위협 환경
무엇으로부터 자신을 보호해야 하는지 이해하면 우선순위를 정하는 데 도움이 됩니다:
계정 탈취: 공격자가 탈취한 비밀번호, 피싱 또는 세션 하이재킹을 통해 거래소 계정에 접근합니다. 그들은 자금을 인출합니다.
SIM 스왑 공격: 공격자가 모바일 통신사를 설득하여 휴대폰 번호를 자신의 SIM 카드로 변경시킵니다. 그 후 계정 비밀번호를 재설정하고 SMS 2FA를 비활성화합니다.
피싱: 가짜 이메일, 웹사이트 또는 메시지가 당신을 속여 사기 사이트에 자격증명을 입력하거나 악성 트랜잭션을 승인하도록 합니다.
악성코드: 키로거, 클립보드 하이재커 또는 브라우저 확장 프로그램이 자격증명을 탈취하거나 복사된 지갑 주소를 공격자 주소로 바꿉니다.
사회공학: 공격자가 거래소 지원팀, 암호화폐 프로젝트 또는 기타 신뢰할 수 있는 당사자로 위장하여 정보 공개 또는 ��금 송금을 유도합니다.
가장 일반적인 공격 벡터는 정교한 기술적 해킹이 아니라 사용자 행동을 악용하는 것입니다: 약한 비밀번호, SMS 2FA, 피싱 링크 또는 침해된 웹사이트에서 재사용된 자격증명입니다.
1단계: 2단계 인증 활성화 (올바른 방식)
2단계 인증(2FA)은 비밀번호 외에 두 번째 검증 계층을 추가합니다. 하지만 모든 2FA가 같은 것은 아닙니다.
TOTP 인증 앱 (권장)
시간 기반 일회용 비밀번호(TOTP) 앱은 30초마다 변경되는 6자리 코드를 생성합니다. 이 코드는 장치에서 로컬로 생성되며 네트워크를 통해 전송되지 않아 인터셉트에 강합니다.
권장 앱:
대부분의 거래소에서 활성화하는 방법:
- 계정 > 보안 > 2단계 인증으로 이동
- “인증 앱” 선택 (SMS 아님)
- QR 코드를 인증 앱으로 스캔
- 6자리 코드를 입력하여 설정 확인
백업 키는 중요합니다. 휴대폰을 잃어버린 경우 백업 키를 통해 2FA 코드를 복원할 수 있습니다. 없으면 계정 접근 복구를 위해 거래소의 지원팀과의 신원 확인이 필요하므로 느리고 답답한 과정입니다.
SMS 2FA (권장하지 않음)
SMS 2FA는 문자 메시지로 코드를 휴대폰으로 보냅니다. 안전해 보이지만 공격자가 번호를 이식하는 SIM 스왑 공격에 취약합니다.
SIM 스왑 공격은 놀랍도록 쉽습니다. 공격자는 모바일 통신사에 기본 개인 정보(종종 데이터 브로커로부터 구입하거나 소셜 미디어를 통해 획득)를 제공하고 놀랍게도 높은 빈도로 휴대폰 번호를 성공적으로 이식합니다. 번호를 얻으면 비밀번호를 재설정하고 SMS 2FA를 우회할 수 있습니다.
거래소가 SMS 2FA만 제공하는 경우 아무것도 없는 것보다 낫다고 인정하십시오. 하지만 선택의 여지가 있다면 항상 인증 앱을 사용하십시오.
하드웨어 보안 키 (고급)
물리적 보안 키(YubiKey, Google Titan Key)는 사용 가능한 가장 강력한 2FA를 제공합니다. 키를 꽂고 탭하면 인증이 완료됩니다 — 인터셉트할 코드가 없습니다. Coinbase, Gemini 및 기타 일부 거래소에서 지원합니다. 큰 포트폴리오를 위해 강력히 권장합니다.
2단계: 강력하고 고유한 비밀번호 사용
거래소 비밀번호는 다음이어야 합니다:
매년 침해된 웹사이트의 수십억 개의 사용자명/비밀번호 조합이 온라인에서 거래됩니다. 거래소 비밀번호가 이메일, 스트리밍 서비스 또는 다른 계정과 같고, 그 중 하나가 침해당하면 “자격증명 채우기”를 통해 거래소 계정이 자동으로 손상됩니다.
암호 관리자 사용
암호 관리자(Bitwarden, 1Password, Dashlane)는 모든 사이트에 고유한 무작위 비밀번호를 생성하고 저장합니다. 마스터 비밀번호 하나를 기억하면 관리자가 나머지를 모두 처리합니다.
