보안 특집 04│OKX Web3 & OneKey: 기기 보안에 '버프' 추가

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

보안 특집 04│OKX Web3 & OneKey: 기기 보안에 '버프' 추가

欧易OKX

2024-05-31 07:31

本文约9201字，阅读全文需要约37分钟

암호화 하드웨어 지갑 제공업체인 OneKey 보안팀과 OKX Web3 지갑 보안팀을 특별히 초빙하여 실용적인 지침의 관점에서 장치 보안에 "버프"를 추가하는 방법을 알려드립니다.

소개: OKX Web3 Wallet은 다양한 유형의 온체인 보안 문제에 대한 특별한 답변을 제공하기 위해 "보안 특별 문제" 칼럼을 특별히 기획했습니다. 사용자 주변에서 일어나는 가장 실제 사례를 통해 보안 분야의 전문가나 기관과 협력하여 다양한 관점에서 질문을 공유하고 답변함으로써 안전한 거래 규칙을 얕은 것부터 심층적으로 정리하고 요약하여 사용자 안전 강화를 목표로 합니다. 교육 및 사용자가 개인 키와 지갑 자산의 보안을 스스로 보호하는 방법을 배우도록 돕습니다.

Web3 세상에서 서핑하다 보면 2돈도 모을 수 없다

한 금액은 체인에서 가스를 전달하는 데 사용되며, 한 금액은 오프체인에서 장비를 구매하는 데 사용됩니다.

하지만 온체인이든 오프체인이든 보안은 똑같이 중요합니다~

이번 호는 보안 특집 04호로, 암호화 하드웨어 지갑 제공업체인 OneKey 보안팀과 OKX Web3 지갑 보안팀을 초청해 실무적인 관점에서 기기 보안에 '버프'를 추가하는 방법을 알려드립니다. .

OneKey 보안 팀: 2019년에 설립된 OneKey는 보안에 중점을 둔 오픈 소스 하드웨어 지갑 및 소프트웨어 지갑 회사입니다. 또한 보안 공격 및 방어 연구소를 보유하고 있으며 Coinbase, Ribbit Capital 및 잠자리. 현재 OneKey 하드웨어 지갑은 아시아에서 가장 많이 팔리는 하드웨어 지갑 브랜드 중 하나로 자리잡고 있습니다.

OKX Web3 지갑 보안 팀: 안녕하세요 여러분, 이 소식을 공유하게 되어 매우 기쁩니다. OKX Web3 지갑 보안팀은 지갑 보안 기능 구축, 스마트 계약 보안 감사, 온체인 프로젝트 보안 모니터링 등 Web3 분야에서 OKX의 다양한 보안 기능 구축을 주로 담당하여 사용자에게 제품을 제공합니다. 보안, 자금 보안, 거래 보안 등 다양한 보호 서비스를 통해 블록체인 전체의 보안 생태계를 유지하는데 기여합니다.

Q1: 사용자들의 실제 장비 위험 사례를 공유해 주실 수 있나요?

OneKey 보안 팀: Web3 사용자와 관련된 장치 위험 사례는 다양합니다. 몇 가지 일반적인 사례를 살펴보겠습니다.

사례 1: 사용자 Alice가 장치를 떠난 후 Alice의 장치는 자신도 모르게 장치에 물리적으로 해킹되어 자산을 도난당했습니다. 이는 컴퓨터 보안 분야에서 종종 "사악한 하녀 공격"이라고 불리며 사용자가 직면하는 가장 일반적인 유형의 장치 위험 중 하나입니다.

'모발 공방'의 동료들부터, 방을 청소하는 아주머니, 심지어 베개에 몸을 기대고 있는 사람까지 모두 돈을 노리는 공격자들일 수 있다. 우리는 이전에 사용자가 하드웨어 지갑에 있는 자산 도난을 추적하도록 지원한 적이 있으며, 사용자가 범죄를 신고한 후 신고한 거래소는 공격자가 사용하는 거래소 계정의 KYC를 획득한 결과 실제로 수행된 것으로 확인되었습니다. "모든 것을 조심하세요. 집안 도둑을 막기는 어렵습니다."라는 말이 있습니다.

사례 2에서 사용자 Bob은 물리적으로 강요당했고 자산 제어 권한이 있는 자신의 장치를 넘겨주어야 했습니다. 이는 암호화 분야에서 "$5 Wrench Attack"이라는 말도 안되는 이름을 가지고 있습니다.

최근에는 크립토의 부효과(Wealth Effect)가 등장하면서 고액 자산가를 대상으로 한 납치 및 강탈이 특히 범죄율이 높은 국가에서 더욱 심해지는 것으로 보입니다. 2023년 초, 언론에서는 오프라인 거래 가상화폐를 강탈당했다고 보도했습니다. 피해자는 오프라인 디지털화폐 투자자 모임에 참석했고, 식사 후 차량에서 통제됐다. 범죄자들은 피해자의 안면인식을 이용해 휴대폰과 지갑 소프트웨어를 강제로 잠금 해제한 뒤 지갑에 있는 암호화폐를 410만 USDT로 교환한 뒤 즉시 이체했다. 자금과 떠나십시오. 최근에는 암호화폐 채굴 OG가 국제 범죄 집단에 의해 강도를 당했고, 평생 축적한 암호화폐 자산 대부분을 강탈당했다는 이야기가 트위터에서도 인기를 끌었다.

