디지털 세상에서는 익명성을 이용한 송금에 많은 위험이 따르는지에 대해 많은 논의가 있었습니다. 그렇긴 합니다. 최근에는 '아이스 피싱 공격'이라고 불리는 피싱 사기가 인터넷에서 유행하고 있습니다. 점점 더 많은 사람들이 블록체인에 익명으로 자신을 등록하여 암호화폐 자금을 모으고 재정을 늘리면서 암호화폐 시장은 우리 코앞에서 폭발적으로 성장하고 있습니다. 이 모든 것이 마법처럼 들리지만, 현실은 그렇지 않습니다.
마이크로소프트는 최근 블록체인과 웹3 환경을 노리는 피싱 공격의 변종 가능성에 대해 사용자들에게 경고를 보냈습니다. 이 새롭고 놀라운 블록체인 사기는 "아이스 피싱"이라고 불립니다.
암호화폐에 익숙하지 않은 독자를 위해 '아이스 피싱'이 무엇인지 자세히 알아보기 전에 몇 가지 기본 개념을 간략하게 요약해 보겠습니다:
데이터 탈중앙화와 블록체인
데이터 탈중앙화란 데이터 개체에 대한 권한이 특정 기관에 집중되지 않고 분산된 네트워크에 분산되어 있는 데이터 모델을 말합니다. 데이터 분산은 데이터 처리 당사자 간의 상호 의존성을 줄임으로써 '각자도생'이라는 원칙에 충실합니다.
블록체인은 주로 암호화폐 거래를 위한 저장 장치로 기능하는 탈중앙화된 데이터베이스로 정의할 수 있습니다. 디지털 방식으로 분산되고 집중도가 낮은 안전한 환경이기 때문에 거래 시 참여자의 익명성을 유지하고 거래 기록도 보존합니다. 블록체인의 모든 정보는 제3자가 접근할 수 없는 안전한 공간에 전자적으로 저장됩니다.
블록체인은 한번 추가되면 변경할 수 없는 분산 원장을 저장합니다. 각 "블록"은 제한된 공간 내에서 일련의 거래 정보를 포함하는 별도의 저장 단위로 작동합니다. 블록이 가득 차면 다음 레코드 세트를 추가하기 위해 새 블록이 생성되고, 이 블록은 이전 블록에 연결됩니다. 이는 블록체인의 서명 이름을 부여하는 데이터베이스 체인을 형성합니다.
오늘날에는 조직과 개인이 블록체인 기반 솔루션을 만들고 구현하는 데 도움이 되는 컨설팅, 통합, 토큰화, 관리 및 유지보수 서비스를 제공하는 여러 블록체인 개발 서비스가 있습니다.
Web3.0 및 이와 관련된 위험 가능성
블록체인 기술을 기반으로 구축된 웹3.0 또는 일반적으로 알려진 웹3은 분산형 웹 환경으로, 사용자가 데이터에 더 많은 프라이버시를 제공하면서 상호 작용하고 투자를 확장할 수 있습니다. Web3에서 데이터는 사용자만 액세스할 수 있는 개인 키를 사용하여 분산되고 암호화됩니다.
대형 기술 회사들이 관리하는 중앙화된 서버에 데이터가 저장되는 웹2와 달리, 웹3는 보안과 확장성 측면에서 더 많은 것을 제공하며 암호화폐 시장의 차세대 대세로 빠르게 자리 잡고 있습니다.
그러나 Web3는 아직 초기 단계에 있으며 많은 개발이 필요하다는 점에 유의하는 것이 중요합니다. 웹1.0 및 웹2.0과 마찬가지로 데이터 유출이나 보안 문제에서 자유롭지 않습니다. 또한 중앙 집중화가 없다는 점은 웹3에 데이터 규제가 없다는 것을 의미하며, 이는 악의적인 활동을 위한 길을 열어줍니다.
Microsoft가 블록체인에서 탐지한 아이스 피싱 공격
블록체인과 웹3.0이 이렇게 안전한 환경이라면, 어떻게 피싱 공격이 여전히 암호화폐 세계에 혼란을 야기하고 있는지 궁금하실 것입니다. 정답은 바로 사회 공학입니다.
