검수요청.png검수요청.png

암호화폐 해킹

위키원
shoot008 (토론 | 기여)님의 2019년 8월 13일 (화) 15:30 판 (멀웨어 사기)
이동: 둘러보기, 검색

암호화폐 해킹(cryptocurrency hacking)이란 블록체인 및 암호화폐 시스템의 보안 취약점을 찾아내어 해킹하는 것을 말한다. 암호화폐 거래소를 해킹하거나, 혹은 51% 공격블록체인 자체의 취약점을 노린 해킹이 있다. 블록체인은 기술적으로 복잡하고 시스템도 분산되어 있어 보안성을 100% 보장하기 어려운 면이 있다. 블록체인의 특성에 맞는 51% 공격과 같은 해킹도 있고 기존의 해킹 기술을 활용한 공격도 가능하다.

개요

암호화폐 해킹은 모양, 크기가 모두 제각각이다. 암호화폐 해킹은 대부분 사용자 권한 획득을 통해 이뤄진다. 사용자 권한 획득이란 사용자가 갖고 있는 개인 키를 불법적(정당하지 않은 방법을 포함)으로 확보하는 것이다. 사용자 권한을 획득함으로써 해커비트코인을 원하는 곳으로 보내거나 불특정 사용자에게도 보낼 수 있다. 일부 엘리트 해커들은 암호화폐 지갑 또는 거래소를 해킹하여 특정 계좌에서 돈을 인출하여 다른 계좌로 보내는 방법도 있다. 블록체인의 안전성은 이론적으로 검증되었지만, 실제 구현된 암호화폐블록체인은 해킹에 취약했다. 그 때문에 블록체인을 기반으로 다양한 실생활의 발전적 서비스 모델이 만들어지고 정착되기 위해서는, 서비스 제공자의 보안 인식 강화와 설계단계부터 보안성 확보를 위한 노력이 반드시 중요하며, 이를 객관적으로 검증할 수 있는 제도적 개선이 필요하다.[1]

역사

아래 표는 2011년 6월부터 2019년 4월까지 모든 비트코인 사기 및 불법 행위에 관하여 가장 오래된 것부터 가장 최근 것까지 사건이다.

