웹3 보안

절대 누구와도 공유해서는 안 됩니다. 이점은 아무리 강조해도 지나치지 않습니다.

웹3 사용자들을 속여 SRP를 넘겨주거나 노출하게 만드는 것은 사기꾼들이 이용하는 가장 효과적인 방법의 하나입니다. SRP를 묻는 사람은 언제나 극도로 경계해야 합니다. MetaMask는 절대 이런 정보를 묻지 않습니다.

우연이 아니라 당연하게도, 또 다른 주요한 공격 벡터도 셀프 커스터디의 위험을 이용하려는 방식입니다. 사용자가 상호 작용할 탈중앙화 애플리케이션(디앱)에 승인을 허가하기 위해 MetaMask 지갑을 사용하는 방식을 중심으로 공격이 이루어집니다.

우리가 에서 살펴 보았듯이암호화폐 지갑이란? 단원에서 설명된 대로 자신의 지갑은 근본적으로 본인의 신원 정보와 권한을 관리하는 도구입니다. 지갑을 사용해 제3자에게 승인이 허가되도록 서명하고 나면 이 제3자는 변경이 불가능한 동의를 얻은 것이므로 원하는 무엇이든 할 수 있습니다. 바로 그래서 승인을 허가할 때는 매우 신중하게 주의를 기울여야 합니다.

MetaMask에서 가장 자주 서명하게 되는 승인은 토큰 승인입니다. 이러한 트랜잭션은 여러 형태로 실행되지만, 보통은 요청하는 디앱에 지정된 수의 토큰이나 NFT에 대한 액세스를 승인하는 형태입니다. 지독하게 긴 16진수 숫자와 코드는 사람들이 읽기가 힘듭니다. 이는 사기꾼들에게 조그만 기회를 제공하는데, 사용자가 잘 이해하지 못하면 악성 트랜잭션을 승인하도록 강요하기가 그만큼 더 쉬워지기 때문입니다. 자주 일어나는 또 다른 공격 방식은 토큰에 대한 무제한 액세스를 요청하는 것입니다. 일단 승인되고 나면 디앱이 사용자 계정에서 원하는 만큼 펀드를 빼낼 수 있습니다. 기술적으로 그럴 수 있도록 승인이 허가되었기 때문입니다. 디앱이 악성인 경우, 계정에서 펀드가 빠져나갑니다.

승인과 권한은 복잡하고 계속 새롭게 진전되는 주제입니다. 하지만 어떤 경우에도 반드시 기억해야 할 중요한 점은 바로 이것입니다. 의심스러운 디앱이 제안하는 트랜잭션은 절대로 승인하지 마십시오. 확실하지 않으면 절대 토큰에 대한 무제한 액세스를 제공하면 안 됩니다.

토큰 승인에 대한 보다 자세한 내용은 자세히 알아보기 아래의 리소스를 참조하시기 바랍니다.

셀프 커스터디란 자기가 보유한 자산에 대한 보안을 스스로 지킨다는 의미입니다. 아무도 대신해 주지 않습니다. 계정에 대한 액세스를 분실해도 백업 계정이 제공되지 않고, 토큰을 도난당한 경우 대신해서 펀드를 되찾아 줄 사람도 없습니다. 본인 자신과 본인의 비밀복구구문(SRP)에 대한 액세스가 허용된 타인만 가능합니다. 이는 막중한 책임감이지만, 웹3가 전 세계적으로 뿌리를 내리는 과정에서 더 자세히 배우고 직접 경험해 볼 수 있는 좋은 기회이기도 합니다.

MetaMask는 그 무엇보다도 사용자 보안을 최우선으로 생각합니다. 이를 보여주는 일례로, 지갑 자체를 사용할 때 사용자가 뭔가 위험한 것을 하려고 하면 경고 메시지가 표시되고, LavaMoat와 같은 도구를 개발할 때는 코드 자체의 안전성을 보장합니다. 여기서 제공하는 교육 내용처럼 사용자들을 교육하려는 노력에서도 MetaMask가 보안을 얼마나 중요시하는지 엿볼 수 있습니다. 이에 더해 사용자와 사기꾼 사이에 또 다른 보안 계층을 추가할 수 있는 추가 옵션도 있습니다.

물리적 장치인 하드웨어 지갑을 컴퓨터 밖에 두고 계정의 개인 키를 안전하게 보관하십시오. 이렇게 하면 이들은 통상적으로 휴대폰과 노트북에서 하는 이메일 확인, 앱 다운로드, 재미있는 고양이 동영상 검색 등 다른 온라인 활동과 연결되지 않습니다.

웹3에서 활동할 때는 이러한 하드웨어 지갑을 MetaMask와 연결하여 유연하게 사용할 수 있습니다. MetaMask로 디앱을 검색하고 하드웨어 지갑에서 트랜잭션을 서명하면 됩니다.

하드웨어 지갑을 MetaMask(소프트웨어 지갑)와 결합하면 셀프 커스터디 여정에서 더 많은 책임을 행사하면서 보안을 더욱 강화할 수 있습니다.