공격자는 사악한 만큼 똑똑합니다. 메타버스 개발 서비스 업계도 무고한 사용자에게 해를 끼칠 새로운 방법을 끊임없이 찾고 있는 공격자들의 악의적인 공격으로부터 자유롭지 않습니다. Microsoft 보안 분석가들이 지적한 바와 같이, 이러한 가해자들은 수탁되지 않은 지갑에서 토큰을 의도한 수신자의 주소 대신 공격자가 제어하는 주소로 리디렉션하는 악성 스마트 계약을 생성하고 서명하기 시작했습니다. 이는 Web3의 트랜잭션 인터페이스가 투명하지 않기 때문에 가능한 일입니다. 토큰의 이동을 감지하고 추적하는 것이 점점 더 어려워지고 있기 때문에 메타버스 개발 서비스 기업은 이러한 정교한 공격자들보다 앞서 나가는 것이 매우 중요해졌습니다.
익숙한 내용인가요? 공격자가 기업을 속이기 위해 보내는 피싱 이메일은 비슷한 수법을 사용합니다.
Microsoft의 보안 연구원이 제안한 대로, '아이스 피싱'을 예방하려면 서명하려는 스마트 계약이 감사를 받았는지, 변경할 수 없는지 철저히 확인하고 보안 기능을 확인하는 등 몇 가지 주의 조치를 취할 수 있습니다.
저는 블록체인 사용자가 아닌데 그래도 걱정해야 하나요?
맞습니다! "아이스 피싱"은 블록체인과 웹3.0 취약점을 이용하는 독특한 피싱 변종이지만, 다양한 형태의 피싱이 모든 수준의 개인에게 영향을 미칠 수 있습니다. 다음은 몇 가지 예시입니다:
이메일 피싱
사실이라고 하기에는 너무 좋은 이메일을 받은 적이 있나요? 좋아하는 상품을 90% 할인해준다거나 복권에 당첨되었다거나 하는 식이죠? 발신자 주소가 의심스러워 보이기 때문에 쉽게 알아챌 수 있는 이메일도 있지만, 신뢰할 수 있는 출처에서 매일 같은 내용의 이메일을 받는다면 어떨까요? 이메일을 클릭하게 될 것입니다.
이메일 피싱 공격에서 공격자는 발신자 주소를 스푸핑하여 합법적인 출처에서 보낸 것처럼 보이게 하여 사용자 자격 증명을 훔치거나 랜섬웨어를 삽입합니다. 이는 기업 수준의 데이터 유출, 신원 도용 등을 유발할 수 있습니다.
CEO 사기
CEO와 같은 조직의 의사 결정권자는 사칭을 당할 가능성이 가장 높습니다. 이들은 다른 누구보다 민감한 정보에 접근할 수 있기 때문입니다. CEO 사기는 CEO를 사칭하여 직원들을 속여 자금을 이체하거나 기밀 데이터를 공개하도록 유도하는 피싱 이메일을 말합니다.
포경 및 스피어 피싱
고도로 표적화된 형태의 피싱 공격인 고래잡이 피싱과 스피어 피싱은 조직 내 특정 개인을 표적으로 삼아 회사를 속이는 공격입니다. 다음과 유사한 CEO 사기와 유사하게 고급 사회 공학 전술을 사용하기 때문에 탐지하거나 우회하기가 매우 어렵습니다.
피싱으로부터 조직을 보호하는 방법은 무엇인가요?
DMARC가 도와드릴 수 있습니다! DMARC와 같은 이메일 인증 솔루션을 사용하면 조직에 강력한 피싱 방지 태세를 구축할 수 있습니다. DMARC 정책은 피싱을 피하는 데 도움이 될 뿐만 아니라 가짜 이메일을 통해 이루어지는 직접 도메인 스푸핑 및 랜섬웨어 공격에 대한 높은 수준의 보안을 제공합니다.
원스톱으로 제공되는 PowerDMARC DMARC 소프트웨어 솔루션으로, 이메일 보안에 대한 추측을 없애는 것을 사명으로 합니다. 당사의 솔루션은 구현하기 쉽고, 경쟁력 있는 시장 가격으로 제공되며, 완전히 안전하며, 매우 효과적입니다! 저희는 1,000개 이상의 글로벌 브랜드가 피싱에 맞서 싸우고 배포 후 수개월 내에 더 안전한 이메일 환경으로 마이그레이션하도록 지원했습니다. 지금 바로 무료 DMARC 평가판!.
- 이메일 피싱 및 DMARC 통계 - 2024년 11월 22일
- DMARC 규정 준수 및 요구 사항 - 2024년 11월 21일
- DMARC 정책이란 무엇인가요? 없음, 격리 및 거부 - 2024년 9월 15일