날짜 사건 사기 유형 훔친 암호화폐 피해 금액 피해 단체 / 피해자
2011/06/13 Allinvain Bitcointalk 해킹 / 절도 25.000 BTC $ 500K -
2011/06/13 Mt. Gox Auditor 절도 / 퇴출 사기 2,000 BTC $ 30k Mt. Gox
2011/08/01 Bitomart Exchange 지갑, 파일 삭제됨 / 자금 잠금 17,000 BTC $ 220K Bitomart
2011/08/08 MyBitcoin Exchange 해킹 / 절도 154.406 BTC $ 2,000K MyBitcoin
2011/10/05 Bitcoin7 Exchange 해킹 / 절도 5,000 BTC $ 50K Bitcoin7
2012/03/02 Linode 웹 호스트 클라우드 서버 해킹 / 도용 46,703 BTC $ 228K Bitcoinica
2012/05/06 Bitcoinica 핫 월렛 해킹 / 도용 18,548 BTC $ 90K Bitcoinica
2012/07/02 Bitcoin Savings and Trust Ponzi Scheme 절도 / 퇴출 사기 150,000 BTC - Bitcoin Savings and Trust
2012/09/04 Bitfloor Exchange 해킹 / 절도 24,000 BTC $ 240K Bitfloor
2012/11/16 2012 Trojan Wallet 트로이 월렛 해킹 / 도용 3,457 BTC - 개인(Individual)
2013/01/11 Vircurex Exchange 해킹 / 절도 1,666 BTC $ 50,000K Vircurex
2013/02/14 BitMarket.eu 절도 / 퇴출 사기 18,787 BTC $ 400K Bitmarket
2013/03/10 BTCGuild Mining Pool 해킹 / 절도 1,254 BTC $ 58K BTCGuild
2013/03/28 Bitcoin Rain 절도 / 퇴출 사기 2,150 BTC - -
2013/07/15 Just Dice 사건 / 해킹 / 절도 1,300 $ 121K Just Dice
2013/08/27 Bitfunder and WeExchange 해킹 / 절도 6,000 BTC $ 560K Bitfunder
2013/10/01 Canada Bitcoins 사회 공학 절도 / 퇴출 사기 149 BTC $ 100K Canada Bitcoins
2013/10/23 Input.io 지갑 해킹 / 절도 4,100 BTC $ 1,300K Tradefortress
2013/10/26 GBL Exchange 절도 / 퇴출 사기 9,640 BTC $ 4,100k GBL
2013/11/19 BIPS 결제 서비스 해킹 / 절도 1,295 BTC $ 1,000 BIPS
2013/11/21 Sheep Marketplace 절도 / 퇴출 사기 5,400 BTC - Sheep Marketplace
2013/11/29 Picostocks 콜드 월렛 해킹 / 절도 5,875 BTC $ 6,000K Picostocks
2014/02/07 Mt. Gox 중요 거래 해킹(Halts Trade Over Major Hack) 650,000 BTC $ 30,000,000K
2014/03/04 Poloniex 인출 해킹(Withdrawal Hack) / 절도 97 BTC $ 1K Poloniex
2014/03/04 Flexcoin 핫 월렛 해킹 / 도용 896 BTC $ 50,000K Flexcoin
2014/03/09 PonziCoin 절도 / 퇴출 사기 10 BTC - PonziCoin
2014/03/11 CryptoRush 해킹 / 절도 950 BTC $ 800K CryptoRush
2014/05/15 Cryptsy Exchange 해킹 / 절도 13,000 BTC / LTC $ 9,580K Cryptsy
2014/10/08 Mintpal Exchange 절도 / 퇴출 사기 3,894 BTC $ 1,300K Mintpal
2015/01/04 Bitstamp 핫 월렛 해킹 / 도용 19,000 BTC $ 5,000K Vircurex
2015/01/28 796 Exchange 해킹 / 절도 1,000 BTC $ 230K Vircurex
2015/02/09 MyCoin Exchange 절도 / 퇴출 사기 / 파산 - $ 8,000K Vircurex
2015/02/15 BTER 콜드 월렛 해킹 / 절도 7,170 BTC $ 1,750K Vircurex
2015/02/19 Kipcoin Exchange 해킹 / 절도 3,000 BTC $ 690K Vircurex
2015/03/18 Evolution Marketplace 절도 / 퇴출 사기 43,000 BTC $ 1,200K Vircurex
2015/05/22 Bitfinex Hot Wallet 해킹 / 절도 1,400 BTC $ 400K Vircurex
2015/09/17 Bitpay 사회 공학 절도 / 퇴출 사기 5,000 BTC $ 1,800K Vircurex
2016/04/07 Shapeshift Exchange 해킹 / 절도 469 BTC $ 200K Shapeshift
2016/05/13 Gatecoin 해킹 / 절도 250 BTC $ 2,500K Gatecoin
2016/06/17 DAO 해킹 / 절도 360,000 BTC $ 90,000K DAO
2016/08/02 Bitfinex 보안 침해 해킹 / 절도 120,000 BTC $ 72,000K Bitfinex
2016/10/14 Bitcurex Exchanges 해킹 / 절도 2,300 BTC $ 50,000K Bitcurex
2017/02/17 ZCash Glitch 해킹 / 절도 370,000 ZCash $ 585K ZCash
2017/02/24 Coinhoarder 피싱 / 절도 / 퇴출 사기 BTC $ 1,800K Coinhoarder
2017/04/24 Asian-European Currency Ponzi Scam 절도 / 퇴출 사기 - $ 680K Asian-European Currency
2017/04/26 Yapizon Exchange 해킹 / 절도 3,831 BTC $ 7,600K Yapizon
2017/05/17 eBitz 절도 / 퇴출 사기 388 BTC $ 2,900K eBitz
2017/06/02 QuadrigaCX 계약 오류 / 자금 잠금 ETC $ 60,000K QuadrigaCX
2017/06/26 VERI ICO 해킹 / 절도 ETC $ 8,000K Veritaseum
2017/06/29 Bitthumb 해킹 / 개인 정보 유출 / 절도 XRP $ 31,000K Bitthumb
2017/06/29 ClassicEtherWallet DNS 해킹 / 절도 1,001 ETC - ClassicEtherWallet
2017/07/04 AlphaBay 절도 / 퇴출 사기 BTC $ 4,000K AlphaBay
2017/07/18 CoinDash ICO 크립토재킹 / 절도 / 퇴출 사기 35,000 ETC $ 7,000K Coindash
2017/07/19 Parity 지갑 파기 / 해킹 / 도용 153,000 ETC $ 7,000k Parity
2017/07/25 BTC-e 강제 종료 / 절도 / 퇴출 사기 66,000 BTC $K BTC-e
2017/08/21 Enigma 절도 / ICO 계정 사기 1,500 ETC $ 500K Enigma
2017/11/06 Parity Frozen 지갑 버그 / 자금 잠금 513,774 ETC - Parity
2017/11/21 Tether Critical Announcement 해킹 / 절도 3,000,000 USDT $ 30,000K Tether
2017/11/26 Bitcoin Gold 지갑 저장소 해킹 / 도용 BTC Gold $ 3,300K Bitcoin Gold
2017/12/06 NiceHash Exchange 해킹 / 절도 4,700 BTC $ 60,000K NiceHash
2017/12/19 Youbit Exchange 해킹 / 파산 - - Youbit
2017/12/25 RegalCoin 절도 / 퇴출 사기 / 폰지 강제 종료 BTC - Regal Coin
2018/01/07 ATT 심 재킹(Sim Jacking) / 절도 - $ 23,800K -
2018/01/14 BlackWallet 해킹 / 절도 670,000 XLM $ 400K BlackWallet
2018/01/16 Bitconnect 절도 / 강제 종료 / 퇴출 사기 BTC - BitConnect
2018/01/23 Benebit 절도 / 퇴출 사기 BTC $ 2,700K Benebit
2018/01/26 Coincheck Exchange 해킹 / 절도 500,000,000 NEM $ 400,000K Coincheck
2018/01/29 Experty 절도 / ICO 사기 ETC $ 150K Experty
2018/02/01 Bee Token 절도 / ICO 사기 890 ETC $ 920K Bee Token
2018/02/04 Seele ICO Insider Hack 절도 / 퇴출 사기 2,162 ETC $ 1,800K Seele
2018/02/11 Bitgrail NANO 해킹 / 절도 17,000,000 NANO $ 120,000K Bitgrail
2018/03/01 BTC Global 절도 / 퇴출 사기 / 폰지 BTC $ 50,000K BTC Global
2018/04/08 GainBitcon India 절도 / 퇴출 사기 / 폰지 BTC $ 300,000K GainBitcoin
2018/04/10 Sailesh Bhatt alleged extortion 절도 / 강탈 200 BTC $ 1,300K -
2018/04/12 iFan 절도 / 퇴출 사기 / 폰지 BTC $ 650,000K iFan
2018/04/13 Coinsecure Exchange 해킹 / 절도 438 BTC $ 3,300K Coinsecure
2018/04/24 MyEtherWallet DNS 해킹 / 절도 215 ETC $ 152K MyEtherWallet
2018/05/23 Taylor Crypto Trading ICO 해킹 / 절도 2,578 ETC $ 1,500K Taylor Crypto Trading
2018/06/05 Syndicate Wallet ICO 해킹 / 절도 ETC $ 10,000K Syndicate ICO
2018/06/10 Coinrail Exchange 해킹 / 절도 1,927 ETC $ 40,000K Coinrail
2018/07/09 Bancor 해킹 / 절도 24,984 ETC $23,500K Bancor
2018/07/26 KICKICO 해킹 / 절도 / 보안 침해 70,000,000 KICK $ 7,700K KICK
2018/09/05 OneCoin 절도 / 퇴출 사기 / 폰지 BTC $ 400,000K OneCoin
2018/09/20 Zaif Exchange 해킹 / 절도 5,966 BTC $ 60,000K Zaif
2018/10/08 SpankChain ICO 해킹 / 절도 165 ETC $ 40K SpankChain
2018/10/15 William Kopko 절도 / 강탈 / 랜섬 - - -
2018/10/25 Australia XRP 해킹 / 절도 100,000 XRP $ 450K 개인(Individual)
2018/10/28 MapleChange Exchange 절도 / 퇴출 사기 913 BTC $ 6,000K MapleChange
2018/10/29 Oyster Protocol CEO 절도 / 퇴출 사기 Oyster $ 300K Oyster Protocol
2018/11/07 DragonCoin 절도 / 퇴출 사기 BTC $ 2,400K 개인(Individual)
2018/11/13 PureBit 절도 / 퇴출 사기 13,000 ETC $ 2,800K PureBit
2018/11/21 Nicholas Truglia 심(SIM) 바꾸기 해킹 / 절도 BTC $ 1,000K 개인(Individual)
2018/11/26 Bulgaria Police Charge 3 With Crypto Hack 해킹 / 절도 BTC $ 5,000K 개인(Individual)
2018/12/26 Exmo CEO pays ransom 절도 / 강탈 / 랜섬 BTC $ 1,000K Exmo
2018/12/27 Electroneum 지갑 해킹 / 절도 250 BTC $ 800K Electroneum
2019/01/07 ETC 51% Gate.io 51% 공격 / 절도 40,000 ETC $ 272K Gate.io
2019/01/15 Cryptopia Exchange ERC20 해킹 / 절도 ETC $ 16,000K Cryptopia
2019/01/26 LocalBitcoins 해킹 / 절도 8 BTC $ 28K LocalBitcoins
2019/02/01 Joel Ortiz 심(SIM) 바꾸기 해킹 / 절도 BTC $ 5,000K 개인(Individual)
2019/02/05 QuadrigaCX 절도 / 퇴출 사기 / 파산 BTC / ETC $ 145,000K QuadrigaCX