OKX Web3 지갑 보안 팀: 오늘의 주제는 매우 좋습니다. 이전에는 개인 키 보안, MEME 거래 보안 및 기타 여러 온체인 보안 주제에 대해 이야기했습니다. 실제로 장치 보안도 매우 중요합니다. 몇몇 고전적인 경우.

사례 1: 변조된 하드웨어 지갑

사용자 A는 승인되지 않은 플랫폼에서 하드웨어 지갑을 구매하고 인증 없이 사용하기 시작했습니다. 실제로 지갑 펌웨어는 변조되었으며 여러 니모닉 문구 세트가 미리 생성되었습니다. 최종 사용자가 하드웨어 지갑에 보관한 암호화폐 자산은 해커에 의해 완전히 통제되어 막대한 손실을 입었습니다.

예방 조치: 1) 사용자는 공식 채널이나 신뢰할 수 있는 채널에서 하드웨어 지갑을 구매해야 합니다. 2) 지갑을 사용하기 전에 펌웨어의 보안을 보장하기 위해 완전한 공식 검증 프로세스를 수행하십시오.

사례 2: 피싱 공격

사용자 B는 "지갑 보안 센터"로부터 사용자의 지갑에 보안 문제가 있음을 알리고 보안 업데이트를 위해 지갑 복구 문구를 입력하라는 이메일을 받았습니다. 실제로 이는 잘 설계된 피싱 공격이었고 사용자는 결국 모든 자산을 잃었습니다.

주의 사항: 1) 사용자는 인증되지 않은 웹사이트에 개인 키나 복구 문구를 입력해서는 안 됩니다. 2) 하드웨어 지갑 화면을 이용하여 모든 거래 및 운영 정보를 확인합니다.

사례 3: 소프트웨어 보안

사용자 C는 확인되지 않은 채널에서 악성 코드를 다운로드했는데, 사용자가 지갑 작업을 수행할 때 소프트웨어에 악성 로직이 포함되어 자산 손실이 발생했습니다.

예방 조치: 1) 사용자는 공식 채널에서 소프트웨어를 다운로드하고 관련 소프트웨어 및 펌웨어를 정기적으로 업데이트합니다. 2) 바이러스 백신 소프트웨어와 방화벽으로 장치를 보호하세요.

Q2: 이용자가 공통적으로 사용하는 물리적 장비 및 시설과 위험 유형

OneKey 보안 팀: 사용자 자산 보안과 관련된 장치에는 일반적으로 사용자의 휴대폰, 컴퓨터, 하드웨어 지갑, USB 저장 장치 및 네트워크 통신 장비(예: WIFI)가 포함됩니다.

앞서 기기를 떠날 때 언급했던 '사악한 메이드 공격'과 강력범죄 '$5 렌치 공격' 외에 아래에 특별히 주의가 필요한 몇 가지 사항을 추가하겠습니다.

1. 사회 공학 및 피싱 공격

사회 공학 및 피싱 공격은 현재 매우 일반적이고 효과적인 공격 방법입니다. 공격자는 인간의 약점을 이용하여 사용자를 속여 위험한 작업을 수행합니다. 예를 들어, 악의적인 피싱 링크 및 첨부 파일을 사용하여 공격자는 은행 알림이나 소셜 미디어 플랫폼의 경고와 같이 신뢰할 수 있는 소스로 위장하여 악성 링크가 포함된 이메일, 문자 메시지 또는 소셜 미디어 메시지를 보낼 수 있습니다. 사용자가 이러한 링크를 클릭하거나 첨부 파일을 다운로드하면 악성 코드가 장치에 심어져 장치가 원격으로 손상될 수 있습니다.

또 다른 예로, 공격자는 기술 지원 담당자를 사칭하여 기술 지원 담당자인 것처럼 가장하고 전화나 이메일로 사용자에게 연락하여 장치에 문제가 있으며 즉각적인 조치가 필요하다고 주장할 수 있습니다. 사용자가 장치에 대한 원격 액세스를 제공하도록 유도하거나 민감한 정보를 공개할 수 있습니다. 현재 트위터에서 암호화폐 관련 용어를 언급하는 한, 곧 봇 군대가 기술 지원 및 "서비스"를 제공하는 척하러 올 것입니다.

2. 공급망 공격

공급망 공격은 공격자가 생산 또는 운송 중에 장치에 악성 자료를 삽입할 때 발생합니다. 구체적인 발현은 다음 세 가지이다.

첫 번째는 하드웨어 변조입니다. 공격자는 하드웨어 지갑이나 USB 저장 장치의 제조 과정에 악성 코드를 삽입할 수 있습니다. 예를 들어, 신뢰할 수 없는 소스에서 하드웨어 장치를 구입한 사용자는 정보를 훔치거나 원격 액세스를 허용할 수 있는 악성 코드가 사전 설치되어 있을 수 있는 변조된 장치를 받을 수 있습니다.

두 번째는 소프트웨어 변조입니다. 공격자는 장치의 소프트웨어 공급망 내에서 작업하여 소프트웨어 또는 펌웨어 업데이트 패키지를 변조할 수 있습니다. 사용자가 이러한 업데이트를 다운로드하여 설치하면 장치가 백도어나 기타 유형의 악성 코드에 감염될 수 있습니다.

세 번째는 물류 공격입니다. 공격자가 운송 중에 장치를 가로채서 변조할 수 있습니다. 예를 들어 하드웨어 장치는 배송 중에 교체되거나 변조될 수 있으므로 공격자가 후속 공격을 더 쉽게 수행할 수 있습니다.

