거래 앱을 제공하는지 확인합니다. 만약 그렇다면, 해당 웹사이트에서 제공하는 링크를 이용합니다.
리뷰와 평가 점수를 확인합니다. 가짜 앱에는 사기 당했다는 항의와 함께 보통 나쁜 리뷰가 달려 있으니 다운로드하기 전에 이를 확인하시기 바랍니다. 그러나 높은 평가 점수와 좋은 리뷰가 달려 있다 해도 이를 의심해 보는 것이 좋습니다. 모든 공식적인 앱에는 부정적인 리뷰도 함께 달려 있기 마련입니다.
앱 개발자 정보를 확인합니다. 공식적인 회사, 이메일 주소, 웹 사이트가 제시되어 있는지 확인합니다. 또한 제공된 정보를 온라인으로 검색하여 실제로 공식 거래소와 관련이 있는지 확인해야 합니다.
다운로드 횟수를 확인합니다. 다운로드 횟수는 중요합니다. 인기가 아주 많은 가상자산 거래소가 적은 다운로드 횟수를 기록할 가능성은 높지 않습니다.
계정의 2FA를 활성화 합니다. 100% 안전한 것은 아니지만, 2FA를 건너뛰기란 무척 어려우며, 로그인 정보가 피싱되더라도 자금 보호 여부에 상당한 차이가 생길 수 있습니다.
가짜 가상자산 지갑 앱
다양한 종류의 가짜 앱들이 있습니다. 그 중 한 유형은 사용자의 지갑 비밀번호와 개인 키와 같은 개인 정보를 획득하고자 합니다.
가짜 앱이 사용자에게 이전에 생성된 공개 주소를 제공하는 경우도 있습니다. 그렇게 해서 자금이 해당 주소에 입금되도록 할 수 있습니다. 그러나 개인 키에 대해 접근 권한이 없으므로 전송된 자금에 접근할 수는 없습니다.
이러한 가짜 지갑들은 이더리움과 네오처럼 인기 있는 가상자산을 위해 만들어졌고, 안타깝게도 여러 사용자들이 자금을 잃었습니다. 다음은 피해자가 되지 않기 위한 몇 가지 예방 단계입니다.
거래소 앱 부분에서 언급된 모든 예방책들이 동일하게 적용됩니다. 그러나 지갑 앱 사용에 대한 추가적인 예방책은 앱을 처음 시작할 때 새로운 주소가 생성되는지 확인하고, 개인 키(또는 니모닉 문구)를 개인적으로 소유하고 있는지 확인하는 것입니다. 공식 지갑 앱은 개인 키를 내보낼 수 있게 하지만, 새롭게 생성된 키 쌍이 유출되지 않도록 해야 합니다. 그러므로 평판이 좋은 소프트웨어(가급적이면 오픈 소스)를 사용해야 합니다.
앱에서 개인 키(또는 문구)를 제공하더라도 공개 주소가 파생될 수 있는지 또한 이를 통해 접근할 수 있는 확인해야 합니다. 예를 들어, 일부 비트코인 지갑은 사용자들이 개인 키나 문구를 통해 주소를 시각화하고 자산에 접근할 수 있게 해줍니다. 키와 문구가 유출된 위험을 최소화하기 위해 인터넷이 연결되지 않은 컴퓨터에서 작업을 진행할 수 있습니다.
크립토재킹 앱
크립토재킹은 진입 장벽이 낮고 간접 비용이 적기 때문에 사이버 범죄자들 사이에서 많은 인기를 얻고 있습니다. 뿐만 아니라, 범죄자들에게 장기적이며 반복적인 수입의 가능성을 제공하기도 합니다. PC에 비해 처리 능력이 떨어지지만, 모바일 기기는 점점 크립토재킹의 공격 대상이 되고 있습니다.
