암호화폐 해킹

암호화폐 해킹(cryptocurrency hacking)이란 블록체인 및 암호화폐 시스템의 보안 취약점을 찾아내어 해킹하는 것을 말한다. 암호화폐 거래소를 해킹하거나, 혹은 51% 공격 등 블록체인 자체의 취약점을 노린 해킹이 있다. 블록체인은 기술적으로 복잡하고 시스템도 분산되어 있어 보안성을 100% 보장하기 어려운 면이 있다. 블록체인의 특성에 맞는 51% 공격과 같은 해킹도 있고 기존의 해킹 기술을 활용한 공격도 가능하다.

개요[편집]

암호화폐 해킹은 모양, 크기가 모두 제각각이다. 암호화폐 해킹은 대부분 사용자 권한 획득을 통해 이뤄진다. 사용자 권한 획득이란 사용자가 갖고 있는 개인 키를 불법적(정당하지 않은 방법을 포함)으로 확보하는 것이다. 사용자 권한을 획득함으로써 해커는 비트코인을 원하는 곳으로 보내거나 불특정 사용자에게도 보낼 수 있다. 일부 엘리트 해커들은 암호화폐 지갑 또는 거래소를 해킹하여 특정 계좌에서 돈을 인출하여 다른 계좌로 보내는 방법도 있다. 블록체인의 안전성은 이론적으로 검증되었지만, 실제 구현된 암호화폐와 블록체인은 해킹에 취약했다. 그 때문에 블록체인을 기반으로 다양한 실생활의 발전적 서비스 모델이 만들어지고 정착되기 위해서는, 서비스 제공자의 보안 인식 강화와 설계단계부터 보안성 확보를 위한 노력이 반드시 중요하며, 이를 객관적으로 검증할 수 있는 제도적 개선이 필요하다.^[1]

역사[편집]

아래 표는 2011년 6월부터 2019년 4월까지 모든 비트코인 사기 및 불법 행위에 관하여 가장 오래된 것부터 가장 최근 것까지 사건이다.