해킹의 종류

DNS 해킹

DNS 해킹을 통해 해커는 웹사이트의 서버 정보를 제어하여 사용자를 원래 사이트 대신 악의적인 웹사이트로 보낸다. 해커는 가짜 사이트를 원래 사이트와 비슷하게 꾸며 사용자들이 로그인하게 유도하여 사용자의 ID 와 비밀번호를 훔친다.

심 재킹(SIM Jacking) 및 크립토재킹(Cryptojacking)

새로운 유형의 암호 도용으로 누군가의 전화번호를 도용한 다음 해당 전화번호를 사용하여 다른 사람의 온라인 계정에 액세스하는 것을 말한다. 이렇게 하려면 해커가 AT&T와 같은 이동 통신사에 연락하여 통신사 지원 팀에게 피해자 전화번호를 새 SIM 카드로 전환하도록 요청하여 해커가 새 SIM 카드를 제어한다. 예를 들어 해커는 피해자의 전화기가 도용당했다고 주장하며 새 전화기로 전화번호를 전송해야 한다고 말한다. 통신사 지원팀이 빠지면, 해커는 두 가지 요소 인증 및 전화 기반 인증 시스템을 거치지 않고 피해자의 암호 계정에 접근 할 수 있도록 하여 피해자의 전화번호를 완전히 통제하게 된다.

