해커로부터 EOS를 지키는 방법

 EOS 내에서 해킹 소식을 종종 들을 때마다 안타까운 마음이 듭니다.그 동안 있었던 해킹의 유형과 해킹을 방지할 수있는 몇 가지 방법에 대해서 정리를 해보았습니다.

해킹의 유형

진짜 사이트를 위장한 스캠 피싱 사이트

EOSBet 겜블링 사이트가 유행을 하니 EOSBet 과 동일한 UI를 가진 스캠 피싱 사이트가 나온 적이 있었습니다. 만약 이 피싱 사이트에 접속해서 스캐터로 로그인을 한 후 베팅 버튼을 눌렀다면 본인 계정에 있던 EOS가 해커의 계정으로 전송되는 일이 발생했을 것입니다. 물론 스캐터는 private key 로 사이닝 전에 어떤 action에 대한 사이닝인지 팝업으로 띄워주지만 사실 그 팝업의 내용을 확인하고 Accept 버튼을 누르는 경우는 거의 없을 것입니다.

Reward 등을 위해 private key를 요구하는 스캠 피싱 사이트

최근에 eosBlack 을 사칭한 피싱 사이트가 계속해서 전파가 되고 있습니다. 이 사이트는 Reward를 받기 위해 본인의 private key를 입력하라고 유도를 하고 있습니다.

스마트폰 마켓에 스캠 월렛 어플

아이폰이나 안드로이드폰의 마켓에서 eos wallet 으로 검색해서 나오는 어플 중에도 스캠 어플인 경우가 많이 있습니다. 스마트폰에서 월렛을 사용하기 위해서는 private key 입력을 해야 하는데 스캠 어플에 입력한 private key는 바로 해커에서 전송이 되어 내 계정을 탈취 당하게 됩니다.

해킹을 방지할 수있는 방법

계정을 분리하십시오.

하나의 계정에 본인의 모든 EOS를 보관하고 그 계정을 통해 여러 가지 댑을 사용하는 것은 굉장히 위험한 일입니다. 최소한 댑을 사용하기 위한 계정과 모바일에서 사용하는 계정은 별도로 생성을 하여 소액의 EOS 로 사용을 해야 합니다.

active/owner permission을 다르게 설정하십시오.

보통 우리가 EOS 툴킷을 통해 사용하는 모든 action은 active permission 만으로도 사용이 가능합니다. 따라서, active/owner permission의 키쌍을 분리해서 설정해 두어야 혹여나 active permission에 해당하는 private key를 노출됐을 때도 owner key 로 복구가 가능하게 됩니다.

커뮤니티에서 확인된 사이트와 어플만 이용하십시오.

요즘은 모바일 월렛의 기능이 점점 확장되면서 모바일 월렛을 통해 댑들을 편하게 이용할 수가 있습니다.하지만, 확인되지 않은 모바일 월렛에 본인의 private key를 입력 시 해킹의 위험이 있습니다. 따라서, 꼭 커뮤니티에서 확인된 사이트와 어플에만 본인의 private key를 등록하셔야 합니다.

사용하지 않는 EOS는 스테이킹을 하십시오.

active/owner key 만 분리되어 있고 모든 EOS가 Staked 상태라면 active permission 에 해당하는 private key를 탈취당하더라도 Staked 된 EOS를 지킬 수 있습니다.

하드웨어 월렛을 사용하십시오.

하드웨어 월렛은 private key가 물리적으로 분리된 월렛에 보관이 됩니다. 따라서, 월렛 자체를 분실하지 않는 한 해커로 부터 안전합니다.

위에 방법 외에도 multisig 를 설정하는 방법이 있습니다. 하지만, multisig는 일반 EOS 홀더가 사용하기에는 설정도 쉽지 않고 transaction 생성도 쉽지가 않습니다.

물론 해킹이 두려워 거래소에 EOS를 보관하는 경우도 있습니다. 하지만, 거래소도 충분히 해킹을 당할 수 있기 때문에 안전한 곳이라 생각되지는 않습니다.