날짜	사건	사기 유형	훔친 암호화폐	피해 금액	피해 단체 / 피해자
2011/06/13	Allinvain Bitcointalk	해킹 / 절도	25.000 BTC	$ 500K	-
2011/06/13	Mt. Gox Auditor	절도 / 퇴출 사기	2,000 BTC	$ 30k	Mt. Gox
2011/08/01	Bitomart Exchange	지갑, 파일 삭제됨 / 자금 잠금	17,000 BTC	$ 220K	Bitomart
2011/08/08	MyBitcoin Exchange	해킹 / 절도	154.406 BTC	$ 2,000K	MyBitcoin
2011/10/05	Bitcoin7 Exchange	해킹 / 절도	5,000 BTC	$ 50K	Bitcoin7
2012/03/02	Linode	웹 호스트 클라우드 서버 해킹 / 도용	46,703 BTC	$ 228K	Bitcoinica
2012/05/06	Bitcoinica	핫 월렛 해킹 / 도용	18,548 BTC	$ 90K	Bitcoinica
2012/07/02	Bitcoin Savings and Trust Ponzi Scheme	절도 / 퇴출 사기	150,000 BTC	-	Bitcoin Savings and Trust
2012/09/04	Bitfloor Exchange	해킹 / 절도	24,000 BTC	$ 240K	Bitfloor
2012/11/16	2012 Trojan Wallet	트로이 월렛 해킹 / 도용	3,457 BTC	-	개인(Individual)
2013/01/11	Vircurex Exchange	해킹 / 절도	1,666 BTC	$ 50,000K	Vircurex
2013/02/14	BitMarket.eu	절도 / 퇴출 사기	18,787 BTC	$ 400K	Bitmarket
2013/03/10	BTCGuild Mining Pool	해킹 / 절도	1,254 BTC	$ 58K	BTCGuild
2013/03/28	Bitcoin Rain	절도 / 퇴출 사기	2,150 BTC	-	-
2013/07/15	Just Dice	사건 / 해킹 / 절도	1,300	$ 121K	Just Dice
2013/08/27	Bitfunder and WeExchange	해킹 / 절도	6,000 BTC	$ 560K	Bitfunder
2013/10/01	Canada Bitcoins	사회 공학 절도 / 퇴출 사기	149 BTC	$ 100K	Canada Bitcoins
2013/10/23	Input.io	지갑 해킹 / 절도	4,100 BTC	$ 1,300K	Tradefortress
2013/10/26	GBL Exchange	절도 / 퇴출 사기	9,640 BTC	$ 4,100k	GBL
2013/11/19	BIPS	결제 서비스 해킹 / 절도	1,295 BTC	$ 1,000	BIPS
2013/11/21	Sheep Marketplace	절도 / 퇴출 사기	5,400 BTC	-	Sheep Marketplace
2013/11/29	Picostocks	콜드 월렛 해킹 / 절도	5,875 BTC	$ 6,000K	Picostocks
2014/02/07	Mt. Gox	중요 거래 해킹(Halts Trade Over Major Hack)	650,000 BTC	$ 30,000,000K
2014/03/04	Poloniex	인출 해킹(Withdrawal Hack) / 절도	97 BTC	$ 1K	Poloniex
2014/03/04	Flexcoin	핫 월렛 해킹 / 도용	896 BTC	$ 50,000K	Flexcoin
2014/03/09	PonziCoin	절도 / 퇴출 사기	10 BTC	-	PonziCoin
2014/03/11	CryptoRush	해킹 / 절도	950 BTC	$ 800K	CryptoRush
2014/05/15	Cryptsy Exchange	해킹 / 절도	13,000 BTC / LTC	$ 9,580K	Cryptsy
2014/10/08	Mintpal Exchange	절도 / 퇴출 사기	3,894 BTC	$ 1,300K	Mintpal
2015/01/04	Bitstamp	핫 월렛 해킹 / 도용	19,000 BTC	$ 5,000K	Vircurex
2015/01/28	796 Exchange	해킹 / 절도	1,000 BTC	$ 230K	Vircurex
2015/02/09	MyCoin Exchange	절도 / 퇴출 사기 / 파산	-	$ 8,000K	Vircurex
2015/02/15	BTER	콜드 월렛 해킹 / 절도	7,170 BTC	$ 1,750K	Vircurex
2015/02/19	Kipcoin Exchange	해킹 / 절도	3,000 BTC	$ 690K	Vircurex
2015/03/18	Evolution Marketplace	절도 / 퇴출 사기	43,000 BTC	$ 1,200K	Vircurex
2015/05/22	Bitfinex Hot Wallet	해킹 / 절도	1,400 BTC	$ 400K	Vircurex
2015/09/17	Bitpay	사회 공학 절도 / 퇴출 사기	5,000 BTC	$ 1,800K	Vircurex
2016/04/07	Shapeshift Exchange	해킹 / 절도	469 BTC	$ 200K	Shapeshift
2016/05/13	Gatecoin	해킹 / 절도	250 BTC	$ 2,500K	Gatecoin
2016/06/17	DAO	해킹 / 절도	360,000 BTC	$ 90,000K	DAO
2016/08/02	Bitfinex	보안 침해 해킹 / 절도	120,000 BTC	$ 72,000K	Bitfinex
2016/10/14	Bitcurex Exchanges	해킹 / 절도	2,300 BTC	$ 50,000K	Bitcurex
2017/02/17	ZCash Glitch	해킹 / 절도	370,000 ZCash	$ 585K	ZCash
2017/02/24	Coinhoarder	피싱 / 절도 / 퇴출 사기	BTC	$ 1,800K	Coinhoarder
2017/04/24	Asian-European Currency Ponzi Scam	절도 / 퇴출 사기	-	$ 680K	Asian-European Currency
2017/04/26	Yapizon Exchange	해킹 / 절도	3,831 BTC	$ 7,600K	Yapizon
2017/05/17	eBitz	절도 / 퇴출 사기	388 BTC	$ 2,900K	eBitz
2017/06/02	QuadrigaCX	계약 오류 / 자금 잠금	ETC	$ 60,000K	QuadrigaCX
2017/06/26	VERI ICO	해킹 / 절도	ETC	$ 8,000K	Veritaseum
2017/06/29	Bitthumb	해킹 / 개인 정보 유출 / 절도	XRP	$ 31,000K	Bitthumb
2017/06/29	ClassicEtherWallet	DNS 해킹 / 절도	1,001 ETC	-	ClassicEtherWallet
2017/07/04	AlphaBay	절도 / 퇴출 사기	BTC	$ 4,000K	AlphaBay
2017/07/18	CoinDash ICO	크립토재킹 / 절도 / 퇴출 사기	35,000 ETC	$ 7,000K	Coindash
2017/07/19	Parity	지갑 파기 / 해킹 / 도용	153,000 ETC	$ 7,000k	Parity
2017/07/25	BTC-e	강제 종료 / 절도 / 퇴출 사기	66,000 BTC	$K	BTC-e
2017/08/21	Enigma	절도 / ICO 계정 사기	1,500 ETC	$ 500K	Enigma
2017/11/06	Parity Frozen	지갑 버그 / 자금 잠금	513,774 ETC	-	Parity
2017/11/21	Tether Critical Announcement	해킹 / 절도	3,000,000 USDT	$ 30,000K	Tether
2017/11/26	Bitcoin Gold	지갑 저장소 해킹 / 도용	BTC Gold	$ 3,300K	Bitcoin Gold
2017/12/06	NiceHash Exchange	해킹 / 절도	4,700 BTC	$ 60,000K	NiceHash
2017/12/19	Youbit Exchange	해킹 / 파산	-	-	Youbit
2017/12/25	RegalCoin	절도 / 퇴출 사기 / 폰지 강제 종료	BTC	-	Regal Coin
2018/01/07	ATT	심 재킹(Sim Jacking) / 절도	-	$ 23,800K	-
2018/01/14	BlackWallet	해킹 / 절도	670,000 XLM	$ 400K	BlackWallet
2018/01/16	Bitconnect	절도 / 강제 종료 / 퇴출 사기	BTC	-	BitConnect
2018/01/23	Benebit	절도 / 퇴출 사기	BTC	$ 2,700K	Benebit
2018/01/26	Coincheck Exchange	해킹 / 절도	500,000,000 NEM	$ 400,000K	Coincheck
2018/01/29	Experty	절도 / ICO 사기	ETC	$ 150K	Experty
2018/02/01	Bee Token	절도 / ICO 사기	890 ETC	$ 920K	Bee Token
2018/02/04	Seele ICO Insider Hack	절도 / 퇴출 사기	2,162 ETC	$ 1,800K	Seele
2018/02/11	Bitgrail NANO	해킹 / 절도	17,000,000 NANO	$ 120,000K	Bitgrail
2018/03/01	BTC Global	절도 / 퇴출 사기 / 폰지	BTC	$ 50,000K	BTC Global
2018/04/08	GainBitcon India	절도 / 퇴출 사기 / 폰지	BTC	$ 300,000K	GainBitcoin
2018/04/10	Sailesh Bhatt alleged extortion	절도 / 강탈	200 BTC	$ 1,300K	-
2018/04/12	iFan	절도 / 퇴출 사기 / 폰지	BTC	$ 650,000K	iFan
2018/04/13	Coinsecure Exchange	해킹 / 절도	438 BTC	$ 3,300K	Coinsecure
2018/04/24	MyEtherWallet	DNS 해킹 / 절도	215 ETC	$ 152K	MyEtherWallet
2018/05/23	Taylor Crypto Trading	ICO 해킹 / 절도	2,578 ETC	$ 1,500K	Taylor Crypto Trading
2018/06/05	Syndicate Wallet	ICO 해킹 / 절도	ETC	$ 10,000K	Syndicate ICO
2018/06/10	Coinrail Exchange	해킹 / 절도	1,927 ETC	$ 40,000K	Coinrail
2018/07/09	Bancor	해킹 / 절도	24,984 ETC	$23,500K	Bancor
2018/07/26	KICKICO	해킹 / 절도 / 보안 침해	70,000,000 KICK	$ 7,700K	KICK
2018/09/05	OneCoin	절도 / 퇴출 사기 / 폰지	BTC	$ 400,000K	OneCoin
2018/09/20	Zaif Exchange	해킹 / 절도	5,966 BTC	$ 60,000K	Zaif
2018/10/08	SpankChain	ICO 해킹 / 절도	165 ETC	$ 40K	SpankChain
2018/10/15	William Kopko	절도 / 강탈 / 랜섬	-	-	-
2018/10/25	Australia XRP	해킹 / 절도	100,000 XRP	$ 450K	개인(Individual)
2018/10/28	MapleChange Exchange	절도 / 퇴출 사기	913 BTC	$ 6,000K	MapleChange
2018/10/29	Oyster Protocol CEO	절도 / 퇴출 사기	Oyster	$ 300K	Oyster Protocol
2018/11/07	DragonCoin	절도 / 퇴출 사기	BTC	$ 2,400K	개인(Individual)
2018/11/13	PureBit	절도 / 퇴출 사기	13,000 ETC	$ 2,800K	PureBit
2018/11/21	Nicholas Truglia	심(SIM) 바꾸기 해킹 / 절도	BTC	$ 1,000K	개인(Individual)
2018/11/26	Bulgaria Police Charge 3 With Crypto Hack	해킹 / 절도	BTC	$ 5,000K	개인(Individual)
2018/12/26	Exmo CEO pays ransom	절도 / 강탈 / 랜섬	BTC	$ 1,000K	Exmo
2018/12/27	Electroneum	지갑 해킹 / 절도	250 BTC	$ 800K	Electroneum
2019/01/07	ETC 51% Gate.io	51% 공격 / 절도	40,000 ETC	$ 272K	Gate.io
2019/01/15	Cryptopia Exchange	ERC20 해킹 / 절도	ETC	$ 16,000K	Cryptopia
2019/01/26	LocalBitcoins	해킹 / 절도	8 BTC	$ 28K	LocalBitcoins
2019/02/01	Joel Ortiz	심(SIM) 바꾸기 해킹 / 절도	BTC	$ 5,000K	개인(Individual)
2019/02/05	QuadrigaCX	절도 / 퇴출 사기 / 파산	BTC / ETC	$ 145,000K	QuadrigaCX