Bitwarden은 오픈 소스이고 개인 용도로 무��이며 독립적으로 감사받았습니다. 좋은 시작점입니다.
암호 관리자 설정 후:
- 거래소 계정에 새로운 무작위 비밀번호 생성
- 거래소 비밀번호 업데이트
- 이메일 계정도 강력하고 고유한 비밀번호를 사용하는지 확인 — 다른 모든 것의 복구 키입니다
3단계: 이메일 계정 보안
이메일 계정은 모든 거래소 계정의 마스터 키입니다. 비밀번호 재설정, 출금 확인 및 보안 경고 모두 이메일을 통해 진행됩니다. 공격자가 이메일에 접근하면 거래소에 접근할 수 있습니다.
이메일을 다음으로 보안하세요:
- 강력하고 고유한 비밀번호 (암호 관리자를 통해)
- 인증 앱의 2FA (SMS 아님)
- 취약한 계정이나 전화번호로 다시 돌아오지 않는 복구 옵션
암호 계정에 전용 이메일 주소를 사용하세요 — 일상적인 이메일과 별도입니다. 이렇게 하면 피싱 노출을 줄이고 (메인 주소로 수신하는 모든 암호 관련 이메일이 의심스럽다는 것을 알 수 있음) 암호화폐 활동을 격리합니다.
4단계: 출금 주소 화이트리스트 활성화
대부분의 주요 거래소는 출금 주소 화이트리스트 기능을 제공합니다. 활성화되면 계정은 미리 승인한 주소로만 암호화폐를 보낼 수 있습니다. 새 주소 추가에는 다음이 필요합니다:
- 이메일을 통한 확인
- 의무적인 대기 기간 (일반적으로 24-48시간)
이것은 극도로 강력한 보안 계층입니다. 공격자가 계정을 완전히 손상시킨다 하더라도 이메일에도 접근하고 대기 기간을 견딜 때까지 자금을 인출할 수 없으므로 침해를 감지하고 잠그는 시간을 갖습니다.
Binance에서 활성화: 계정 > 보안 > 출금 주소 관리 > 화이트리스트 활성화
Coinbase에서 활성화: 설정 > 보안 > 허용된 주소
Kraken에서 활성화: 계정 > 보안 > 글로벌 설정 잠금 (유사한 보호 제공)
5단계: 반피싱 코드 설정 (Binance)
Binance는 해당 플랫폼에 고유한 반피싱 코드 기능을 제공합니다. 짧은 사용자 정의 문구를 설정하면 모든 합법적인 Binance 이메일에 포함됩니다. 코드 없이 Binance 브랜드의 이메일을 받으면 피싱 시도입니다.
설정: 계정 > 보안 > 고급 보안 > 반피싱 코드
이 기능이 없는 다른 거래소의 경우 모든 이메일을 정신적으로 확인하세요: 이 이메일을 기대했나요? 발신자 주소가 거래소의 공식 도메인과 정확히 일치하나요? 링크가 공식 도메인으로 가나요?
6단계: 출금 한도 및 API 키 관리
출금 한도
일부 거래소는 거래소의 기본값보다 낮은 개인 최대 일일 출금 한도를 설정할 수 있게 합니다. 이렇게 하면 손상된 계정으로 인한 손해를 제한할 수 있습니다. 일반적인 활동에 적합한 수준으로 설정하세요.
API 키 보안
트레이딩 봇, 포트폴리오 추적기 또는 API를 통해 연결하는 타사 도구를 사용하는 경우:
- 각 애플리케이션에 대해 별도의 API 키 생성
- 타사 서비스에서 사용하는 API 키에 출금 권한을 부여하지 않기 — 대부분의 사용 사례에 읽기 전용 및 거래 전용 권한으로 충분
- 사용되지 않는 API 키를 정기적으로 검토 및 삭제
- 지원 티켓, Discord 메시지 또는 양식에서 API 키를 공유하지 않기
출금 권한이 있는 API 키는 계정 자격증명만큼 위험합니다. 출금 가능한 API 키를 보유한 공격자는 비밀번호나 2FA 없이 계정을 비울 수 있습니다.
7단계: 장기적으로 거래소에 자금을 두지 마세요
거래소는 표적입니다. 모든 주요 거래소는 어떤 형태의 보안 사건을 경험했습니다 — 해킹, 내부자 도둑질, 기술적 실패 또는 규제 압수입니다. 암호화폐 역사는 거래소 실패로 가득 차 있습니다: Mt. Gox (850,000 BTC, 2014), FTX ($8B, 2022), Bitfinex 해킹 (2016, 부분 복구됨), Cryptopia, QuadrigaCX.
