웹3 보안
한 세대에 단 한 번 나올 만한 웹3은 세계 시민들이 서로 소통하고, 거래하며, 엔터테인먼트를 즐기는 방식을 완전히 바꿀 수 있는 기회입니다. 모든 새로운 길이 그렇듯, 이 새로운 움직임에 참여하는 것에 위험이 전혀 없는 것은 아닙니다.
순진한 관광객을 노리는 사기꾼처럼, 사기를 치려는 사람들이 있기 마련입니다. 옛날부터 도둑과 사기꾼은 주변에 항상 존재해 왔고 단지 시대에 따라 다른 방식으로 업종들을 파고들었을 뿐입니다. 이런 사실에도 불구하고 안심이 되는 것은, 웹3에서는 사용자 본인이 직접 제어하고 인지할 수 있으며 모범 사례들을 통해 이 새로운 세계를 안전하게 탐색하는 방법을 배울 수 있다는 점입니다. 이 단원에서는 웹3라는 대장정을 떠나기 전에 먼저 알아야 하는 몇 가지 핵심 원칙에 대해 설명합니다.
공격 벡터 및 이를 방지하는 방법
우리가 배웠던 자기 양육권 단원 을 기억하시나요 ? 이 주제를 일찌감치 설명한 이유가 있습니다. 웹3에서 사용자가 흔하게 착취당하는 방식 중 하나는 사용자 이름과 비밀번호를 갖고 있고 이를 플랫폼에 맡겨두는 웹2 멘탈 모델에서 셀프 커스터디 모델인 웹3으로의 전환을 탐색할 때 발생합니다. 셀프 커스터디는 강력한 권한을 주는 만큼 위험도 따릅니다.
온라인 뱅킹 앱에서 비밀번호를 잊어버린 경우, 내 계좌와 돈을 보관하고 있는 은행은 내 신원을 증명하는 한 나를 대신해서 비밀번호를 초기화할 수 있습니다. 그러나 셀프 커스터디의 경우에는 내 신원을 증명하는 유일한 수단인 비밀복구구문(시드구문)을 자신이 보유하게 됩니다. 다른 어떤 누구도 나를 위해 계정을 초기화할 수 없습니다.
자신의 비밀복구구문(SRP)은 언제나 반드시 본인만 알고 있어야 합니다.
절대 누구와도 공유해서는 안 됩니다. 이점은 아무리 강조해도 지나치지 않습니다.
웹3 사용자들을 속여 SRP를 넘겨주거나 노출하게 만드는 것은 사기꾼들이 이용하는 가장 효과적인 방법의 하나입니다. SRP를 묻는 사람은 언제나 극도로 경계해야 합니다. MetaMask는 절대 이런 정보를 묻지 않습니다.
우연이 아니라 당연하게도, 또 다른 주요한 공격 벡터도 셀프 커스터디의 위험을 이용하려는 방식입니다. 사용자가 상호 작용할 탈중앙화 애플리케이션(디앱)에 승인을 허가하기 위해 MetaMask 지갑을 사용하는 방식을 중심으로 공격이 이루어집니다.
우리가 에서 살펴 보았듯이암호화폐 지갑이란? 단원에서 설명된 대로 자신의 지갑은 근본적으로 본인의 신원 정보와 권한을 관리하는 도구입니다. 지갑을 사용해 제3자에게 승인이 허가되도록 서명하고 나면 이 제3자는 변경이 불가능한 동의를 얻은 것이므로 원하는 무엇이든 할 수 있습니다. 바로 그래서 승인을 허가할 때는 매우 신중하게 주의를 기울여야 합니다.
MetaMask에서 가장 자주 서명하게 되는 승인은 토큰 승인입니다. 이러한 트랜잭션은 여러 형태로 실행되지만, 보통은 요청하는 디앱에 지정된 수의 토큰이나 NFT에 대한 액세스를 승인하는 형태입니다. 지독하게 긴 16진수 숫자와 코드는 사람들이 읽기가 힘듭니다. 이는 사기꾼들에게 조그만 기회를 제공하는데, 사용자가 잘 이해하지 못하면 악성 트랜잭션을 승인하도록 강요하기가 그만큼 더 쉬워지기 때문입니다. 자주 일어나는 또 다른 공격 방식은 토큰에 대한 무제한 액세스를 요청하는 것입니다. 일단 승인되고 나면 디앱이 사용자 계정에서 원하는 만큼 펀드를 빼낼 수 있습니다. 기술적으로 그럴 수 있도록 승인이 허가되었기 때문입니다. 디앱이 악성인 경우, 계정에서 펀드가 빠져나갑니다.
승인과 권한은 복잡하고 계속 새롭게 진전되는 주제입니다. 하지만 어떤 경우에도 반드시 기억해야 할 중요한 점은 바로 이것입니다. 의심스러운 디앱이 제안하는 트랜잭션은 절대로 승인하지 마십시오. 확실하지 않으면 절대 토큰에 대한 무제한 액세스를 제공하면 안 됩니다.
토큰 승인에 대한 보다 자세한 내용은 자세히 알아보기 아래의 리소스를 참조하시기 바랍니다.
미끼에 넘어가지 마세요.
악의적 활동의 조짐을 보이는 신호에 대해 배우면 웹3의 안전성을 상당히 높일 수 있습니다. 사기꾼들이 의도적으로 또는 무심코 두드러지는 경우가 여러 가지 있습니다. 몇 가지를 꼽자면 다음과 같습니다.
긴급한 요구: 마감 등의 시간 압박을 이용해 긴급한 분위기 조성
놓치는 것에 대한 두려움: 비현실적인 수익, 에어드롭 또는 화이트리스트 등재 약속
사칭: 잘 알려진 프로토콜, 프로젝트 및 사람인 것처럼 사칭
조악한 느낌: 맞춤법이 많이 틀리거나, 웹 디자인이 별로거나, 전반적으로 전문가답지 않은 인상의 브랜드
갑작스러운 메시지: 돈을 요청하거나, 과도한 열정을 보이거나, 참여해달라고 절실히 요구
항상 기억하세요: 무언가 믿기 어려울 정도로 너무 좋다면, 사실이 아닐 가능성이 높습니다.
하드웨어 지갑: 추가 보안 계층
셀프 커스터디란 자기가 보유한 자산에 대한 보안을 스스로 지킨다는 의미입니다. 아무도 대신해 주지 않습니다. 계정에 대한 액세스를 분실해도 백업 계정이 제공되지 않고, 토큰을 도난당한 경우 대신해서 펀드를 되찾아 줄 사람도 없습니다. 본인 자신과 본인의 비밀복구구문(SRP)에 대한 액세스가 허용된 타인만 가능합니다. 이는 막중한 책임감이지만, 웹3가 전 세계적으로 뿌리를 내리는 과정에서 더 자세히 배우고 직접 경험해 볼 수 있는 좋은 기회이기도 합니다.
MetaMask는 그 무엇보다도 사용자 보안을 최우선으로 생각합니다. 이를 보여주는 일례로, 지갑 자체를 사용할 때 사용자가 뭔가 위험한 것을 하려고 하면 경고 메시지가 표시되고, LavaMoat와 같은 도구를 개발할 때는 코드 자체의 안전성을 보장합니다. 여기서 제공하는 교육 내용처럼 사용자들을 교육하려는 노력에서도 MetaMask가 보안을 얼마나 중요시하는지 엿볼 수 있습니다. 이에 더해 사용자와 사기꾼 사이에 또 다른 보안 계층을 추가할 수 있는 추가 옵션도 있습니다.
물리적 장치인 하드웨어 지갑을 컴퓨터 밖에 두고 계정의 개인 키를 안전하게 보관하십시오. 이렇게 하면 이들은 통상적으로 휴대폰과 노트북에서 하는 이메일 확인, 앱 다운로드, 재미있는 고양이 동영상 검색 등 다른 온라인 활동과 연결되지 않습니다.
웹3에서 활동할 때는 이러한 하드웨어 지갑을 MetaMask와 연결하여 유연하게 사용할 수 있습니다. MetaMask로 디앱을 검색하고 하드웨어 지갑에서 트랜잭션을 서명하면 됩니다.
하드웨어 지갑을 MetaMask(소프트웨어 지갑)와 결합하면 셀프 커스터디 여정에서 더 많은 책임을 행사하면서 보안을 더욱 강화할 수 있습니다.
웹3 보안
2:00
남았으니 이 시간 제한 혜택을 이용하려면 서두르세요
ETH 스테이킹을 해봅시다. 선호하는 스테이킹 공급자를 선택하세요
가장 높은 보상
Mega Staked ETH
mgETH
69.63% 보상
가장 높은 보상
Lido Staked ETH
stETH
3% 보상
가장 높은 보상
Rocket Pool Staked ETH
rETH
3% 보상
- 01
자체 보관은 강력한 권한을 갖는 대신 위험 부담이 있고 스스로 적절한 보안 조치를 취해야 합니다.
- 02
가장 흔한 웹3 공격 두 가지는 사기꾼이 내 비밀 복구 구문을 알아내려는 것과 원치 않는 토큰 승인을 받아내려는 것입니다.
- 03
하드웨어 지갑은 웹3 보안을 강화하기 위한 좋은 첫 걸음입니다.
다음 단계를 수행하겠습니까?
MetaMask 둘러보기