해킹의 종류[편집]

DNS 해킹[편집]

DNS 해킹을 통해 해커는 웹사이트의 서버 정보를 제어하여 사용자를 원래 사이트 대신 악의적인 웹사이트로 보낸다. 해커는 가짜 사이트를 원래 사이트와 비슷하게 꾸며 사용자들이 로그인하게 유도하여 사용자의 ID 와 비밀번호를 훔친다.

심 재킹(SIM Jacking) 및 크립토재킹(Cryptojacking)[편집]

새로운 유형의 암호 도용으로 누군가의 전화번호를 도용한 다음 해당 전화번호를 사용하여 다른 사람의 온라인 계정에 액세스하는 것을 말한다. 이렇게 하려면 해커가 AT&T와 같은 이동 통신사에 연락하여 통신사 지원 팀에게 피해자 전화번호를 새 SIM 카드로 전환하도록 요청하여 해커가 새 SIM 카드를 제어한다. 예를 들어 해커는 피해자의 전화기가 도용당했다고 주장하며 새 전화기로 전화번호를 전송해야 한다고 말한다. 통신사 지원팀이 빠지면, 해커는 두 가지 요소 인증 및 전화 기반 인증 시스템을 거치지 않고 피해자의 암호 계정에 접근 할 수 있도록 하여 피해자의 전화번호를 완전히 통제하게 된다.

암호화폐 지갑 해킹[편집]

오늘날 인기 있는 암호 지갑은 소프트웨어와 하드웨어 지갑 등 수십 개가 있다. 하지만 소프트웨어 및 하드웨어는 취약점이 있기 마련이다. 해커들은 보안에 취약한 소프트웨어와 하드웨어를 찾아 공략한다.

51% 공격[편집]

블록체인은 사용자 네트워크에 의해 보호된다. 이 사용자 네트워크는 중앙집권적 권한 없이 블록체인상의 거래를 검증한다. 대다수의 사용자(51%)가 특정 변경이나 추가에 동의하면, 그 변경이나 추가는 블록체인에 적용된다. 이 시스템은 51% 이상의 사용자들이 악의적으로 사용하면 파괴된다. 즉, 51% 공격이란 악의적인 공격자가 전체 네트워크의 50%를 초과하는 막강한 해시 연산 능력을 보유하고, 다른 정직한 노드들보다 더 빠른 속도로 신규 블록을 생성하여 네트워크에 전파함으로써, 다른 노드들이 정상적인 데이터가 아니라 위변조된 데이터가 포함된 블록체인을 채택하도록 만드는 해킹 공격이다.

악성 모바일 앱[편집]

간혹 해커가 모바일 앱을 만들어 구글 플레이 스토어 또는 iOS 앱 스토어에 게시하는 경우가 있다. 보통 그 앱은 암호와 관련이 없다. 예를 들면 계산기 앱이나 스톱워치 앱일 수 있다. 하지만 이 앱은 개인 키, 암호 앱, 기타 암호 관련 정보를 검색하는 등 숨겨진 기능이 있다. 구글과 애플이 앱의 문제를 확인할 때쯤이면 이미 늦어, 사용자들은 피해를 볼 것이다.

ICO 및 거래 사이트 해킹[편집]

때에 따라 ICO 웹사이트가 해킹되어 ICO의 주소가 변경될 수 있다. 예를 들면 ICO 자금이 하나의 주소로 보내지는 대신 해커는 가짜 지갑 주소를 게시하여 사용자가 합법적인 ICO 팀 대신 해커가 관리하는 지갑에 자금을 보내게 한다. ICO 팀이 문제를 발견할 때까지 해커는 엄청난 양의 자금을 빼앗는다. 2018년 가장 유명한 ICO 사기 중 하나는 DJ Khaled와 같은 유명인이 홍보 한 것이다. Centra Tech는 다른 사기성 활동 중에서도 투자자를 오도하고 자사 제품에 대해 거짓말을 한 것으로 추정됨에 따라 3,200만 달러를 모금했습니다. Bitcoin Savings and Trust는 ICO 사기와 폰지 사기을 결합하여 2017년에 비슷한 사기로 4,070만 달러를 모금했다. 빨리 부자가 되기를 원하는 투자자들이 있는 한 이와 같은 사기는 계속 생길 것이다.