웹브라우저 크립토재킹 외에도 사이버 범죄자들은 공식적으로 보이는 게임, 유틸리티 또는 교육용 앱과 같은 프로그램도 개발하고 있습니다. 이들 앱 중 상당수는 백그라운드에서 은밀하게 가상자산 마이닝 스크립트를 실행하도록 설계되었습니다.
합법적인 제3자 마이너로 광고되는 크립토재킹 앱도 있지만, 보상은 유저가 아닌 앱 개발자에게 전달됩니다.
뿐만 아니라, 발견되지 않기 위해 가벼운 마이닝 알고리즘을 도입하는 식으로 사이버 범죄는 더욱 정교해지고 있습니다.
크립토재킹은 모바일 기기의 성능을 저하시키고 마모를 가속화시키기 때문에 무척 해롭습니다. 게다가, 더 나쁜 맬웨어를 위한 트로이 목마 역할을 할 수도 있습니다.
다음은 이러한 공격을 방지하기 위한 몇 가지 단계입니다.
구글 플레이와 같은 공식 스토어에서만 앱을 다운로드 합니다. 불법 앱은 선별되지 않은 것이며, 크립토재킹 스크립트를 포함하고 있을 가능성이 더 높습니다.
장치와 앱을 최신 상태로 유지해 보안 취약성 패치가 진행되도록 합니다.
배터리가 지나치게 빨리 닳거나 과열되지 않는지 확인합니다. 만약 그렇다면, 해당 문제를 발생시키는 앱을 종료합니다.
크립토재킹을 차단하는 웹브라우저를 사용하거나, MinerBlock, NoCoin, Adblock과 같은 평판이 좋은 브라우저 플러그인을 설치합니다.
가능하다면, 모바일 바이러스 백신 소프트웨어를 설치하고 이를 최신 상태로 유지합니다.
무료 증정 및 가짜 가상자산 채굴 앱
해당 앱들은 가상자산을 채굴하는 척하지만, 광고를 내보내는 것 외에는 아무 것도 하지 않습니다. 시간이 지나며 늘어나는 사용자 보상을 반영해 해당 앱을 계속 실행시키도록 합니다. 일부 앱은 보상을 받기 위해 별점 5를 남긴 사용자에게 인센티브를 제공하기도 합니다. 당연히 이러한 앱들은 실제로 채굴을 진행하지 않았으며, 해당 유저들은 아무런 보상을 받지 못했습니다.
이러한 스캠을 막기 위해서는 대부분의 가상자산 채굴에는 고도로 전문화된 하드웨어(ASICs)가 필요하다는 점을 이해해야 하며, 이는 모바일 기기로 채굴하는 것이 불가능함을 의미합니다. 아무리 한다해도 그 양은 무척 적을 것입니다. 이러한 앱을 멀리하시는 것이 좋습니다.
클리퍼 앱
해당 앱은 복사한 가상자산 주소를 공격자의 주소로 변경시킵니다. 따라서 피해자가 정확한 수신자 주소를 복사하더라도, 전송을 위해 붙여 넣은 주소는 공격자의 것으로 바뀌게 됩니다.
다음은 트랜잭션을 처리할 때, 이러한 앱의 희생자가 되지 않기 위한 몇 가지 예방책들입니다.
수신자 영역에 붙여넣으려는 주소를 언제나 이중, 삼중으로 확인합니다. 블록체인 트랜잭션은 되돌릴 수 없으므로 항상 주의해야 합니다.
주소 일부가 아닌 전체를 확인하는 것이 가장 좋습니다. 일부 앱은 대상의 주소와 유사한 주소를 붙여넣을 수 있을 정도로 지능적입니다.
SIM 스와핑
SIM 스와핑 사기를 통해, 사이버 범죄자는 사용자의 전화 번호에 접근할 수 있습니다. 이들은 휴대 전화 사업자들에게 새로운 SIM 카드를 발급하도록 속이는 사회 공학 기술을 사용합니다. 가장 잘 알려진 SIM 스와핑 사기에는 가상자산 기업가 마이클 터핀(Michael Terpin)과 관련이 있습니다. 그는 AT&T가 자신의 휴대 전화 정보 관리를 소홀히해 2,000만 달러 이상에 해당하는 토큰을 잃어버렸다고 주장했습니다.
