 |
업비트 해킹 관련 공지 / 출처=업비트 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
거래소 해킹 사고가 반복되고 있습니다. 업비트뿐 아니라 바이비트, 빗썸 등 국내외 여러 거래소가 해킹 사고를 겪었습니다. 물론 블록체인 기술은 해킹이 어렵습니다. 하지만 거래소 시스템, 특히 핫월렛(온라인에 연결된 전자지갑)은 상대적으로 해킹에 취약합니다. 이번에 업비트에서 발생한 사고도 핫월렛의 자산이 유출된 것입니다.
거래소는 해커들의 공격을 막기 위해 지속적으로 보안을 강화합니다. 하지만 해커들도 끊임없이 새로운 방법을 개발해 해킹을 시도합니다. 언제 또다시 거래소 해킹 사고가 발생할지 모릅니다. 그렇다면 이용자 입장에서 해킹 피해를 최소화할 방법은 어떤 것이 있을까요? 이번 시간에는 해킹 사고 발생 시 대응 방법과 평소 지켜야 할 보안 수칙에 대해 알아보겠습니다.
해킹 사고 발생 시 ‘공지 확인, 비밀번호·2단계 인증 재설정’
거래소에서 해킹 사고가 발생했을 때는 당황하지 말고, 신속히 대응해야 추가 피해를 막을 수 있습니다.우선 거래소 홈페이지나 공식 채널을 통해 공지사항을 확인합니다. 정확한 사고 규모나 피해 자산 종류, 입출금 서비스 중단 여부, 보상 계획 등을 파악하기 위함입니다. 메신저나 커뮤니티, 단체방 등 비공식 채널의 경우 검증되지 않은 거짓 정보이거나 피싱 메시지일 수도 있으니 반드시 공식 채널을 통해 확인하는 것이 좋습니다.
거래소 계정과 거래소에 연결한 이메일 계정의 비밀번호를 즉시 변경합니다. 가상자산과 함께 이용자 정보도 유출됐을 가능성이 있기 때문입니다. 비밀번호 변경 시에는 대문자, 소문자, 숫자, 특수문자를 조합해 복잡하고 길게 설정하는 것이 좋습니다. 미국 국립표준기술연구소(NIST) 등 주요 보안 기관은 12자리 이상을 권합니다. 생일, 전화번호 등 추측 가능한 정보는 사용하지 말아야 하고, 다른 곳에서 사용한 비밀번호와 다르게 설정해야 합니다. 해커가 한 계정의 접근 권한을 확보한 후 다른 계정에도 접속할 수 있기 때문입니다.
 |
계정 비밀번호를 변경하고 2단계 인증도 다시 설정해야 한다/ 출처=셔터스톡 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
2단계 인증도 다시 설정합니다. 2단계 인증은 일회용 비밀번호(OTP), 인증 앱, 지문 인식 등 추가 인증을 통해 계정을 보호하는 장치입니다. 이 역시 유출됐을 수 있으니 재설정하는 것이 좋습니다. 만약 2단계 인증을 사용하지 않고 있다면 반드시 활성화합니다. 이와 함께 입출금 주소를 새로 발급받아야 합니다. 이전에 사용하던 주소로 입금하면 추가 피해가 발생할 수 있으니, 거래소를 통해 새로운 주소를 발급받는 것이 좋습니다.
거래소 서비스가 재개된 후에는 보유 자산과 최근 거래 내역, 출금 이력을 확인합니다. 자신이 거래하지 않은 내역이 발견되면 즉시 거래소에 신고해 계정을 정지합니다. 이때 화면을 캡처해 두는 것이 좋습니다. 피해 사실 신고와 입증에 활용해야 하기 때문입니다.
추가 피싱 사기 시도도 주의해야 합니다. 해킹 사고 이후 거래소나 금융당국을 사칭한 사기 범죄 시도가 이어질 수 있습니다. 메일이나 메시지도 마찬가지입니다. 거래소는 이메일이나 문자로 비밀번호, OTP 등 개인정보를 요구하지 않는다는 점을 명심하고, 의심스러운 연락을 받으면 공식 고객센터에 직접 확인하는 것이 좋습니다.
 |
평소에도 보안 수칙을 준수해야 한다 / 출처=셔터스톡 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
보안 수칙 생활화, 해킹 피해 줄인다
거래소 해킹 피해를 최소화하기 위해서는 평소에도 보안 수칙을 준수하는 것이 좋습니다. 다소 불편할 수는 있지만 급작스러운 해킹 사고 발생 시 피해를 최소화할 수 있죠.우선 비밀번호는 12자리 이상으로 대문자, 소문자, 숫자, 특수문자를 조합해 설정하고, 정기적으로 변경합니다. 과거에는 3개월 간격으로 변경할 것을 권했지만 요즘에는 변경 주기보다 길이를 더 강조하는 추세입니다. 그래도 정기적으로 바꾸는 것이 좋습니다. 2단계 인증도 생활화해야 합니다.
거래소에는 당장 거래할 소액만 보관하고, 장기 보유 자산은 개인 전자지갑이나 USB메모리 형태의 하드웨어 전자지갑에 보관하는 것이 안전합니다. 거래소 해킹 사고가 발생해도 피해를 줄일 수 있죠. 단 개인 전자지갑의 경우 암호(프라이빗키)를 분실하면 복구할 수 없으니 안전한 곳에 신경 써서 보관해야 합니다.
 |
가상자산사업자 신고 현황은 금융정보분석원 홈페이지에서 확인할 수 있다 / 출처=금융정보분석원 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
금융정보분석원(FIU)에 가상자산사업자(VASP)로 신고한 거래소만 이용합니다. 국내에서 가상자산 관련 사업을 하는 VASP는 가상자산이용자보호법에 따라 반드시 FIU에 신고해야 합니다. 미신고 VASP의 경우 보안 수준이 떨어지고, 이용자에게 사기 등의 피해를 입힐 수 있으니 유의해야 합니다. VASP 신고 현황은 FIU 홈페이지에서 확인할 수 있습니다.
의심스러운 링크나 첨부파일이 포함된 메일이나 메시지는 클릭하지 말고 삭제하는 것이 안전합니다. 최근에는 생성형 AI를 활용해 사용자가 의심 없이 클릭하거나 개인정보를 입력하도록 유도하는 경우도 있습니다. 거래소나 정부 기관을 사칭하기도 합니다. 발신자 이름이나 로고만 언뜻 보고 안심하면 안 됩니다. 이와 함께 보안 소프트웨어나 방화벽을 항상 활성화하고 모든 소프트웨어를 최신 상태로 유지합니다.
 |
거래소 해킹 피해를 줄이려면 보안 수칙 생활화가 필요하다 / 출처=셔터스톡 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
거래소 해킹 시도를 완벽히 차단하는 방법은 없습니다. 해커의 기술력은 날이 갈수록 발전하고 정교해집니다. 하지만 앞서 설명한 복잡하고 긴 비밀번호 및 2단계 인증 설정, 개인 지갑 활용, 의심스러운 메일이나 메시지 삭제 등의 보안 수칙을 생활화하고, 해킹 사고 발생 시 빠르게 대응하면 해킹 피해는 충분히 줄일 수 있습니다. 사소한 것처럼 느껴지고 불편하겠지만, 개인 보안 수칙을 습관화하는 것이 자신의 소중한 자산을 지키는 가장 확실한 방법입니다.
IT동아 한만혁 기자 (mh@itdonga.com)
사용자 중심의 IT 저널 - IT동아 (it.donga.com)
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