공용 와이파이 해킹[편집]

공용 와이파이를 통해 금융 거래를 하는 것은 좋지 않은 방법이다. 해커들은 공용 와이파이를 통해 크랙(Key Reinstallation AttaCK)과 같은 전략을 사용하여 중계소 역할을 한다. 실제로 해커는 송수신된 정보를 훔치기 위해 고안된 다른 네트워크를 대체한다.

사이트 복제 및 피싱 공격[편집]

해커들은 웹사이트를 복제하여 실제 사이트처럼 보이게 한다. 피해자에게 가짜 웹사이트의 URL을 이메일로 보내 사용자의 ID 와 비밀번호를 입력하도록 유도한다. 일반적으로 사용자들은 웹사이트가 가짜인지 인식을 못 해 피해를 보는 경우가 많다.

멀웨어 사기[편집]

멀웨어는 문자 그대로 인터넷만큼 오래되었다. 그리고 비트코인과 암호화폐로 인하여 멀웨어 사기가 더욱 확산되었다. 멀웨어 사기는 매우 정교하다. 한 가지 유형으로 예를 들어 암호화폐 클립보드 하이재커(Cryptocurrency Clipboard Hijackers)가 있다. 암호화폐를 송금할 때 긴 암호화폐 본인의 지갑 주소를 외우고 다니는 사람은 거의 없다. 암호화폐를 전송하기 위해서는 여전히 30개 이상의 문자와 숫자가 조합된 전자지갑 주소로 송금해야 한다. 이 때문에 많은 사용자들은 이 주소를 직접 입력하지 않고 윈도우 메모장 등 프로그램의 메모리에 저장해둔 뒤 필요할 때마다 복사해서 붙여넣는 방식으로 이용한다. 암호화폐 사용자라면 클립보드에 지갑 주소가 저장된다. 대부분 사람들은 거래 시 복사해서 붙여넣기로 주소를 넣는다. 클립보드 하이재커는 이 점을 노려 송금하려는 과정에서 전자 지갑 주소를 복사, 붙여넣기 하는 과정에서 프로그램이 작동해 전자 지갑 주소를 가로챈다. 해커들은 이를 통해 사용자들의 클립보드를 장악한 뒤, 사용자들이 클립보드로 비트코인 주소를 복사해 수신 주소란에 붙여넣기 할 때 입력 주소가 해커가 원하는 비트코인 주소로 바뀌게 하는 수법을 사용한다.^[2] 이때 사용자들은 그 주소로 돈을 보내게 되어 피해를 본다.

가짜 또는 사기 비트코인 교환[편집]

가짜 또는 사기성 웹사이트는 실제 비트코인 교환이라고 되어 있다. 사기꾼이 BitKRX라는 이름의 한국 거래소를 만들었을 때 2017년 유명한 예시가 있었다. 이 거래소는 비트코인을 교환하고 거래하기 좋은 곳이라고 주장했다. 또 코스닥(KOSDAQ), 한국 거래소, 한국 증권 거래소 등 국내 주요 금융기관에 소속되어 있다고 주장했다. 하지만 이는 모두 거짓이었고, 사기꾼들은 알려지지 않은 고객의 자금을 가지고 자취를 감췄다.

폰지(Ponzi) 사기[편집]

폰지 사기는 쉽게 말하면 다단계 금융 사기이다. 이것은 투자가 쉽고 빠른 지급을 약속하여 투자자들을 유혹한다. 이러한 사기의 대부분은 불가능한 투자자본수익률(ROI)를 약속하는 고수익 투자 프로그램(HYIP)이다. 다른 폰지 사기는 자신을 2017년 유명해진 악명 높은 비트 커넥트 코인(BCC)처럼 합법적인 사업이라고 표현한다. 다른 폰지 사기는 비트코인 채굴을 포함한다. 여기에서 비트코인을 Crypto Mining Hash rate와 교환하여 웹사이트에 보낸다. 실제로는 채굴을 통해 돈을 버는 것이 아니라, 다른 사람들에게 그 계획에 대해 언급함으로써 돈을 버는 것이다. 그 계획이 붕괴될 때 까지 계속 발전한다. 진짜 채굴은 일어나지 않고, 원조 사기꾼들은 결국 자금을 차단하고, 모든 사람들의 자금을 훔친다.

펌프앤덤프 사기[편집]

펌프앤덤프라는 어원에서 보듯 ‘펌프(pump)’질 하는 것처럼 자신이 산 암호화폐 가격을 부풀린 뒤, 허위정보를 믿고 암호화폐를 사들인 개인 투자자들에게 팔아 ‘떠넘기는(dump)’ 방식을 의미한다.^[3] 사기꾼 그룹은 텔레그램과 같은 플랫폼에서 코인을 대량으로 구매하여 인위적으로 가격을 인상 시킨다. 그리고 나서 그들은 암호화된 커뮤니티와 코인에 대해 과장된 광고를 하여, 소셜 미디어에 구매 신호 및 기타 지표들을 뿌린다. 그러고 나서 코인의 가격이 상승하여 가격이 최고점에 도달하면 판매한다. 코인의 가치는 사기꾼의 덤프로 급락하며 펌프 중에 동전을 구입한 사람은 돈을 잃는다. 그 때문에 소문을 듣고 돈을 투자한 사람들은 사기꾼들의 조작에 의해 돈을 잃게 된다.

소셜 미디어 공짜 사기[편집]

2017년부터 온라인에서 무료로 암호화폐를 나눠주겠다고 말하는 가짜 소셜 미디어 계정이 급증하고 있다. 보통 이러한 계정들은 일론 머스크(Elon Musk)와 같은 유명한 사회 인사나 비탈릭 부테린(Vitalik Buterin)처럼 눈에 띄는 인물을 사칭한다. 위조된 소셜 미디어 계정은 "이 주소로 0.25ETH를 보내는 사람에게 10ETH를 나눠준다"는 일론 머스크나 비탈릭 부테린의 실제 트윗에 답장을 보낼 것이다. 놀랍게도 뻔한 사기 수법으로 보이지만 여전히 사람들은 이 사기 수법에 속아 넘어간다.

