커피 트윗

폰 하이재킹 본문

4차 산업 & 핀테크

폰 하이재킹

커피 트윗 2017. 11. 8. 19:25

브레이브 코인의 사이트 (Bravenewcoin [dot] com)에서 “Crypto wallets remain at risk from phone hacks” 옮겼습니다. 원문은 9 30일에 게재되었습니다. 우리가 어떤 웹 사이트에 로그인을 할 때, 어떤 경우에는 전화로 코드를 받아서 이중 인증을 하기도 합니다: 먼저 아이디를 입력하고, 비밀번호를 입력하고, 그리고 보안을 위해서 한 번 더 전화로 보내져오는 확인 코드를 입력한 후, 그리고 로그인이 되는 경우입니다. 다음의 글은 그런 상황에 대한 글인데, 최근 사용자가 전화로 받는 확인 코드마저 해킹될 수 있다는 소식을 전하고 있습니다.                                                                         

                                                  

이메일 계정에 로그인을 그리고 가상 화폐 계정에 로그인을 , 전화 번호를 이용한 2 인증을 많이 사용합니다: 그런데, 온라인 암호 화폐 월렛으로부터 자금을 빼돌리기 위하여, ‘ 하이재킹 (phone hijacking)’ 역시 점점 많이 사용되고 있습니다. 해커는 전화 번호를 통제하여 문자 (SMS) 사용하는 어떤 2 인증도 손상/노출시킬 있습니다: 따라서, 최근 동안, 가상 화폐 공동체의 회원들을 상대로 전화 해킹이 연이어 일어나 수백만 달러에 이르는 비트코인 다른 코인들이 손실되었습니다 (“a string of phone hacks against members of the virtual money community has hit in recent months – resulting in millions of dollars in lost Bitcoin and other currencies”). 최근의 이러한 공격은, 지난 겨울에 있었던 사건들과 더불어, 암호화 화폐 공동체에서도 이름이 알려진 사람들을 목표로 했습니다: ‘창업 투자가 (venture capitalists)’라든지 혹은 최고 경영자, 그리고 '이름을 밝히지 않은 코인베이스의 임원 (unnamed Coinbase executive)’ 공격의 대상이 되었습니다. 블록체인 캐피털의 공동 창립자인 퍼스 (B. Pierce)씨는 포브스 블록체인 팟캐스트 (Forbes Blockchain podcast)’ 언체인드 (Unchained)’ 위하여 인터뷰하는 동안에, 해킹을 당했습니다. 퍼스씨는 주최인 로라 (Laura Shin)’씨에게 이렇게 말했습니다: “저는 공개적으로 많은 사람들에게 2 인증의 중요성에 대하여 이야기해왔는데, 이제는 정말 우리가 3 인증과 같은 인증 절차 혹은 각각 다른 기기를 사용해야 같습니다. 사람들의 전화 번호를 알아내는 것은 정말 쉽습니다. 그러나, 저는 전화 번호를 이름으로 하지 않았기에 안전하다고 여기며 방심하고 있었습니다”. 그러나, 다른 사람들은 해킹의 피해자가 될까봐, 공개적으로 이야기하기를 꺼려합니다 그래서, 정확히 사고가 얼마나 많이 일어났는지 알기 힘듭니다. 물론 모든 피해자가 금전적인 손실을 입은 것은 아니지만, 가운데에는 천에서 수백만 달러를 잃은 피해자도 있습니다. 이러한 거래는 종종 되돌릴 없는 성격이기 때문에, 피해자들은 그들의 손실 금액을 다시 찾을 방법이 없습니다. 따라서, 이러한 상황은, 코인베이스 (Coinbase) 혹은 다른 종류의 월렛 제공 회사 (wallet providers)’에게 주요한 보안 문제가 됩니다: 이들 회사는 수십억에 달하는 암호화 화폐를 보관하고 있기 때문입니다. 코인베이스 측은 말하기를, 그들 회사가 온라인에 보유하고 있는 모든 디지털 화폐가 보험에 들어있다고 하지만, 그러나 보험은 사용자 개인 계정까지 커버하는 것은 아닙니다: 개인 계정은 각자의 책임이며, 회사측은 말하기를, “강력한 비밀번호를 사용하고, 그들의 로그인 신용정보를 관리하라 (use a strong password and maintain control of their login credentials)” 충고합니다

최근, ‘포지티브 테크놀로지 (Positive Tehnologies)’ 유익한 해커들에 의하여 조사된 바에 따르면, ‘시그널링 시스템 7 (Signaling System No. 7 (SS7))’으로 알려져있는 글로벌 텔레콤 네트워크 (global telecoms network)’  약점을 이용하여, 코인베이스의 계정에 접근하여 있다고 합니다. SS7, 텔레콤 제공 회사에 의하여 사용되는 네트워크인데, (텔레콤 제공회사들이) 정확한 요금 청구 등을 위하여 문자 메시지 (text messages)’ 같은 정보의 흐름을 감시하는 것이라고 합니다. 포지티브 테크놀로지의 연구원들이 일단 특정 월렛에 연결된 이메일 주소를 알아낸 이후, 그들은 SS7 네트워크를 해킹해서, 코인베이스에서 보낸 일회용 문자 인증 코드를 가로챌 있었고 (“they hacked into the SS7 network and intercepted a one-time SMS authorization code sent by Coinbase”), 계정 세팅과 비밀번호를 바꿀 있었습니다. 이렇게 포지티브 테크놀로지에 의하여 확실하게 보여진 하이재킹 (phone hijacking)’ 손쉬움은 글로벌 텔레콤 네트워크의 약점을 부각시켜 주는데, 글로벌 텔레콤 네트워크는 모든 모바일 운영사들이 사용하고 있습니다. 그런데, 이러한 상황을 악화시키는 점은, 이러한 해킹만이 사이버 범죄자들이 다크 웹을 통하여 비합법적으로 그들의 방법을 운용하는 – (사이버 범죄에 이용되는) 유일한 방법이 아니라는 것입니다: SS7 악용하는 방법만이, 암호화 화폐 계정[ 자금을] 훔치는 유일한 방법이 아니라는 것입니다. 8월말에 나온 뉴욕 타임즈 (New York Times) 기사에 따르면, 미국의 해커들은 사용자의 아이디 (identity) 훔쳐서 사용자 본인인 척하고 모바일 서비스에 연락을 취하여 전화 번호를 그들의 통제하에 있는 폰으로 옮기기도 했다고 합니다. 상황이 이러함에도 불구하고, 하이재킹은 줄어들 기색을 보이고 있지 않습니다