암호화폐 지갑 해킹

오늘날 인기 있는 암호 지갑은 소프트웨어와 하드웨어 지갑 등 수십 개가 있다. 하지만 소프트웨어 및 하드웨어는 취약점이 있기 마련이다. 해커들은 보안에 취약한 소프트웨어와 하드웨어를 찾아 공략한다.

51% 공격

블록체인은 사용자 네트워크에 의해 보호된다. 이 사용자 네트워크는 중앙집권적 권한 없이 블록체인상의 거래를 검증한다. 대다수의 사용자(51%)가 특정 변경이나 추가에 동의하면, 그 변경이나 추가는 블록체인에 적용된다. 이 시스템은 51% 이상의 사용자들이 악의적으로 사용하면 파괴된다. 즉, 51% 공격이란 악의적인 공격자가 전체 네트워크의 50%를 초과하는 막강한 해시 연산 능력을 보유하고, 다른 정직한 노드들보다 더 빠른 속도로 신규 블록을 생성하여 네트워크에 전파함으로써, 다른 노드들이 정상적인 데이터가 아니라 위변조된 데이터가 포함된 블록체인을 채택하도록 만드는 해킹 공격이다.

악성 모바일 앱

간혹 해커가 모바일 앱을 만들어 구글 플레이 스토어 또는 iOS 앱 스토어에 게시하는 경우가 있다. 보통 그 앱은 암호와 관련이 없다. 예를 들면 계산기 앱이나 스톱워치 앱일 수 있다. 하지만 이 앱은 개인 키, 암호 앱, 기타 암호 관련 정보를 검색하는 등 숨겨진 기능이 있다. 구글과 애플이 앱의 문제를 확인할 때쯤이면 이미 늦어, 사용자들은 피해를 볼 것이다.

ICO 및 거래 사이트 해킹

때에 따라 ICO 웹사이트가 해킹되어 ICO의 주소가 변경될 수 있다. 예를 들면 ICO 자금이 하나의 주소로 보내지는 대신 해커는 가짜 지갑 주소를 게시하여 사용자가 합법적인 ICO 팀 대신 해커가 관리하는 지갑에 자금을 보내게 한다. ICO 팀이 문제를 발견할 때까지 해커는 엄청난 양의 자금을 빼앗는다. 2018년 가장 유명한 ICO 사기 중 하나는 DJ Khaled와 같은 유명인이 홍보 한 것이다. Centra Tech는 다른 사기성 활동 중에서도 투자자를 오도하고 자사 제품에 대해 거짓말을 한 것으로 추정됨에 따라 3,200만 달러를 모금했습니다. Bitcoin Savings and Trust는 ICO 사기와 폰지 사기을 결합하여 2017년에 비슷한 사기로 4,070만 달러를 모금했다. 빨리 부자가 되기를 원하는 투자자들이 있는 한 이와 같은 사기는 계속 생길 것이다.

공용 와이파이 해킹

공용 와이파이를 통해 금융 거래를 하는 것은 좋지 않은 방법이다. 해커들은 공용 와이파이를 통해 크랙(Key Reinstallation AttaCK)과 같은 전략을 사용하여 중계소 역할을 한다. 실제로 해커는 송수신된 정보를 훔치기 위해 고안된 다른 네트워크를 대체한다.

사이트 복제 및 피싱 공격

해커들은 웹사이트의 복제하여 실제 사이트처럼 보이게 한다. 피해자에게 가짜 웹사이트의 URL을 이메일로 보내 사용자의 ID 와 비밀번호를 입력하도록 유도한다. 일반적으로 사용자들은 웹사이트가 가짜인지 인식을 못 해 피해를 보는 경우가 많다.

멀웨어 사기

멀웨어는 문자 그대로 인터넷만큼 오래되었다. 그리고 비트코인과 암호화폐로 인하여 멀웨어 사기가 더욱 확산되었다. 멀웨어 사기는 매우 정교하다. 한 가지 유형으로 예를 들어 암호화폐 클립보드 하이재커(Cryptocurrency Clipboard Hijackers)가 있다. 암호화폐를 송금할 때 긴 암호화폐 본인의 지갑 주소를 외우고 다니는 사람은 거의 없다. 암호화폐를 전송하기 위해서는 여전히 30개 이상의 문자와 숫자가 조합된 전자지갑 주소로 송금해야 한다. 이 때문에 많은 사용자들은 이 주소를 직접 입력하지 않고 윈도우 메모장 등 프로그램의 메모리에 저장해둔 뒤 필요할 때마다 복사해서 붙여넣는 방식으로 이용한다. 암호화폐 사용자라면 클립보드에 지갑 주소가 저장된다. 대부분 사람들은 거래 시 복사해서 붙여넣기로 주소를 넣는다. 클립보드 하이재커는 이 점을 노려 송금하려는 과정에서 전자 지갑 주소를 복사, 붙여넣기 하는 과정에서 프로그램이 작동해 전자 지갑 주소를 가로챈다. 해커들은 이를 통해 사용자들의 클립보드를 장악한 뒤, 사용자들이 클립보드로 비트코인 주소를 복사해 수신 주소란에 붙여넣기 할 때 입력 주소가 해커가 원하는 비트코인 주소로 바뀌게 하는 수법을 사용한다.[2] 이때 사용자들은 그 주소로 돈을 보내게 되어 피해를 본다.