위조 포크 사기[편집]

포크란 개발자들이 하나의 소프트웨어 소스코드를 통째로 복사하여 독립적인 새로운 소프트웨어를 개발하는 것을 말한다. 예로 비트코인은 BTC와 BCH로 나뉘어 졌고, 이더리움은 ETH와 ETC로 나뉘어 졌다. 하드포크 후에 사람들이 새로운 토큰을 어떻게 요구할 수 있는지에 대해 혼란이 종종 있다. 그때를 해커가 노린다. 그들은 사용자가 개인 키를 악의적인 주소로 업로드함으로써 자신의 포크 코인을 검색 할 수 있다고 하면서 온라인 위조 지시서를 게시한다.

클라우드 마이닝 사기[편집]

클라우드 마이닝 사기는 아무 장비 없이 손쉽게 비트코인을 채굴하고 싶어 하는 사람들이 당하기 쉬운 사기 수법이다. 클라우드 채굴 사기는 매달 돈을 지불하는 대가로 손쉬운 이익을 약속한다. 예를 들어, 특정 양의 해시 레이트에 대해 매달 1,000달러를 지불하고, 웹사이트는 매달 피해자의 비트코인 지갑에 채굴 수익을 보내겠다고 말한다. 하지만 이 웹사이트는 피해자의 초기 투자금을 절대 갚지 않으며, 모든 것이 무너질 때까지 폰지 사기처럼 운영된다.

해킹 대처 방법[편집]

DNS 해킹 : DNS 해킹을 피하려면 로그인 정보를 입력하기 전에 웹사이트의 SSL 인증서를 꼭 확인하여야 한다. URL이 합법적인 것으로 보일 수 있으나 주소 표시 줄에 SSL 인증서 또는 확인 기호가 표시되지 않으면 그 웹사이트는 위험할 수 있다.

심재킹 및 크립토재킹 : 심재킹 및 크립토재킹을 방지하기 위해서는 전화 기반 인증을 사용하는 대신 Google Authenticator같은 앱 기반 인증 시스템을 사용하는 것이 좋다. 전화기를 제어하는 모든 인증 요청을 수락하거나 거절할 수 있다. 이러한 앱 기반 인증 시스템은 전화번호에 의존하지 않는다.

암호화폐 지갑 해킹 : 암호화폐 지갑 해킹을 피하려면 널리 사용되는 소프트웨어와 하드웨어 지갑을 사용하고, 최신 보안 패치로 소프트웨어 지갑을 자주 업데이트하는 것이 좋다.

51% 공격 : 해커가 51% 공격에 성공하려면, 해당 블록체인 네트워크에 참여한 다른 모든 노드들의 해시 연산 능력을 합친 것보다 더 큰 해시 파워를 보유해야 한다. 블록체인 네트워크에 참여자 수가 늘어남에 따라 50% 이상의 해시 파워를 확보하는 것이 매우 어렵기 때문에, 51% 공격은 사실상 불가능해진다. 따라서 작은 블록체인 네트워크를 피하고 비트코인이나 이더리움같이 큰 블록체인을 이용한다면 51% 공격에 피해를 보지 않을 것이다. 왜냐하면 전 세계에서 이러한 공격을 시작하기 위한 충분한 성능을 가진 컴퓨터가 없기 때문이다.

악성 모바일 앱 : 악성 모바일 앱에 당하지 않으려면 비공식적인 방법으로 애플리케이션을 다운받는 방법을 피하며, 공식적인 커뮤니티에서 인증된 개발자에 의해 만들어진 애플리케이션을 사용하는 것이 좋다.

ICO 및 거래 사이트 해킹 : ICO 및 거래 사이트 해킹을 피하려면 해당 주소로 돈을 보내기 전에 지갑이 합법적인지 확인을 해야 한다. 지갑 주소가 ICO 웹사이트 및 공식 소셜 미디어에 게시되어 있는지 확인한다.

공용 와이파이 해킹 : 공용 와이파이 해킹을 피하는 방법은 공용 와이파이에서 암호 관련 거래를 안 하는 것이다.

사이트 복제 및 피싱 공격 : 사이트 복제 및 피싱 공격을 피하려면 온라인에서 정보를 입력하기 전에 HTTPS를 확인해야 한다. 합법적인 거래를 위해선 URL과 SSL 인증서를 재확인 해야 한다.

멀웨어 사기 : 암호화 멀웨어를 확인하고 피하려면 모든 소프트웨어를 다운로드하기 전에 출처를 확인해야 한다. 모든 다운로드가 입증된 평판이 좋은 게시자인지 확인하는 것이 좋다. 또, 잘 알려지지 않은 웹사이트에서 다운로드하는 것은 피하는 것이 좋다. 많은 암호 멀웨어 프로그램은 무료 영화 다운로드 나 무료 프리미엄 소프트웨어같이 관련이 없는 파일로 가장한다는 것을 기억해야 한다.

가짜 또는 사기 비트코인 교환 : 가짜 또는 사기 비트코인 교환을 식별하고 피하려면 한국, 일본, 미국과 같은 암호화 교환 규정이 설정된 국가를 기반으로 규제 대상 거래소를 선택하는 것이다. 세계 최대의 거래소가 영원히 안전하다고 보장할 수는 없다. 마운트곡스(Mt. Gox) 사건 같은 사례는 언제든지 일어날 수 있어 조심해야 한다.

폰지사기 : 폰지 사기를 확인하고 피하기 위해선 특히 암호화 기능이 포함된 경우 누군가 보장된 수익, 높은 ROI, 손쉬운 이익 등을 온라인에서 권유할 때마다 의심해야 한다.

펌프앤덤프 사기 : 펌프앤덤프 사기를 피하는 방법은 레딧(Reddit)이나 트위터(Twitter) 같은 필터 되지 않은 커뮤니티에서 FOMO(Fear of missing out) 같은 단어를 사용하여 투자 하게 만드는 허위 과장 광고에 속아 넘어가지 않는 것이다.

소셜 미디어 공짜 사기 : 소셜 미디어 사기를 확인하고 피하는 것은 간단하다. 누구도 온라인상에서 무료로 돈을 주는 사람은 없다. 그 때문에 온라인으로 임의의 암호 주소로 돈을 보내지 않으면 된다.

위조 포크 사기 : 위조 포크 사기를 당하지 않으려면 거래소에서 공식적으로 포크 버전을 지원할 때까지 포크 후에 개인 키를 잡는다. 그 후에 코인을 팔고 싶을 때 그 거래소에 보내면 된다.

클라우드 마이닝 사기 : 클라우드 마이닝을 통해 실질적인 이득을 취하는 것은 사실상 불가능하다. 몇몇 합법적인 공급자들이 있지만, 대부분의 클라우드 마이닝 서비스는 사기이기 때문에 확실한 것이 아니면 피하는 것이 좋다.

위험을 줄이는 방법[편집]

암호화폐 사기를 어떻게 식별하고 피하는지, 일부 거래의 사용자처럼 자신의 희생되는 것을 어떻게 막는지, 암호화폐 거래 사기를 피하고자 주의해야 할 사항이 있다.

제한된 투명성

거래소는 어떻게 제작되었는지, 기반은 어디인지, 교환원에게 어떻게 연락해야 되는지 사기 거래는 운영 측면에서 투명성이 제한적이다. 만약 거래소에서 운영의 어떤 측면도 밝히기를 거부한다면, 당신은 돈을 맡기는 것에 대해 고려해 볼 필요가 있다.

익명으로 된 구성원 및 관리자

암호화폐 거래팀, 매니저, 임원 및 회사와 관련된 다른 사람들에 대한 정보를 밝히기를 거부하면, 그 회사는 범죄와 관련돼있을 확률이 높다.

제한된 은행 파트너쉽 정보

은행 업무 제휴는 암호거래에 있어 까다로울 수 있다. 합법적인 암호거래조차도 은행 파트너를 찾는데 어려움을 겪을 수 있다. 기존의 은행은 암호와 아무런 관련이 없다. 즉, 암호 거래가 종종 의심스러운 은행 규정을 가진 나라로부터 운영되는 지저분한 은행을 사용하도록 강요된다는 것을 의미한다.

커뮤니케이션 부족 및 연락 옵션 부족

잘못된 암호화 교환에는 통신 및 연락처 옵션이 제한될 수 있다. 예를 들어, 온라인 지원 제출 양식이 있을 수 있고 다른 것은 없을 수 있다. 거래소가 투명한 접촉 방법의 공개를 거부할 때에는 의심해 볼 여지가 있다.

복사된 프로젝트 정보 또는 백서

일부 거래소는 백서 또는 사업 계획을 온라인으로 게시한다. 그러나 지저분한 거래를 통해 이러한 백서는 종종 합법적인 거래소의 웹사이트에서 직접 복사되거나 추출된다.

긴 유지 보수 중단 시간

대부분의 사기 거래소는 하룻밤 사이에 문을 닫지 않는다. 대부분의 거래소는 사용자들이 외환보유액으로 운영되는 것을 막기 위해서 서서히 기능성을 상실한다. 예를 들어 인출이 일시적으로 중지되었다고 주장 할 수 있다. 실제로 긴 유지 보수 중단 시간이 길면 퇴출 사기의 초기 징후가 될 수 있다. 만약 암호 거래가 설명되지 않는 이유로 중단된다면 향후 문제의 징후가 될 수 있다.

대표적인 사례[편집]

마운트곡스(Mt. Gox) 사건

2014년 2월 7일 마운트곡스는 해킹을 당해 85만 개의 비트코인을 도난당하는 사건이 발생했다. 이로 인해 마운트곡스 사이트는 폐쇄되고, 회사는 파산을 선언했으며, CEO인 마크 카펠레스는 체포되었다. 마운트곡스 해킹 사건을 계기로 암호화폐가 해킹으로부터 안전하지 않다는 인식이 확산되면서, 비트코인 가격이 폭락했다. 이후 수년간 해커를 추적하는 한편, 피해자 보상과 남은 자산 처분을 위한 법원 경매가 진행되었다. 2017년 말 비트코인 가격이 폭등하여, 회사를 청산하는 것보다 회생시키는 것이 더 이익이 됨에 따라, 피해자들은 마운트곡스 회생 신청을 요구하고 있다. 2019년 7월 뉴욕에 본사가 있는 사모펀드 포트리스 인베스트먼트 그룹(Fortress Investment Group)이 암호화폐 거래소 마운트곡스 채권자들에게 비트코인 청구권을 산다고 밝혔다. 포트리스의 상무이사 마이클 휴리건은 마운트곡스 채권단에 보낸 공개서한을 통해 포트리스의 비트코인 투자운영팀이 마운트곡스 파산으로 잃어버린 비트코인을 돌려받을 수 있는 권한을 구매하려 한다고 설명했다.^[4]

비트파이넥스(Bitfinex) 사건

2016년 7월, 거래소의 다중 서명 지갑에서 도난당한 후 주요 암호 거래소 비트파이넥스에서 12만 비트코인이 누락된 것으로 확인되다. 당시 약 8,000만 달러에 이르는 이 도둑질은 마운트곡스 사건 이래 가장 큰 손실이었다. 비트파이넥스는 손실을 흡수하여 모든 사용자에게 자체 빚 토큰을 발급하면서 '헤어컷(Haircut)' 즉 채무 삭감을 제공했다. 비트파이넥스는 현재까지도 활발하고 인기가 있습니다. 그와 동시에 해당 토큰을 거래소에 상장하여, 급전이 필요하거나 거래소의 기약 없는 약속을 믿지 못하는 사람들은 토큰을 시장에서 팔 수 있게 하였다. 해당 토큰은 액면가의 수분의 일로 상당 기간 거래되었는데, 비트파이넥스 자신들이 매입하여 소각한다는 소문이 돌아서 액면가에 근접하게 폭등하기도 했으며, 그 자체로 투기의 대상이 되기도 했었다. 결국 전량이 매입되거나 환불되어 소각됐으니, 비트파이넥스 입장에선 돈도 절약하고 고객들의 신뢰도 잃지 않았으니 좋은 결과가 되었다.

코인체크(Coincheck) 사건

2018년 1월 발생한 코인체크 해킹은 암호 역사에서 유별나게 보도되지 않은 이야기 중 하나이다. 일본에 본사를 둔 코인체크는 해킹 중 거래 지갑에서 5억 2,300만 개의 넴(NEM) 코인을 잃었다. 코인은 그 당시 5억 달러 상당의 가치가 있었다. 코인체크는 비트파이넥스처럼 손실을 흡수 할 수 있었다. 이 거래소는 2019년에 일본 규제 당국으로부터 공식 면허증을 받고 현재까지 계속 운영되고 있다.

비티씨이(BTC-e) 사건

FBI는 2017년 7월 대규모 자금 세탁 계획이라는 우려로 비티씨이(BTC-e)를 폐쇄했다. 미 법무부는 거래소 운영자 중 한 명인 알렉산더 비닉(Alexander Vinnik)에 대해 21건의 자금 세탁 및 기타 금융 범죄 혐의를 적용해 기소장을 풀었다. FBI는 BTC-e가 범죄 활동의 거점이라고 주장하면서, 심지어 교환이 마운트곡스 해킹과 관련된 자금 세탁에 사용되었다고 주장했다. FBI는 비닉이 괴산으로부터 80만 BTC를 훔치는 역할을 했다고 주장했다.

비트그레일(Bitgrail) 사건

2018년 2월, 비트그레일에서 당시 약 2억 달러 상당의 1,700만 개의 나노코인이 도난 당한 사실이 밝혀졌다. 해커들이 이번 해킹에 직간접적으로 관여했다는 일부 증거와 함께 이 해킹을 둘러싼 미스테리한 분위기가 계속되고 있다. 해킹당한 이탈리아 암호 거래소 비트그레일 소유주 겸 설립자인 프란체스코 피라노(Francesco Firano)는 최대한 많은 자산을 고객에게 반환하라는 판결을 받았다. 법원 판결은 2019년 1월 28일 미디엄에 있는 비트 그레일 피해자 그룹에 의해 공개되었다.^[5]

결론[편집]

이러한 불행한 '세기의 사건들의 암호 범죄'는 600만 비트코인을 도난당한 것으로 추정하고 있다. 이것은 2019년 4월까지 발행된 1,762만 건 중 BTC의 전체 순환 공급량의 30~35%를 차지 하고 있다. 2018년에 도난된 암호 자금이 17억 달러로 400% 증가했다고 보고되었다. 최고의 암호화 코인 거래소조차 많은 양의 자금을 그곳에 저장하는데 결코 이상적이지는 않지만, 다른 측면의 주식 시장은 2018년에 9억 5,000만 달러, 2017년에는 2억 6,600만 달러, 2016년에는 2억 2,500만 달러를 나타냈다. 인증된 비트코인 사기는 2018년에는 7억 2,500만 달러의 가치가 있다. 또한 새로운 암호 마이닝 멀웨어 스크립트와 CPU에 대한 웹 브라우저의 암호 재킹도 모두 강조할 것을 기대한다. 또한 사용자를 속이기 위해 이용되는 모든 SIM 스와핑, 암호 해독, 섀도우 머니 서비스 비즈니스(MSBs) 및 차세대 암호 믹서 전술을 추적할 것이다. 암호 자산 사용의 변화는 전 세계의 선진국으로 옮겨 가고 있으며, 사람, 프로토콜 및 정책이 더욱 깨끗한 암호 생태계를 위해 서로 맞물리고 통합되기 시작할 때까지 주목할만한 해킹이 계속 발생할 것이다.^[6]

각주[편집]

↑ LG CNS 보안컨설팅팀, 〈암호화폐와 블록체인 해킹 사례〉, 《LG CNS》, 2018-11-26
↑ pstag, 〈비트코인 송금시 전자지갑 주소를 바꿔치기 하는 '클립보드 하이재커'(clipboard hijackers)〉, 《네이버 블로그》, 2018-07-03
↑ 위드코인, 〈펌프 앤 덤프 (Pump And Dump)〉, 《네이버 블로그》, 2019-01-20
↑ Nikhilesh De, 〈“마운트곡스 해킹·분실 비트코인 청구권, 개당 $900에 파시오”〉, 《코인데스크》, 2019-07-10
↑ Adrian Zmudzinski, 〈Owner of Hacked Crypto Exchange BitGrail Sentenced to Return Funds to Customers〉, 《COINTELEGRAPH》, 2019-01-28
↑ BitcoinExchangeGuide, 〈Bitcoin Scams and Cryptocurrency Hacks List〉, 《BitcoinExchangeGuide》, 2018-04-01

참고자료[편집]

한호현 교수, 〈(쟁점) 블록체인과 위·변조, 그리고 해킹〉, 《IT DAILY》, 2018-04-01
Roger A. Grimes, 〈비트코인과 블록체인 해킹 사례〉, 《IT WORLD》, 2018-01-03
skalex, 〈How Blockchain Applications Can Be Hacked, And What You Can Do To Prevent It〉, 《skalex》, 2018-04-01
BitcoinExchangeGuide, 〈Bitcoin Scams and Cryptocurrency Hacks List〉, 《BitcoinExchangeGuide》, 2018-04-01
Jesse Abramowitz & Laura Marissa Cullell, 〈Hacking a Blockchain vs. Hacking a DApp: A Response to Mike Orcutt’s MIT Article〉, 《Hackernoon》, 2019-02-26
Luke Fitzpatrick, 〈A Hacker's Take On Blockchain Security〉, 《Forbes》, 2019-02-04
Bitrates, 〈Why Can't Blockchain Be Hacked?〉, 《Bitrates》, 2018-02-10
제나나, 〈가상화폐와 블록체인 해킹 사례〉, 《네이버 블로그》, 2019-05-13
대치동, 〈2018년 7가지의 비트코인 사기에 주의해야 합니다.〉, 《네이버 카페》, 2018-07-04
Yogita Khatri, 〈구속된 BTC-e 거래소 알렉산더 비닉, 그리스 법원에 보석 요청〉, 《Coindeskkorea》, 2019-03-22
Ledger, 〈Hack Flashback: Coincheck, January 2018 — The Biggest Cryptocurrency Hack To Date〉, 《Medium》, 2019-01-29
Bitfinex, 〈Bitcoins returned to Bitfinex by U.S. Government〉, 《Medium》, 2019-02-25

같이 보기[편집]

이 암호화폐 해킹 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.

개발 : 프로그래밍, 소프트웨어, 데이터, 솔루션, 보안 ^□^■^⊕, 하드웨어, 컴퓨터, 사무자동화, 인터넷, 모바일, 사물인터넷, 게임, 메타버스, 디자인

보안	CVE • CWE • 관리자권한 • 관리적 보안 • 권한 • 권한관리 • 금융 분산원장기술 보안규범 • 기밀 • 기밀성 • 기술적 보안 • 누설 • 누출 • 누출금지정보 • 니모닉 • 데이터베이스 암호화 • 디지털 워터마킹 • 레인보우 테이블 • 루트킷 • 무결성 • 물리적 보안 • 백신 프로그램 • 버그 바운티 • 보안 • 봇 • 봇넷 • 블랙리스팅 • 블랙박스 • 블록체인 보안 • 비밀 • 비회원 권한 • 사고 • 사용자권한 • 사회공학 • 생체인증 • 시큐어코딩 • 신뢰실행환경 • 암호 • 암호키 • 예방 • 유출 • 이중인증(2FA) • 인증 • 일회용 비밀번호(OTP) • 잠금장치(시건장치) • 접근 • 접근권한 • 접근제어 • 접근차단 • 정보보호관리체계 • 침입방지시스템 • 침입탐지시스템 • 컴퓨터 바이러스 • 킬 스위치 • 통합위협관리(UTM) • 패치 • 페이로드 • 핀(PIN) • 해킹사고 • 화이트박스 • 회원권한 • 효율성

취약점 공격	51% 공격 • OWASP • 그라인딩 공격 • 네트워크 공격 • 누킹 • 디도스 • 디엔에스 스푸핑(DNS스푸핑) • 랜섬웨어 • 레베톤 • 레이스 공격 • 롱레인지 공격 • 리플레이 공격 • 리플레이 프로텍션 • 멀웨어(악성코드) • 모의해킹 • 무차별 대입 공격 • 미라이 봇넷 • 백도어 • 버그 • 버퍼 오버플로 • 벡터76 공격 • 부채널 공격 • 블랙해커 • 블록보류 공격 • 블록체인 해킹 • 사이트 간 스크립팅(XSS) • 사이트 간 요청 위조(CSRF) • 사전공격 • 셸쇼크 • 스누핑 • 스니퍼 • 스니핑 • 스미싱 • 스파이웨어 • 스푸핑 • 시빌공격 • 아이피 스푸핑(IP스푸핑) • 암호화폐 거래소 해킹 • 암호화폐 해킹 • 애드웨어 • 에스큐엘 인젝션(SQL인젝션) • 에이알피 스푸핑(ARP스푸핑) • 원격파일삽입 • 웜 • 웹셸 • 이클립스 공격 • 인젝션 • 제로데이 공격 • 중간자 공격 • 지능형 지속 공격(APT) • 취약점 • 침해사고 • 크래킹 • 크립토락커 • 크립토재킹 • 키로깅 • 트로이목마 • 패스워드 크래킹 • 페니스펜드 • 포맷스트링 공격 • 피니 공격 • 피싱 • 해커 • 해커원 • 해킹 • 혹스 • 화이트해커

개인정보보호	가명 • 개인정보 • 개인정보보호 • 개인정보보호법 • 성명 • 실명 • 유럽연합 일반개인정보보호법(GDPR) • 익명

양자보안	광자분리공격(PNS) • 복제 불가능성 원리 • 양자보안 • 측정 후 붕괴

보안 솔루션	V1 • V3 • ZAP • 내PC지키미 • 노턴안티바이러스 • 디아모 • 랩스플러스 • 레드마인 • 레드캐슬 • 맥아피 • 버그질라 • 빅룩 • 빅룩와스 • 빅룩퓨저 • 샤크라 • 소나큐브 • 스패로우 • 스팸스나이퍼 • 시큐브토스 • 시큐어디비 • 아베스트 • 야스카 • 엔스토커 • 엔프로텍트 • 와플즈 • 웹필터 • 제큐어디비 • 제큐어웹 • 지라 • 카스퍼스키 • 파인드벅스 • 피엠디(PMD)

위키 : 자동차, 교통, 지역, 산업, 기업, 단체, 업무, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반

[1] LG CNS 보안컨설팅팀, 〈암호화폐와 블록체인 해킹 사례〉, 《LG CNS》, 2018-11-26

[2] stag, 〈비트코인 송금시 전자지갑 주소를 바꿔치기 하는 '클립보드 하이재커'(clipboard hijackers)〉, 《네이버 블로그》, 2018-07-03

[3] 위드코인, 〈펌프 앤 덤프 (Pump And Dump)〉, 《네이버 블로그》, 2019-01-20

[4] Nikhilesh De, 〈“마운트곡스 해킹·분실 비트코인 청구권, 개당 $900에 파시오”〉, 《코인데스크》, 2019-07-10

[5] Adrian Zmudzinski, 〈Owner of Hacked Crypto Exchange BitGrail Sentenced to Return Funds to Customers〉, 《COINTELEGRAPH》, 2019-01-28

[6] BitcoinExchangeGuide, 〈Bitcoin Scams and Cryptocurrency Hacks List〉, 《BitcoinExchangeGuide》, 2018-04-01

[1]

[2]

[3]

[4]

[5]

[6]

위키

이름공간

변수

보기

더 보기

검색