3. 중간자 공격

MITM(Man-in-the-Middle Attack)은 공격자가 두 당사자 간의 통신 중에 데이터 전송을 가로채서 변조하는 것을 말합니다.

예를 들어, 사용자가 암호화되지 않은 네트워크 통신을 사용하는 경우 공격자는 전송 중인 데이터를 쉽게 가로채고 변조할 수 있습니다. 즉, 암호화되지 않은 HTTP 웹사이트를 사용할 경우 공격자는 사용자가 주고받는 데이터를 가로채서 수정할 수 있습니다.

또 다른 예는 공용 Wi-Fi입니다. 공용 Wi-Fi를 사용하면 공격자가 사용자의 데이터 전송을 가로챌 가능성이 더 높습니다. 공격자는 악의적인 공용 WIFI 핫스팟을 설정할 수도 있으며, 사용자가 연결되면 공격자는 로그인 자격 증명 및 은행 거래 기록과 같은 사용자의 민감한 정보를 모니터링하고 훔칠 수 있습니다. 극단적인 경우에는 자신의 WIFI가 해킹되어 악성코드가 설치될 수도 있습니다.

4. 제3자 내부 공격 및 소프트웨어 취약점

제3자 내부 공격 및 소프트웨어 취약점은 사용자가 통제하기 어려운 위험이지만 물리적 장치 보안에 큰 영향을 미치는 요소입니다.

가장 일반적인 것은 소프트웨어 및 하드웨어 보안 취약점입니다. 공격자는 이러한 취약점을 악용하여 원격 공격이나 물리적 우회 공격을 수행할 수 있습니다. 예를 들어, 일부 플러그인이나 애플리케이션에는 공격자가 장치를 제어할 수 있는 발견되지 않은 취약점이 있을 수 있습니다. 이는 일반적으로 보안 업데이트를 유지함으로써 해결될 수 있습니다. 동시에 하드웨어는 최신 암호화 칩 사용을 고려해야 합니다.

소프트웨어 측면의 내부자 활동: 소프트웨어 개발자 또는 서비스 제공자의 내부자는 액세스 권한을 남용하여 악의적인 활동을 수행하거나, 사용자 데이터를 훔치거나, 소프트웨어에 악성 코드를 심을 수 있습니다. 또는 악의적인 활동으로 이어지는 외부 요인 때문일 수도 있습니다.

예를 들어, 특정 다중 지문 브라우저를 사용하여 "Lumao Studio"에서 자산을 도난당하는 경우가 있었습니다. 이는 소프트웨어나 플러그인의 내부 악의로 인해 발생했을 수 있습니다. 이는 합법적인 소프트웨어라도 내부 통제가 엄격하지 않으면 사용자 자산 보안에 위협이 될 수 있음을 보여줍니다.

또 다른 예를 들어, Ledger는 이전에 패닉 발작을 겪었습니다. 많은 dapp에서 사용하는 Connect Kit에 문제가 있었습니다. 이번 공격은 전직 직원이 피싱 공격을 받고 공격자가 Connect Kit의 GitHub 저장소에 악성 코드를 삽입한 후에 발생했습니다. 다행스럽게도 Ledger의 보안팀은 문제를 인지한 지 40분 이내에 수정 사항을 배포했고, Tether도 적시에 공격자의 USDT 자금을 동결했습니다.

OKX Web3 Wallet 보안팀 : 사용자가 일반적으로 사용하는 일부 물리적 장치를 요약하고 이로 인해 발생할 수 있는 잠재적인 위험을 확장합니다.

현재 사용자가 일반적으로 사용하는 물리적 장치는 주로 다음과 같습니다. 1) 분산 애플리케이션(dApp)에 액세스하고, 암호화폐 지갑을 관리하고, 블록체인 네트워크에 참여하는 데 사용되는 컴퓨터(데스크톱 및 랩톱). 2) dApp에 대한 모바일 액세스, 암호화폐 지갑 관리 및 거래 수행을 위한 스마트폰 및 태블릿. 3) 해커의 공격을 막기 위해 암호화폐 개인키를 안전하게 보관하기 위해 하드웨어 지갑, 특수 장치(Ledger, Trezor 등)를 사용합니다. 4) 네트워크 인프라, 라우터, 스위치, 방화벽 및 기타 장비는 네트워크 연결의 안정성과 보안을 보장합니다. 5) 블록체인 노드(개인용 컴퓨터 또는 전용 서버일 수 있음)를 실행하는 소프트웨어 장치인 노드 장치는 네트워크 합의 및 데이터 검증에 참여합니다. 6) 온라인 공격을 방지하기 위해 USB 드라이브, 종이 지갑 등과 같이 개인 키를 오프라인으로 저장하는 데 사용되는 콜드 저장 장치.

현재 물리적 장비에서 발생할 수 있는 잠재적 위험은 다음과 같습니다.

1) 물리적 장비 위험

• 장비 분실 또는 손상: 하드웨어 지갑이나 컴퓨터와 같은 장비가 분실되거나 손상된 경우 개인 키가 손실되고 암호화폐 자산에 액세스할 수 없게 될 수 있습니다.

• 물리적 침입: 범죄자는 물리적 수단을 통해 기기에 침입하여 개인 키나 민감한 정보를 직접 획득합니다.