가짜 또는 사기 비트코인 교환

가짜 또는 사기성 웹사이트는 실제 비트코인 교환이라고 되어 있다. 사기꾼이 BitKRX라는 이름의 한국 거래소를 만들었을 때 2017년 유명한 예시가 있었다. 이 거래소는 비트코인을 교환하고 거래하기 좋은 곳이라고 주장했다. 또 코스닥(KOSDAQ), 한국 거래소, 한국 증권 거래소 등 국내 주요 금융기관에 소속되어 있다고 주장했다. 하지만 이는 모두 거짓이었고, 사기꾼들은 알려지지 않은 고객의 자금을 가지고 자취를 감췄다.

폰지(Ponzi) 사기

폰지 사기는 쉽게 말하면 다단계 금융 사기이다. 이것은 투자가 쉽고 빠른 지급을 약속하여 투자자들을 유혹한다. 이러한 사기의 대부분은 불가능한 투자자본수익률(ROI)를 약속하는 고수익 투자 프로그램(HYIP)이다. 다른 폰지 사기는 자신을 2017년 유명해진 악명 높은 비트 커넥트 코인(BCC)처럼 합법적인 사업이라고 표현한다. 다른 폰지 사기는 비트코인 채굴을 포함한다. 여기에서 비트코인을 Crypto Mining Hash rate와 교환하여 웹사이트에 보낸다. 실제로는 채굴을 통해 돈을 버는 것이 아니라, 다른 사람들에게 그 계획에 대해 언급함으로써 돈을 버는 것이다. 그 계획이 붕괴될 때 까지 계속 발전한다. 진짜 채굴은 일어나지 않고, 원조 사기꾼들은 결국 자금을 차단하고, 모든 사람들의 자금을 훔친다.

펌프앤덤프 사기

펌프앤덤프라는 어원에서 보듯 ‘펌프(pump)’질 하는 것처럼 자신이 산 암호화폐 가격을 부풀린 뒤, 허위정보를 믿고 암호화폐를 사들인 개인 투자자들에게 팔아 ‘떠넘기는(dump)’ 방식을 의미한다.[3] 사기꾼 그룹은 텔레그램과 같은 플랫폼에서 코인을 대량으로 구매하여 인위적으로 가격을 인상 시킨다. 그리고 나서 그들은 암호화된 커뮤니티와 코인에 대해 과장된 광고를 하여, 소셜 미디어에 구매 신호 및 기타 지표들을 뿌린다. 그러고 나서 코인의 가격이 상승하여 가격이 최고점에 도달하면 판매한다. 코인의 가치는 사기꾼의 덤프로 급락하며 펌프 중에 동전을 구입한 사람은 돈을 잃는다. 그 때문에 소문을 듣고 돈을 투자한 사람들은 사기꾼들의 조작에 의해 돈을 잃게 된다.

소셜 미디어 공짜 사기

2017년부터 온라인에서 무료로 암호화폐를 나눠주겠다고 말하는 가짜 소셜 미디어 계정이 급증하고 있다. 보통 이러한 계정들은 엘론 머스크(Elon Musk)와 같은 유명한 사회 인사나 비탈릭 부테린(Vitalik Buterin)처럼 눈에 띄는 인물을 사칭한다. 위조된 소셜 미디어 계정은 "이 주소로 0.25ETH를 보내는 사람에게 10ETH를 나눠준다"는 엘론 머스크나 비탈릭 부테린의 실제 트윗에 답장을 보낼 것이다. 놀랍게도 뻔한 사기 수법으로 보이지만 여전히 사람들은 이 사기 수법에 속아 넘어간다.

위조 포크 사기

포크란 개발자들이 하나의 소프트웨어 소스코드를 통째로 복사하여 독립적인 새로운 소프트웨어를 개발하는 것을 말한다. 예로 비트코인은 BTC와 BCH로 나뉘어 졌고, 이더리움은 ETH와 ETC로 나뉘어 졌다. 하드포크 후에 사람들이 새로운 토큰을 어떻게 요구할 수 있는지에 대해 혼란이 종종 있다. 그때를 해커가 노린다. 그들은 사용자가 개인 키를 악의적인 주소로 업로드함으로써 자신의 포크 코인을 검색 할 수 있다고 하면서 온라인 위조 지시서를 게시한다.

클라우드 마이닝 사기

클라우드 마이닝 사기는 아무 장비 없이 손쉽게 비트코인을 채굴하고 싶어 하는 사람들이 당하기 쉬운 사기 수법이다. 클라우드 채굴 사기는 매달 돈을 지불하는 대가로 손쉬운 이익을 약속한다. 예를 들어, 특정 양의 해시 레이트에 대해 매달 1,000달러를 지불하고, 웹사이트는 매달 피해자의 비트코인 지갑에 채굴 수익을 보내겠다고 말한다. 하지만 이 웹사이트는 피해자의 초기 투자금을 절대 갚지 않으며, 모든 것이 무너질 때까지 폰지 사기처럼 운영된다.

해킹 대처 방법

  • DNS 해킹

DNS 해킹을 피하려면 로그인 정보를 입력하기 전에 웹사이트의 SSL 인증서를 꼭 확인하여야 한다. URL이 합법적인 것으로 보일 수 있으나 주소 표시 줄에 SSL 인증서 또는 확인 기호가 표시되지 않으면 그 웹사이트는 위험할 수 있다.

  • 심 재킹 및 크립토재킹

심 재킹크립토재킹을 방지하기 위해서는 전화 기반 인증을 사용하는 대신 Google Authenticator같은 앱 기반 인증 시스템을 사용하는 것이 좋다. 전화기를 제어하는 모든 인증 요청을 수락하거나 거절 할 수 있다. 이러한 앱 기반 인증 시스템은 전화번호에 의존하지 않는다.

  • 암호화폐 지갑 해킹

암호화폐 지갑 해킹을 피하려면 널리 사용되는 소프트웨어와 하드웨어 지갑을 사용하고, 최신 보안 패치로 소프트웨어 지갑을 자주 업데이트하는 것이 좋다.

  • 51% 공격

51% 공격에 성공하려면, 해당 블록체인 네트워크에 참여한 다른 모든 노드들의 해시 연산 능력을 합친 것보다 더 큰 해시 파워를 보유해야 한다. 블록체인 네트워크에 참여자 수가 늘어남에 따라 50% 이상의 해시 파워를 확보하는 것이 매우 어렵기 때문에, 51% 공격은 사실상 불가능해진다. 따라서 작은 블록체인 네트워크를 피하고 비트코인이나 이더리움같이 큰 블록체인을 이용한다면 51% 공격에 피해를 보지 않을 것이다. 왜냐하면 전 세계에서 이러한 공격을 시작하기 위한 충분한 성능을 가진 컴퓨터가 없기 때문이다.

  • 악성 모바일 앱

악성 모바일 앱에 당하지 않으려면 비공식적인 방법으로 애플리케이션을 다운받는 방법을 피하며, 공식적인 커뮤니티에서 인증된 개발자에 의해 만들어진 애플리케이션을 사용하는 것이 좋다.

  • ICO 및 거래 사이트 해킹

ICO 및 거래 사이트 해킹을 피하려면 해당 주소로 돈을 보내기 전에 지갑이 합법적인지 확인을 해야 한다. 지갑 주소가 ICO 웹사이트 및 공식 소셜 미디어에 게시되어 있는지 확인한다.

  • 공용 와이파이 해킹

공용 와이파이 해킹을 피하는 방법은 공용 와이파이에서 암호 관련 거래를 안 하는 것이다.

  • 사이트 복제 및 피싱 공격

사이트 복제 및 피싱 공격을 피하려면 온라인에서 정보를 입력하기 전에 HTTPS를 확인해야 한다. 합법적인 거래를 위해선 URLSSL 인증서를 재확인 해야 한다.

  • 멀웨어 사기

암호화 멀웨어를 확인하고 피하려면 모든 소프트웨어를 다운로드하기 전에 출처를 확인해야 한다. 모든 다운로드가 입증된 평판이 좋은 게시자인지 확인하는 것이 좋다. 또, 잘 알려지지 않은 웹사이트에서 다운로드하는 것은 피하는 것이 좋다. 많은 암호 멀웨어 프로그램은 무료 영화 다운로드 나 무료 프리미엄 소프트웨어같이 관련이 없는 파일로 가장한다는 것을 기억해야 한다.

  • 가짜 또는 사기 비트코인 교환

가짜 또는 사기 비트코인 교환을 식별하고 피하려면 한국, 일본, 미국과 같은 암호화 교환 규정이 설정된 국가를 기반으로 규제 대상 거래소를 선택하는 것이다. 세계 최대의 거래소가 영원히 안전하다고 보장할 수는 없다. 마운트곡스(Mt. Gox) 사건 같은 사례는 언제든지 일어날 수 있어 조심해야 한다.

  • 폰지 사기

폰지 사기를 확인하고 피하기 위해선 특히 암호화 기능이 포함된 경우 누군가 보장된 수익, 높은 ROI, 손쉬운 이익 등을 온라인에서 권유할 때마다 의심해야 한다.

  • 펌프앤덤프 사기

펌프앤덤프 사기를 피하는 방법은 레딧(Reddit)이나 트위터(Twitter) 같은 필터 되지 않은 커뮤니티에서 FOMO(Fear of missing out) 같은 단어를 사용하여 투자 하게 만드는 허위 과장 광고에 속아 넘어가지 않는 것이다.

  • 소셜 미디어 공짜 사기

소셜 미디어 사기를 확인하고 피하는 것은 간단하다. 누구도 온라인상에서 무료로 돈을 주는 사람은 없다. 그 때문에 온라인으로 임의의 암호 주소로 돈을 보내지 않으면 된다.

  • 위조 포크 사기

위조 포크 사기를 당하지 않으려면 거래소에서 공식적으로 포크 버전을 지원할 때까지 포크 후에 개인 키를 잡는다. 그 후에 코인을 팔고 싶을 때 그 거래소에 보내면 된다.