연방 거래 위원회 (Federal Trade Commission) 의하면, 미국에서 해킹을 통한 사용자의 아이디를 도난하는 사건은 2016 1월에 이르기까지의 삼년동안 156 퍼센트 증가했습니다. 이러한 사고는 디지털 월렛만 해킹하는 것이 아니라, 기존의 은행 계좌에 대해 불법적으로 접근하고, 또한 랜섬웨어-방식의 공격 (“ransom-ware style”)으로 중요한 정보를 차단시키기도 했습니다. 그리고, 해킹은 최신 기술에서만 일어나는 것이 아닙니다: 실제로, 고객 서비스 분야에서, 만약 전화를 사람이 본인일 같은느낌만 충분히 준다면, 고객 서비스 분야는 보안 프로토콜을 무시하며, 특정인의 본인인증/아이디를 전화로 확인해주는데, 이것 역시 잠재적인 위험입니다. 지금까지, 이러한 사기 (scams) 미국에서 모든 주요 모바일 운영사에서 일어났습니다 버라이즌, 티모블, 스프린트 그리고 AT&T 등을 포함해서 말입니다. 보안 전문가들은 말하기를, 암호화 화폐 소유자들이 이러한 해킹의 위험성을 감소시킬 방안은 다음과 같다고 합니다: 첫째, 정보를 알리지 말아야 합니다. 예를 들어, 페이스북이나 트위터에서 암호화 화폐에 대하여 공개적으로 이야기하면, 해커들의 쉬운 목표가 됩니다 / 둘째, 당신의 온라인 아이디에 대하여 신원 정보를 살펴보고, 주소 (이메일 주소와 실제 주소), 전화 번호 그리고 생일 등의 정보를 소셜 미디어에서 없앱니다; 이러한 기본적인 신원 정보를 회사나 신용 카드 회사 그리고 은행에서 흔히 물어보기 때문입니다 / 셋째, 인증 방식으로 시간에 기반을 일회용 비밀번호 알고리듬 (Time-based One-time Password Algorithm (TOTP))” 사용합니다. 방법 역시 2 인증이지만, 전화로 받는 문자 메시지 (SMS) 하는 2 인증보다 안전합니다. 전화는 쉽게 해킹될 있지만, 이러한 TOTP 방식은 특정한 기기에 묶여서 작동합니다 / 네번째, 거래 지연을 설치합니다. 예를 들어, 코인베이스는 사용자들로 하여금 볼트-출금 (vault-withdrawals)’에서 돈을 놔두도록 허용하는데, 거래 이후 48 시간까지는 취소시킬 있습니다 / 다섯번째, 상황에 민감하게 반응하고, 만약 예기치 않게 당신의 계좌의 비밀번호 변경 등의 확인이 오면, 즉시 대응해야 합니다 / 여섯번째, 오프라인에서 관리하는 (예를 들어) 레저 나노 S (Ledger Nano S) 등의 하드웨어 솔루션을 고려해 보십시오: 이러한 하드웨어 지갑은 거래를 하기 전에 (PIN) 입력해야 합니다 / 일곱번째, 당신이 거래하는 어떤 거래소에서든 계좌를 재빨리 동결하는 절차를 알아두시기 바랍니다.    


***                                      

11월 7일 하루의 가격 지수에 따라 코인텔레그래프가 알려주는 코인의 시세입니다: 모든 가격은 미국 달러 (USD)로 표시됩니다. 비트코인은 7,169.71 달러 ($7,169.71), 이더리움은 298.32 달러 ($298.32), 그리고 비트코인 캐시는 603.73 달러 ($603.73)였습니다.                              

                                    

11월 7일 크라켄 거래소의 데일리 마켓 리포트입니다. 라이트코인과 스텔라 루멘스가 상승하고, 이클과 이코노미는 하락했습니다. 그 외, 변동폭이 거의 없는 코인들도 있습니다. 라이트코인은 15.2 퍼센트 상승하여 63.07 미국 달러 (US$63.07), 그리고 스텔라 루멘스 (XLM)는 14.1 퍼센트 상승했습니다. 이클 (ETC)은 6.27 퍼센트 하락했고, 이코노미 (ICN) 역시 9.16 퍼센트 하락했습니다.                             

                                     

8일 한국 시간 저녁 7시 (GMT+9), 코인스탯에 따른 비트코인의 가격은 7,373.60 미국 달러 (US$7,373.60)였습니다.