2) 사이버보안 위험

• 맬웨어 및 바이러스: 맬웨어는 사용자 장치를 공격하여 개인 키나 중요한 정보를 훔칩니다.

• 피싱 공격: 합법적인 서비스인 것처럼 가장하여 사용자를 속여 개인 키나 로그인 자격 증명을 제공하도록 합니다.

• 중간자 공격(MITM): 공격자는 사용자와 블록체인 네트워크 간의 통신을 가로채서 변조합니다.

3) 사용자 행동 위험

• 사회 공학 공격: 공격자는 사회 공학 방법을 사용하여 사용자를 속여 개인 키나 기타 민감한 정보를 공개하도록 합니다.

• 운영 오류: 사용자는 자산을 거래하거나 관리할 때 운영 오류를 범하며, 이로 인해 자산 손실이 발생할 수 있습니다.

4) 기술적 위험

• 소프트웨어 취약성: dApp, 암호화폐 지갑 또는 블록체인 프로토콜의 취약성은 해커에 의해 악용될 수 있습니다.

• 스마트 계약 취약성: 스마트 계약 코드의 취약성은 자금 도난으로 이어질 수 있습니다.

5) 규제 및 법적 위험

• 법률 준수: 국가와 지역마다 암호화폐 및 블록체인 기술에 대한 규제 정책이 다르며, 이는 사용자의 자산 보안과 거래 자유에 영향을 미칠 수 있습니다.

• 규제 변화: 갑작스러운 정책 변화로 인해 자산이 동결되거나 거래가 제한될 수 있습니다.

Q3: 개인키 보안을 위해 하드웨어 지갑은 필수인가요? 개인 키 보안 보호 조치의 유형은 무엇입니까?

OneKey 보안 팀: 물론 하드웨어 지갑이 개인 키 보안을 위한 유일한 옵션은 아니지만 실제로 개인 키 보안을 강화하는 매우 효과적인 방법입니다. 가장 큰 장점은 개인키 생성부터 기록, 일일 저장까지 인터넷에서 분리하고, 모든 거래 수행 시 거래 내역을 사용자가 물리적 기기에서 직접 확인하고 확인해야 한다는 점이다. 이 기능은 악성 코드나 해커 공격으로 인해 개인 키가 도난당할 위험을 효과적으로 차단합니다.

먼저 하드웨어 지갑의 장점에 대해 이야기해 보겠습니다.

1) 물리적 격리: 하드웨어 지갑은 네트워크로 연결된 컴퓨터 및 모바일 장치와 완전히 격리된 전용 장치에 개인 키를 저장합니다. 즉, 사용자의 컴퓨터나 휴대폰이 악성 코드에 감염되더라도 개인 키는 인터넷과 접촉하지 않기 때문에 여전히 안전합니다.

2) 거래 확인: 하드웨어 지갑을 이용하여 거래를 진행하는 경우, 사용자는 기기에서 직접 거래 내역을 확인하고 검증해야 합니다. 이 프로세스를 통해 공격자가 사용자의 온라인 계정 정보를 획득하더라도 승인 없이 자산을 이전하는 것은 불가능합니다.

3) 보안 칩: 많은 하드웨어 지갑은 개인 키를 저장하기 위해 전용 보안 칩을 사용합니다. 이 칩은 CC EAL 6+(OneKey Pro 및 Ledger Stax와 같은 새로운 하드웨어 지갑에서 사용되는 표준)와 같은 엄격한 보안 인증을 거쳐 물리적 부채널 공격으로부터 효과적으로 보호합니다. 보안 칩은 무단 접근을 방지할 뿐만 아니라 전자기 분석, 전력 분석 공격 등 다양한 첨단 공격 방식을 막아냅니다.

하드웨어 지갑 외에도 개인 키의 보안을 강화할 수 있는 다양한 방법이 있습니다. 사용자는 자신의 필요에 따라 적합한 솔루션을 선택할 수 있습니다.

1) 종이 지갑: 종이 지갑은 개인 키와 공개 키를 종이에 인쇄하는 오프라인 저장 방식입니다. 이 방법은 간단하고 완전 오프라인이지만 화재 예방, 습기 방지, 분실 방지 등 물리적 보안 문제에 주의가 필요합니다. 가능하다면 실제 녹음용 금속 템플릿을 구입하는 것이 가장 좋습니다(OneKey의 KeyTag와 같이 시중에 많은 옵션이 있음).

2) 휴대폰 콜드월렛(Cold Wallet) : 콜드월렛(Cold Wallet)은 오프라인 휴대폰이나 컴퓨터 등 완전히 오프라인에 보관된 개인키 또는 암호화된 자산을 말한다. 하드웨어 지갑과 마찬가지로 콜드 지갑도 사이버 공격으로부터 효과적으로 보호할 수 있지만 사용자가 이러한 장치를 직접 구성하고 관리해야 합니다.

3) 샤딩 암호화 스토리지: 샤딩 암호화 스토리지는 개인 키를 여러 부분으로 나누어 서로 다른 위치에 저장하는 방법입니다. 공격자가 개인키의 일부를 획득하더라도 완전한 복구는 불가능하다. 이 방법은 공격의 난이도를 높여 보안을 강화하지만, 일부 개인키 조각의 손실로 인해 개인키를 복구할 수 없는 상황을 피하기 위해 사용자는 각 개인키 조각을 관리해야 합니다.

4) 다중 서명(Multisig): 다중 서명 기술은 전송 작업을 완료하기 위해 트랜잭션에 함께 서명하려면 여러 개의 개인 키가 필요합니다. 이 방법은 서명자 수를 늘리고 단일 개인 키의 도난을 방지하며 자산 전송을 유발하여 보안을 향상시킵니다. 예를 들어, 적어도 두 개의 개인 키가 동의할 때만 거래가 실행될 수 있도록 제3자 서명이 있는 다중 서명 계정을 설정할 수 있습니다. 이를 통해 보안이 향상될 뿐만 아니라 보다 유연한 관리 및 제어가 가능해집니다.

5) 혁신적인 암호화 기술: 기술이 발전함에 따라 일부 신흥 암호화 기술도 개인 키 보호에 지속적으로 사용되고 있습니다. 예를 들어 TSS(임계값 서명 체계) 및 MPC(다자간 컴퓨팅)와 같은 기술은 분산 컴퓨팅 및 협업을 통해 개인 키 관리의 보안과 신뢰성을 더욱 향상시킵니다. 이는 일반적으로 기업에서 더 많이 사용되며 개인은 거의 사용하지 않습니다.

OKX Web3 Wallet 보안 팀: 하드웨어 지갑은 개인 키를 별도의 오프라인 장치에 저장하여 사이버 공격, 맬웨어 또는 기타 온라인 위협으로 인해 개인 키가 도난당하는 것을 방지합니다. 소프트웨어 지갑 및 기타 형태의 스토리지에 비해 하드웨어 지갑은 더 높은 보안을 제공하며 특히 대량의 암호화폐 자산을 보호해야 하는 사용자에게 적합합니다. 개인 키 보안 보호 조치의 경우 다음과 같은 관점에서 시작할 수 있습니다.

1) 보안 저장 장치 사용: 네트워크 공격으로 인해 개인 키가 도난당할 위험을 줄이려면 신뢰할 수 있는 하드웨어 지갑이나 기타 콜드 저장 장치를 선택하십시오.

2) 철저한 보안 인식 교육 확립: 개인키 보안의 중요성과 보호에 대한 인식을 강화하고, 개인키를 복사하여 붙여넣어야 하는 웹페이지나 프로그램에 주의하세요. 클립보드 공격을 방지하기 위해 일부만 복사하고 몇 글자만 남길 수 있습니다.

3) 니모닉 문구 및 개인 키의 안전한 저장: 니모닉 문구를 온라인으로 사진, 스크린샷 촬영, 녹음하는 것을 피하고 종이에 적어서 안전한 곳에 보관하십시오.

4) 개인 키의 별도 저장: 개인 키를 여러 부분으로 나누어 서로 다른 장소에 저장하여 단일 장애 지점의 위험을 줄입니다.

Q4: 인증 및 접근 제어의 현재 취약점

OneKey 보안 팀: 블록체인은 Web2와 같은 신원 정보를 식별하고 저장할 필요가 없습니다. 자체 보관 및 자산 액세스를 달성하기 위해 암호화를 사용합니다. 이는 개인 키가 모든 것임을 의미합니다. 암호화 자산에 대한 사용자 액세스 제어의 가장 큰 위험은 일반적으로 개인 키의 부적절한 저장에서 비롯됩니다. 결국 사용자의 개인 키는 암호화 자산에 액세스하기 위한 유일한 자격 증명입니다. 개인 키가 분실, 도난 또는 노출되거나 자연재해가 발생하는 경우 자산이 영구적으로 손실될 수 있습니다.

이는 사용자에게 안전한 개인 키 셀프 호스팅 솔루션을 제공하는 OneKey와 같은 브랜드의 존재 의미이기도 합니다. 많은 사용자는 개인 키를 관리할 때 보안 인식이 부족하고 안전하지 않은 저장 방법(예: 온라인 문서 및 스크린샷에 개인 키를 저장하는 등)을 사용하는 경우가 많습니다. 가장 좋은 방법은 오프라인 생성 및 저장을 사용하는 것입니다. 수동으로 주사위를 굴리고 필기하는 것 외에도 앞서 언급한 금속판에 니모닉 단어가 새겨진 하드웨어 지갑을 사용하는 것도 고려할 수 있습니다.

물론, 거래소 계정을 이용해 자산을 직접 보관하는 사용자도 많습니다. 이때 인증 및 접근 제어는 Web2와 더 유사합니다.

이는 사용자의 비밀번호 보안 인식에 관한 것입니다. 취약하고 반복되는 비밀번호를 사용하는 것은 일반적인 문제입니다. 사용자는 간단하고 추측하기 쉬운 비밀번호를 사용하거나 여러 플랫폼(예: 확인 이메일)에서 동일한 비밀번호를 재사용하는 경향이 있어 데이터 침해 후 무차별 대입 크래킹이나 공격의 위험이 증가합니다.

다단계 인증(예: SMS 인증코드, Google Authenticator)은 보안을 강화할 수 있지만 제대로 구현되지 않거나 취약점(예: SMS 하이재킹)이 있는 경우 공격 대상이 될 수도 있습니다. 예를 들어, SMS 하이재킹 SIM 스왑 공격 - 공격자는 통신사 직원을 속이거나 뇌물을 주어 피해자의 전화번호를 공격자가 관리하는 SIM 카드로 전송함으로써 피해자의 휴대폰으로 전송된 모든 SMS 인증 코드를 수신합니다. 비탈릭은 이전에도 'SIM SWAP' 공격을 받은 적이 있다. 공격자는 자신의 트위터를 이용해 피싱 메시지를 보내 많은 사람들의 자산에 피해를 입힌 바 있다. 또한, '구글인증기' 등 다단계인증기기의 부적절하게 저장된 백업코드를 공격자가 획득하여 계정을 공격하는데 사용될 수도 있습니다.