  • 클라우드 마이닝 사기

클라우드 마이닝을 통해 실질적인 이득을 취하는 것은 사실상 불가능하다. 몇몇 합법적인 공급자들이 있지만, 대부분의 클라우드 마이닝 서비스는 사기이기 때문에 확실한 것이 아니면 피하는 것이 좋다.

위험을 줄이는 방법

암호화폐 사기를 어떻게 식별하고 피하는지, 일부 거래의 사용자처럼 자신의 희생되는 것을 어떻게 막는지, 암호화폐 거래 사기를 피하고자 주의해야 할 사항이 있다.

  • 제한된 투명성

거래소는 어떻게 제작되었는지, 기반은 어디인지, 교환원에게 어떻게 연락해야 되는지 사기 거래는 운영 측면에서 투명성이 제한적이다. 만약 거래소에서 운영의 어떤 측면도 밝히기를 거부한다면, 당신은 돈을 맡기는 것에 대해 고려해 볼 필요가 있다.

  • 익명으로 된 구성원 및 관리자

암호화폐 거래팀, 매니저, 임원 및 회사와 관련된 다른 사람들에 대한 정보를 밝히기를 거부하면, 그 회사는 범죄와 관련돼있을 확률이 높다.

  • 제한된 은행 파트너쉽 정보

은행 업무 제휴는 암호거래에 있어 까다로울 수 있다. 합법적인 암호거래조차도 은행 파트너를 찾는데 어려움을 겪을 수 있다. 기존의 은행은 암호와 아무런 관련이 없다. 즉, 암호 거래가 종종 의심스러운 은행 규정을 가진 나라로부터 운영되는 지저분한 은행을 사용하도록 강요된다는 것을 의미한다.

  • 커뮤니케이션 부족 및 연락 옵션 부족

잘못된 암호화 교환에는 통신 및 연락처 옵션이 제한될 수 있다. 예를 들어, 온라인 지원 제출 양식이 있을 수 있고 다른 것은 없을 수 있다. 거래소가 투명한 접촉 방법의 공개를 거부할 때에는 의심해 볼 여지가 있다.

  • 복사된 프로젝트 정보 또는 백서

일부 거래소는 백서 또는 사업 계획을 온라인으로 게시한다. 그러나 지저분한 거래를 통해 이러한 백서는 종종 합법적인 거래소의 웹사이트에서 직접 복사되거나 추출된다.

  • 긴 유지 보수 중단 시간

대부분의 사기 거래소는 하룻밤 사이에 문을 닫지 않는다. 대부분의 거래소는 사용자들이 외환보유액으로 운영되는 것을 막기 위해서 서서히 기능성을 상실한다. 예를 들어 인출이 일시적으로 중지되었다고 주장 할 수 있다. 실제로 긴 유지 보수 중단 시간이 길면 퇴출 사기의 초기 징후가 될 수 있다. 만약 암호 거래가 설명되지 않는 이유로 중단된다면 향후 문제의 징후가 될 수 있다.

대표적인 사례

  • 마운트곡스(Mt. Gox) 사건

2014년 2월 7일 마운트곡스는 해킹을 당해 85만 개의 비트코인을 도난당하는 사건이 발생했다. 이로 인해 마운트곡스 사이트는 폐쇄되고, 회사는 파산을 선언했으며, CEO인 마크 카펠레스는 체포되었다. 마운트곡스 해킹 사건을 계기로 암호화폐가 해킹으로부터 안전하지 않다는 인식이 확산되면서, 비트코인 가격이 폭락했다. 이후 수년간 해커를 추적하는 한편, 피해자 보상과 남은 자산 처분을 위한 법원 경매가 진행되었다. 2017년 말 비트코인 가격이 폭등하여, 회사를 청산하는 것보다 회생시키는 것이 더 이익이 됨에 따라, 피해자들은 마운트곡스 회생 신청을 요구하고 있다. 2019년 7월 뉴욕에 본사가 있는 사모펀드 포트리스 인베스트먼트 그룹(Fortress Investment Group)이 암호화폐 거래소 마운트곡스 채권자들에게 비트코인 청구권을 산다고 밝혔다. 포트리스의 상무이사 마이클 휴리건은 마운트곡스 채권단에 보낸 공개서한을 통해 포트리스의 비트코인 투자운영팀이 마운트곡스 파산으로 잃어버린 비트코인을 돌려받을 수 있는 권한을 구매하려 한다고 설명했다.[4]

  • 비트파이넥스(Bitfinex) 사건

2016년 7월, 거래소의 다중 서명 지갑에서 도난당한 후 주요 암호 거래소 비트파이넥스에서 12만 비트코인이 누락된 것으로 확인되다. 당시 약 8,000만 달러에 이르는 이 도둑질은 마운트곡스 사건 이래 가장 큰 손실이었다. 비트파이넥스는 손실을 흡수하여 모든 사용자에게 자체 빚 토큰을 발급하면서 '헤어컷(Haircut)' 즉 채무 삭감을 제공했다. 비트파이넥스는 현재까지도 활발하고 인기가 있습니다. 그와 동시에 해당 토큰을 거래소에 상장하여, 급전이 필요하거나 거래소의 기약 없는 약속을 믿지 못하는 사람들은 토큰을 시장에서 팔 수 있게 하였다. 해당 토큰은 액면가의 수분의 일로 상당 기간 거래되었는데, 비트파이넥스 자신들이 매입하여 소각한다는 소문이 돌아서 액면가에 근접하게 폭등하기도 했으며, 그 자체로 투기의 대상이 되기도 했었다. 결국 전량이 매입되거나 환불되어 소각됐으니, 비트파이넥스 입장에선 돈도 절약하고 고객들의 신뢰도 잃지 않았으니 좋은 결과가 되었다.

  • 코인체크(Coincheck) 사건

2018년 1월 발생한 코인체크 해킹은 암호 역사에서 유별나게 보도되지 않은 이야기 중 하나이다. 일본에 본사를 둔 코인체크는 해킹 중 거래 지갑에서 5억 2,300만 개의 (NEM) 코인을 잃었다. 코인은 그 당시 5억 달러 상당의 가치가 있었다. 코인체크는 비트파이넥스처럼 손실을 흡수 할 수 있었다. 이 거래소는 2019년에 일본 규제 당국으로부터 공식 면허증을 받고 현재까지 계속 운영되고 있다.

  • 비티씨이(BTC-e) 사건

FBI는 2017년 7월 대규모 자금 세탁 계획이라는 우려로 비티씨이(BTC-e)를 폐쇄했다. 미 법무부는 거래소 운영자 중 한 명인 알렉산더 비닉(Alexander Vinnik)에 대해 21건의 자금 세탁 및 기타 금융 범죄 혐의를 적용해 기소장을 풀었다. FBI는 BTC-e가 범죄 활동의 거점이라고 주장하면서, 심지어 교환이 마운트곡스 해킹과 관련된 자금 세탁에 사용되었다고 주장했다. FBI는 비닉이 괴산으로부터 80만 BTC를 훔치는 역할을 했다고 주장했다.

  • 비트그레일(Bitgrail) 사건

2018년 2월, 비트그레일에서 당시 약 2억 달러 상당의 1,700만 개의 나노코인이 도난 당한 사실이 밝혀졌다. 해커들이 이번 해킹에 직간접적으로 관여했다는 일부 증거와 함께 이 해킹을 둘러싼 미스테리한 분위기가 계속되고 있다. 해킹당한 이탈리아 암호 거래소 비트그레일 소유주 겸 설립자인 프란체스코 피라노(Francesco Firano)는 최대한 많은 자산을 고객에게 반환하라는 판결을 받았다. 법원 판결은 2019년 1월 28일 미디엄에 있는 비트 그레일 피해자 그룹에 의해 공개되었다.[5]

결론

이러한 불행한 '세기의 사건들의 암호 범죄'는 600만 비트코인을 도난당한 것으로 추정하고 있다. 이것은 2019년 4월까지 발행된 1,762만 건 중 BTC의 전체 순환 공급량의 30~35%를 차지 하고 있다. 2018년에 도난된 암호 자금이 17억 달러로 400% 증가했다고 보고되었다. 최고의 암호화 코인 거래소조차 많은 양의 자금을 그곳에 저장하는데 결코 이상적이지는 않지만, 다른 측면의 주식 시장은 2018년에 9억 5,000만 달러, 2017년에는 2억 6,600만 달러, 2016년에는 2억 2,500만 달러를 나타냈다. 인증된 비트코인 사기는 2018년에는 7억 2,500만 달러의 가치가 있다. 또한 새로운 암호 마이닝 맬웨어 스크립트와 CPU에 대한 웹 브라우저의 암호 재킹도 모두 강조할 것을 기대한다. 또한 사용자를 속이기 위해 이용되는 모든 SIM 스와핑, 암호 해독, 섀도우 머니 서비스 비즈니스(MSBs) 및 차세대 암호 믹서 전술을 추적할 것이다. 암호 자산 사용의 변화는 전 세계의 선진국으로 옮겨 가고 있으며, 사람, 프로토콜 및 정책이 더욱 깨끗한 암호 생태계를 위해 서로 맞물리고 통합되기 시작할 때까지 주목할만한 해킹이 계속 발생할 것이다.[6]

각주

  1. LG CNS 보안컨설팅팀, 〈암호화폐와 블록체인 해킹 사례〉, 《LG CNS》, 2018-11-26
  2. pstag, 〈비트코인 송금시 전자지갑 주소를 바꿔치기 하는 '클립보드 하이재커'(clipboard hijackers)〉, 《네이버 블로그》, 2018-07-03
  3. 위드코인, 〈펌프 앤 덤프 (Pump And Dump)〉, 《네이버 블로그》, 2019-01-20
  4. Nikhilesh De, 〈“마운트곡스 해킹·분실 비트코인 청구권, 개당 $900에 파시오”〉, 《코인데스크》, 2019-07-10
  5. Adrian Zmudzinski, 〈Owner of Hacked Crypto Exchange BitGrail Sentenced to Return Funds to Customers〉, 《COINTELEGRAPH》, 2019-01-28
  6. BitcoinExchangeGuide, 〈Bitcoin Scams and Cryptocurrency Hacks List〉, 《BitcoinExchangeGuide》, 2018-04-01

참고자료

같이 보기


  검수요청.png검수요청.png 이 암호화폐 해킹 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.