사이버 범죄자들이 전화 번호에 접근하게 되면, 그들은 이를 통해 모든 2FA를 우회할 수 있습니다. 이를 시작으로, 가상자산 지갑과 거래소에 접근할 수 있습니다.
사이버 범죄자가 사용할 수 있는 또 다른 방법은 SMS 통신을 모니터링하는 것입니다. 통신 네트워크의 결함을 통해 범죄자들은 메시지를 가로챌 수 있고, 여기에는 메시지로 전송된 이중 인증 식별 번호가 포함될 수 있습니다.
이러한 공격이 특히 우려스러운 이유는 사용자가 가짜 소프트웨어를 다운로드하거나 악의적인 링크를 클릭할 필요가 없다는 것입니다.
이러한 사기를 당하지 않기 위해 고려해야 할 몇 가지 단계가 있습니다.
휴대 전화 번호를 SMS 2FA에 사용하지 않습니다. 대신 Google Authenticator 또는 Authy와 같은 앱을 사용해 계정을 보호합니다. 사이버 범죄자가 사용자의 전화 번호를 가지고 있더라도 해당 앱에 접근할 수 없습니다. 또는 YubiKey 또는 구글의 Titan Security Key와 같은 하드웨어 2FA를 사용할 수 있습니다.
소셜 미디어를 통해 휴대 전화 번호와 같은 개인 정보를 공개하지 않습니다. 사이버 범죄자들은 그러한 정보를 수집해 여러분을 사칭하는데 사용할 수 있습니다.
절대로 소셜 미디어에 가상자산을 가지고 있다고 알리지 않아야 하는데, 이 때문에 공격 대상이 될 수 있기 때문입니다. 만약 다른 이들이 가상자산을 소유하고 있다는 걸 아는 상황이라면, 사용하는 거래소가 지갑과 같은 개인 정보를 공개하지 않아야 합니다.
계정을 보호하기 위해 휴대폰 공급자와 계약을 맺습니다. 이는 계정에 핀 또는 비밀번호를 연동하고 핀 정보를 알고 있는 사용자만 계정을 변경할 수 있도록 하는 것을 의미할 수 있습니다. 또는 이러한 변경이 전화를 통해서는 불가능하며 대면을 통해서만 변경될 수 있도록 요청할 수 있습니다.
와이파이
사이버 범죄자들은 지속적으로 모바일 기기, 특히 가상자산 사용자들에게 침입할 지점을 찾고 있습니다. 그러한 침입점 중 하나는 WiFi 연결입니다. 공용 WiFi는 안전하지 않으므로 연결하기 전에 주의를 기울여야 합니다. 그렇지 않을 경우 사이버 범죄자가 모바일 기기 데이터에 접근할 수 있는 위험이 있습니다. 이러한 주의 사항은 공용 와이파이 글에서 다룬 바 있습니다.
마치며
휴대 전화는 우리 삶에 필수요소가 되었습니다. 실제로, 이는 사용자들의 디지털 신원과 밀접하게 관련되어 있고, 가장 큰 취약점이 될 수 있습니다. 사이버 범죄자들은 이를 인식하고 있으며, 이를 탈취할 방법을 계속 모색할 것입니다. 모바일 기기를 보호하는 것은 더는 선택 사항이 아닙니다. 이는 필수 사항입니다. 항상 주의를 기울이셔야 합니다.
면책 조항:본 게시물은 정보 제공과 교육을 위해 작성된 문서이며, 특정 가상자산에 대한 추천을 하는 것이 아닙니다. 해당 내용을 바탕으로 투자 결정을 하지 마십시오. 본지는 어떠한 투자적, 법률적 책임 등을 지지 않습니다.