OKX Web3 Wallet 보안팀: 지금 주목해야 할 부분은 바로 이 부분입니다.

1) 취약한 비밀번호 및 비밀번호 재사용: 사용자는 간단하고 추측하기 쉬운 비밀번호를 사용하거나 여러 서비스에서 동일한 비밀번호를 재사용하는 경우가 많아 비밀번호가 무차별 대입 크랙되거나 다른 유출 경로를 통해 획득될 위험이 높아집니다.

2) 불충분한 다단계 인증(MFA): Web2의 다단계 인증은 보안을 크게 향상시킬 수 있지만 일단 web3 지갑에서 개인 키가 유출되면 공격자가 해당 계정의 모든 운영 권한을 갖게 되므로 이를 방해하게 됩니다. 효과적인 MFA 메커니즘을 확립하기가 어렵습니다.

3) 피싱 공격 및 소셜 엔지니어링: 공격자는 피싱 이메일, 가짜 웹사이트 등을 통해 사용자를 속여 민감한 정보를 유출하도록 합니다. 현재 web3를 대상으로 하는 피싱사이트들은 그룹화 및 서비스 중심의 특징을 가지고 있으며 충분한 보안의식 없이는 속이기 쉽습니다.

4) 부적절한 API 키 관리: 개발자는 클라이언트 애플리케이션에 API 키를 하드 코딩하거나 API 키에 대한 적절한 권한 제어 및 만료 관리를 수행하지 못해 키가 유출되고 남용될 수 있습니다.

Q5: AI 얼굴 변경과 같은 새로운 가상 기술로 인해 발생하는 위험을 사용자는 어떻게 방지해야 합니까?

OneKey 보안 팀: 2015 BlackHat 컨퍼런스에서 전 세계 해커들은 얼굴 인식 기술이 가장 신뢰할 수 없는 신원 인증 방법이라고 만장일치로 믿었습니다. 거의 10년 후, AI 기술의 발전으로 우리는 얼굴을 대체할 수 있는 거의 완벽한 '마법'을 갖게 되었습니다. 예상대로 일반적인 시각적 얼굴 인식은 더 이상 보안을 보장할 수 없습니다. 이 시점에서 더 중요한 것은 식별 당사자가 딥 페이크 콘텐츠를 식별하고 방지하기 위해 알고리즘 기술을 업그레이드해야 한다는 것입니다.

AI 얼굴 변경의 위험과 관련하여, 자신의 개인 생체 인식 데이터를 보호하는 것 외에는 사용자가 할 수 있는 일이 많지 않습니다. 다음은 몇 가지 작은 제안 사항입니다.

1) 얼굴 인식 애플리케이션을 주의해서 사용하세요.

사용자가 얼굴 인식 앱을 사용하기로 선택한 경우 보안 기록과 개인 정보 보호 정책이 양호한 앱을 선택해야 합니다. 출처를 알 수 없거나 보안이 의심스러운 앱의 사용을 피하고 소프트웨어를 정기적으로 업데이트하여 최신 보안 패치를 설치하세요. 이전에도 중국 내 다수의 소액대출회사 앱이 사용자의 얼굴 데이터를 불법적으로 재판매하는 데 활용해 사용자의 얼굴 데이터를 유출한 사례가 많았다.

2) 다단계 인증(MFA) 이해

단일 생체 인증은 위험하므로 여러 인증 방법을 결합하면 보안이 크게 향상될 수 있습니다. MFA(다단계 인증)는 지문, 홍채 스캔, 성문 인식, 심지어 DNA 데이터와 같은 여러 확인 방법을 결합합니다. 식별 당사자의 경우, 이 결합된 인증 방법은 하나의 인증 방법이 손상된 경우 추가 보안 계층을 제공할 수 있습니다. 사용자가 자신의 개인 데이터를 보호하는 것도 중요합니다.

3) 의심하고 사기를 조심하세요

분명히 AI가 사람의 얼굴과 목소리를 모방할 수 있게 되면 인터넷을 통해 사람을 사칭하는 것이 훨씬 쉬워집니다. 사용자는 민감한 정보나 자금 이체와 관련된 요청에 특히 주의해야 하며, 2단계 인증을 사용하여 전화나 직접 상대방의 신원을 확인해야 합니다. 경계심을 갖고, 긴급 요청을 신뢰하지 말고, 임원, 지인, 고객 서비스 담당자를 사칭하는 등 일반적인 사기 수법을 식별하세요. 요즘에는 가짜 연예인이 많이 있습니다. 일부 프로젝트에 참여할 때는 '가짜 플랫폼'을 조심해야 합니다.

OKX Web3 Wallet 보안팀: 일반적으로 신흥 가상 기술은 새로운 위험을 가져오고, 새로운 위험은 실제로 새로운 방어 방법 연구를 가져오며, 새로운 방어 방법 연구는 새로운 위험 제어 제품을 가져올 것입니다.

1. AI 위변조 위험

AI 얼굴 변화 분야에서는 AI 얼굴 변화 탐지 제품이 많이 등장했다. 현재 업계에서는 디지털에서 딥페이크를 활용해 생성된 고유 요소(지문)를 탐지하는 데 중점을 두고 가짜 인물 영상을 자동으로 탐지하는 여러 가지 방법을 제안하고 있다. 콘텐츠를 통해 사용자는 얼굴 특징, 가장자리 처리, 오디오와 비디오의 동기화되지 않음 등을 주의 깊게 관찰하여 AI 얼굴 스와핑을 식별할 수도 있습니다. 또한 Microsoft는 사용자에게 딥팩 인식 기능을 교육하기 위한 일련의 도구를 출시했습니다. .사용자는 개인 식별 기술을 학습하고 강화할 수 있습니다.

2. 데이터 및 개인 정보 보호 위험

다양한 분야에 대형 모델을 적용하는 것은 사용자의 데이터와 개인정보에 대한 위험을 가져오기도 합니다. 대화형 로봇을 사용할 때 사용자는 개인정보를 보호하기 위해 최선을 다해야 하며, 개인키, 키 등 주요 정보가 유출되지 않도록 노력해야 합니다. 및 비밀번호를 직접 입력하고 대체, 난독화 및 기타 방법을 통해 주요 정보를 숨기십시오. 개발자를 위해 Github는 제출된 코드에 OpenAI apikey 또는 기타 위험한 개인 정보 유출이 있는 경우 해당 Push An을 제공합니다. 오류가 보고됩니다.

3. 콘텐츠 생성 및 악용 위험

사용자의 일상 업무에서 이러한 콘텐츠는 효과적이지만, 콘텐츠 생성의 남용으로 인해 허위 정보 및 지적 저작권 문제가 발생하는 경우도 있습니다. 대규모 모델에 의해 생성된 텍스트 콘텐츠는 해당 위험을 일부 줄일 수 있습니다. 또한, 대규모 모델에 코드 생성을 사용할 때 개발자는 생성된 코드 기능의 정확성과 안전성에도 주의를 기울여야 합니다. 민감하거나 오픈 소스 코드인 경우 충분한 검토와 감사가 수행되어야 합니다.

4. 매일의 관심과 학습

사용자는 일상적으로 짧은 영상, 긴 영상, 각종 기사 등을 열람할 때 남성 목소리, 여성 목소리, 발음 오류 등 일반적인 설명 등 AI 위조 가능성이나 AI 생성 콘텐츠 등을 의식적으로 판단하고 식별하고 기억해야 한다. 일반적인 얼굴 변화 영상을 보고 주요 시나리오에 직면할 때 이러한 위험을 의식적으로 판단하고 식별합니다.

질문 6: 전문적인 관점에서 물리적 장비 보안 제안을 공유해 주세요.

OneKey 보안팀: 앞서 언급한 다양한 위험을 바탕으로 보호 조치를 간략하게 정리하겠습니다.

1. 네트워크로 연결된 장치로부터의 침입 위험에 주의하세요

인터넷에 연결된 장치는 우리 일상생활 어디에나 존재하지만 잠재적인 침입 위험도 가져옵니다. 고위험 데이터(예: 개인 키, 비밀번호, MFA 백업 코드)를 보호하려면 강력한 암호화 방법을 사용해야 하며 이러한 민감한 정보가 컴퓨터에 직접 저장되지 않도록 네트워크에서 격리된 저장 방법을 선택해야 합니다. 일반 텍스트로 된 장치. 또한 피싱 및 트로이 목마 공격에 항상 주의해야 합니다. 공격 위험을 줄이려면 암호화 자산 운영을 위한 특수 장비를 다른 범용 장비와 분리하는 것이 좋습니다. 예를 들어, 우리가 매일 사용하는 노트북과 암호화폐 자산을 관리하는 데 사용하는 하드웨어 지갑을 분리하여 한 장치가 손상되더라도 다른 장치는 안전하게 유지되도록 할 수 있습니다.

2. 물리적 모니터링 및 보호 유지

하드웨어 지갑과 같은 고위험 장치를 더욱 안전하게 보호하려면 엄격한 물리적 모니터링 및 보호 조치를 구현해야 합니다. 집에 있는 이러한 장치는 높은 수준의 도난 방지 금고에 보관되어야 하며 영상 감시 및 자동 경보 기능을 포함한 포괄적인 스마트 보안 시스템을 갖추고 있어야 합니다. 여행을 해야 한다면 안전한 보관 시설을 갖춘 호텔을 선택하는 것이 특히 중요합니다. 많은 고급 호텔은 장비에 대한 추가 보호 계층을 제공할 수 있는 특수 보안 보관 서비스를 제공합니다. 또한 어떤 상황에서도 중요한 장비를 보호할 수 있도록 휴대용 금고를 휴대하는 것도 고려할 수 있습니다.

3. 위험 노출을 줄이고 단일 실패 지점을 방지합니다.

장비와 자산을 분산시키는 것은 위험을 줄이기 위한 핵심 전략 중 하나입니다. 모든 높은 권한의 장치와 암호화폐 자산을 한 장소나 하나의 지갑에 저장하는 대신, 다양한 지리적 위치에 있는 안전한 장소에 저장 공간을 분산시키는 것을 고려해야 합니다. 예를 들어, 일부 장비와 자산을 집, 사무실, 신뢰할 수 있는 친구 및 가족과 함께 보관할 수 있습니다. 또한 여러 개의 핫 지갑과 하드웨어 콜드 지갑을 사용하는 것도 효과적인 방법입니다. 각 지갑은 자산의 일부를 저장하고 단일 실패 지점의 위험을 줄일 수 있습니다. 보안을 강화하기 위해 다중 서명 지갑을 사용할 수도 있는데, 이는 거래를 수행하기 위해 여러 개의 승인된 서명이 필요하므로 자산의 보안 수준을 크게 높일 수 있습니다.

4. 최악의 상황을 가정한 비상조치

잠재적인 보안 위협에 직면했을 때 최악의 비상 계획을 수립하는 것이 중요합니다. 순자산이 높은 개인의 경우, 눈에 띄지 않게 유지하는 것은 표적이 되는 것을 피하기 위한 효과적인 전략입니다. 우리는 암호화폐 자산을 공개적으로 과시하는 것을 피하고 자산 정보를 최대한 공개하지 않도록 노력해야 합니다. 또한 장비 분실이나 도난에 대비한 비상 계획도 필요합니다. 우리는 잠재적인 강도를 일시적으로 처리하기 위해 미끼 암호화 지갑을 설정할 수 있으며 동시에 중요한 장치의 데이터를 원격으로 잠그거나 삭제할 수 있습니다(백업된 경우). 개인 보안 팀을 고용하면 고위험 지역을 공개적으로 여행할 때 추가 보안 계층을 제공할 수 있을 뿐만 아니라 특별 VIP 보안 차선과 보안 수준이 높은 호텔을 사용하여 안전과 개인 정보 보호를 보장할 수 있습니다.

OKX Web3 지갑 보안팀: 두 가지 수준으로 소개하겠습니다. 하나는 OKX Web3 APP 수준이고 다른 하나는 사용자 수준입니다.

1. OKX Web3 앱 수준

OKX Web3 Wallet은 알고리즘 난독화, 논리 난독화, 코드 무결성 감지, 시스템 라이브러리 무결성 감지, 애플리케이션 변조 방지 및 환경 보안 감지 및 기타 강화 및 감지 방법을 포함하되 이에 국한되지 않는 다양한 방법을 사용하여 앱을 강화합니다. 이를 통해 사용자가 앱을 사용할 때 해커의 공격을 받을 확률이 크게 줄어들며, 해커가 앱을 다시 패키징하는 것을 최대한 방지하고 가짜 앱을 다운로드할 확률도 줄어듭니다.

또한 Web3 지갑 데이터 보안 수준에서는 최첨단 하드웨어 보안 기술을 사용하고 칩 수준 암호화를 사용하여 암호화된 데이터가 도난당할 경우 암호화된 데이터를 장치 칩에 바인딩합니다. 어떤 인간도 그것을 해독할 수 없습니다.

2. 사용자 수준

하드웨어 지갑, 일반적으로 사용되는 컴퓨터, 휴대폰 및 기타 장치를 포함한 물리적 장치와 관련된 사용자의 경우 먼저 다음 측면에서 보안 인식을 강화할 것을 권장합니다.

1) 하드웨어 지갑: 유명 브랜드의 하드웨어 지갑을 사용하고, 공식 채널에서 구매하며, 격리된 환경에서 개인키를 생성하여 보관합니다. 개인키가 저장되는 매체는 방화, 방수, 도난방지가 가능해야 합니다. 보안을 강화하기 위해 개인 키나 니모닉 단어를 다른 안전한 위치에 저장할 수 있는 방화 및 방수 금고를 사용하는 것이 좋습니다.

2) 전자 장비: 소프트웨어 지갑이 설치된 휴대폰, 컴퓨터의 경우 보안과 개인 정보 보호가 더 나은 브랜드(예: Apple)를 선택하는 동시에 불필요한 응용 소프트웨어 설치를 줄이고 시스템 환경을 정화하는 것이 좋습니다. 단일 시스템 오류를 방지하려면 Apple ID를 사용하여 시스템의 여러 장치 백업을 관리하세요.

3) 일상적인 사용: 카메라 기록 유출을 방지하기 위해 공공 장소에서 지갑 장비에 대한 민감한 작업을 수행하지 마십시오. 정기적으로 신뢰할 수 있는 바이러스 백신 소프트웨어를 사용하여 장치 환경을 검사하고 물리적 장치 저장 위치의 신뢰성을 확인하십시오.

마지막으로, OKX Web3 Wallet '보안 특집' 칼럼 04호를 읽어주신 모든 분들께 감사드립니다. 현재 실제 사례와 위험 식별, 안전 운영 꿀팁을 담은 05호를 준비 중이니 많은 관심 부탁드립니다!

부인 성명

이 기사는 정보 제공의 목적으로만 작성되었으며 (i) 투자 조언 또는 투자 권장 사항 (ii) 디지털 자산 구매, 판매 또는 보유에 대한 제안 또는 권유, 또는 (iii) 금융, 회계, 법률 또는 세금 관련 조언을 제공하기 위한 것이 아닙니다. . 스테이블 코인 및 NFT를 포함한 디지털 자산을 보유하는 것은 높은 수준의 위험을 수반하며 크게 변동하거나 가치가 없게 될 수도 있습니다. 귀하의 재정 상황에 따라 디지털 자산을 거래하거나 보유하는 것이 귀하에게 적합한지 신중하게 고려해야 합니다. 관련 현지 법률 및 규정을 이해하고 준수할 책임이 있습니다.