규칙: 거래소에는 거래를 위해 적극적으로 필요한 것만 유지하세요. 장기 저축은 자기 자산관리에 있어야 합니다.
자기 자산관리는 개인 키를 제어하는 지갑에서 암호화폐를 보관하는 것을 의미합니다:
“너의 키가 없으면, 너의 코인이 아니다”는 Bitcoin의 기본 원칙이며 상당한 암호화폐 보유에 대해 여전히 관련성이 있습니다.
8단계: 피싱 인식 및 회피
피싱이 거래소 계정이 손상되는 가장 일반적인 방법입니다. 공격자는 신뢰할 수 있는 가짜 거래소 이메일과 웹사이트를 만들어 자격증명을 탈취합니다.
이메일의 위험 신호
- 긴급성 또는 두려움: “계정이 24시간 내에 중단됩니다”
- 일반 인사: 이름 대신 “친애하는 고객”
- 의심스러운 발신자 주소: @binance.com 대신 binance-security@gmail.com
- 공식 도메인으로 가지 않는 링크
- 시드 문구, 비밀번호 또는 2FA 코드 요청 (거래소는 이것들을 절대 요청하지 않음)
안전한 브라우징 습관
- 자격증명을 입력하기 전에 브라우저 주소 표시줄의 URL 확인
- 브라우저의 피싱 보호 활성화
- 가능하면 하드웨어 보안 키 사용 — 피싱 사이트는 실수로 로그인한 경우에도 사용할 수 없습니다
큰 금액을 위한 콜드 스토리지 전략
상당한 보유량 (잃어버리면 자괴감을 느낄 정도의 모든 것)의 경우 표준 권장사항은 다음과 같습니다:
빠른 보안 체크리스트
- [ ] 인증 앱 2FA 활성화됨 (SMS 아님)
- [ ] 강력하고 고유한 비밀번호 (암호 관리자를 통해)
- [ ] 암호 계정용 전용 이메일 주소
- [ ] 출금 주소 화이트리스트 활성화됨
- [ ] 반피싱 코드 설정됨 (Binance 사용자)
- [ ] API 키 감사됨 — 모든 타사 앱에서 출금 권한 취소됨
- [ ] 거래소 북마크됨 — 이메일 링크 사용하지 않음
- [ ] 장기 보유 자산을 하드웨어 지갑으로 이동됨
자주 묻는 질문
어떤 2FA 방법이 가장 안전합니까?
하드웨어 보안 키(YubiKey)가 가장 안전하고, 그 다음 TOTP 인증 앱(Google Authenticator, Authy)입니다. SMS 2FA는 아무것도 없는 것보다 낫지만 SIM 스왑 공격에 취약합니다. 최소한 인증 앱을 사용하세요.
계정이 손상된 경우 어떻게 해야 합니까?
즉�� 행동하세요: 거래소의 지원팀에 연락하여 계정을 동결하세요. 이메일 비밀번호를 변경하세요. 연결된 장치를 검토하고 인식하지 못한 세션을 취소하세요. 자금이 도난당한 경우 현지 당국에 신고하세요. 빠를수록 손실을 제한하거나 공격자를 잡을 가능성이 높습니다.
수년 동안 같은 거래소를 사용하는 것이 안전합니까?
신뢰할 수 있고 규제를 받는 거래소(Coinbase, Kraken, Gemini)를 수년간 사용하는 것이 일반적입니다. 위험은 보통 거래소의 수명이 아니라 개인 계정 보안입니다. 무기한으로 강력한 보안 관행을 유지하세요.
시드 문구를 안전하게 저장하려면 어떻게 해야 합니까?
펜으로 종이에 적으세요 (사라지는 연필이 아님). 여러 물리적 위치에 보관하세요 — 예를 들어 집 금고와 안전 보관함입니다. 사진을 찍지 마세요. 클라우드 스토리지, 이메일 또는 인터넷 연결 장치에 저장하지 마세요. 금속 백업 판 (Cryptosteel 같은)은 화재 및 물 손상으로부터 보호를 제공합니다.
거래소가 자금을 동결할 수 있습니까?
예. 규제 거래소는 준수 검토, 의심되는 사기 또는 ��적 명령으로 계정을 동결할 수 있습니다. 이는 중개 거래소 사용의 위험이며 장기 보유자가 상당한 금액을 위해 자기 자산관리를 선호하는 이유 중 하나입니다.
관련 가이드:
