OKX Web3 보안 팀: 눈처럼 개인 키를 보호하세요.

귀하의 키도 아니고 귀하의 코인도 아닙니다. 분산화된 자유는 절대적인 "개인 키 보안"을 희생해서 얻어집니다.

2025년 7월 체이널리시스(Chainalysis) 보고서에 따르면 비트코인의 17~23%가 개인 키 분실 또는 기기 손상으로 인해 영구적으로 휴면 상태에 있다고 합니다. 개인 키는 자산 소유권을 나타내므로 분실 시 재설정이 불가능하며, 복구를 위한 고객 서비스도 제공되지 않습니다. 도난당한 자금은 타인에게 알려지면 거의 회수가 불가능합니다. 온체인 세계는 우리에게 자유를 주지만, 동시에 모든 책임을 우리에게 지우기도 합니다. 온체인 생태계가 발전함에 따라 다양한 자산 도난 사고가 빈번하게 발생하지만, 사람들은 종종 사후에야 이를 인지하기 때문에 문제가 어디에서 발생했는지 정확히 파악하기 어렵습니다. 개인 키 유출일까요? 피싱 링크 클릭일까요? 트로이 목마 프로그램 다운로드일까요? 아니면 다른 운영상의 오류일까요?

OKX Web3 보안팀은 이 교육 캠페인을 통해 개인 키 보안에 대한 인식을 높이고, 가장 쉽게 간과되는 보안 사각지대를 검토하고자 합니다.

1. 개인 키나 니모닉 문구가 유출되는 이유는 무엇입니까?

먼저, 흔히 있는 오해를 바로잡겠습니다. 많은 사용자가 개인 키 또는 니모닉 문구 유출(이하 "개인 키 유출")이 주로 지갑 사용 중에 발생한다고 생각합니다. 실제로, 신뢰할 수 있는 브랜드의 공식 지갑 버전을 합법적인 채널을 통해 다운로드하여 사용하면 일반적인 사용 중에는 개인 키가 유출되지 않습니다. 개인 키 유출은 주로 부적절한 보관으로 인해 발생하며, 타인이 개인 키를 획득할 수 있도록 허용합니다. 누군가가 개인 키를 획득하면, 다른 지갑에서 해당 계정의 자산을 가져와서 관리할 수 있습니다.

실제로 개인 키 유출에는 여러 가지 이유가 있으며, 구체적인 출처를 완벽하게 추적하기 어려운 경우가 많습니다. 그러나 수많은 업계 사례 분석과 조사 지원을 통해 몇 가지 일반적인 시나리오와 단서를 정리했습니다. (아래 참조)

그림: SlowMist의 교사인 유 시안이 공유한 개인 키 도난의 원인을 분석하는 데 있어서의 어려움.

II. 일반적인 개인 키 유출 시나리오 및 완화 방법

(a) 가장 쉽게 간과되는 시나리오: 지갑은 생성될 때 이미 유출되었습니다.

사례 1: 다른 사람이 생성한 지갑. Web3를 처음 사용하는 Li 씨는 "도움이 되는 멘토"의 도움을 받아 지갑을 만들었습니다. 멘토는 그가 지갑을 생성하고, 거래 비밀번호를 설정하고, 입금 및 거래 과정을 안내해 주었습니다. 거래 비밀번호는 설정되었지만, 멘토는 생성 과정에서 이미 Li 씨의 개인 키를 획득했습니다. 며칠 후, Li 씨가 입금한 5 ETH는 짧은 시간 안에 송금되었습니다. 그제서야 Li 씨는 거래 비밀번호가 로컬 인증용이며, 개인 키를 가진 사람은 누구든 자신의 자산을 다른 지갑에서 가져와 직접 이체할 수 있다는 것을 알게 되었습니다.

보안 조언 : 직접 지갑을 만드세요. 다른 사람이 "돕거나" "대신 해주지" 않도록 하세요. 개인 키가 유출되었을 가능성이 의심되는 경우, 최대한 빨리 자산을 새 지갑으로 옮기세요.

사례 2: 화상 회의를 통한 지갑 생성. 장 씨는 원격 "선생님"의 지도 하에 화상 회의를 통해 지갑을 생성했습니다. 선생님은 지갑 다운로드, 니모닉 문구 생성, 가스 입금, 토큰 구매까지 단계별로 시연해 보였습니다. 전체 과정은 매우 "사려 깊어" 보였고, 선생님은 마지막에 "절대 누구에게도 개인 키를 공개하지 마세요"라고 상기시켜 주기까지 했습니다. 그러나 그녀는 화상 회의 당시 니모닉 문구가 녹음되었을 가능성을 인지하지 못했습니다. 2주 후, 약 12,000달러 상당의 USDT가 그녀의 계좌에서 이체되었습니다.

보안 권장 사항 : 지갑 생성 시 화면 공유, 화면 녹화 또는 화면 미러링을 비활성화하세요. 개인 키가 유출되었을 가능성이 있는 경우, 가능한 한 빨리 새 지갑으로 자산을 이전하세요. 또한, OKX 지갑은 개인 키와 니모닉 문구가 표시되는 페이지에서 스크린샷, 화면 녹화 또는 화면 미러링을 허용하지 않으므로 보안이 효과적으로 강화됩니다.

이미지: 화면 미러링이 감지되면 OKX Wallet은 자동으로 니모닉 문구와 개인 키를 숨겨 다른 사람에게 텍스트가 표시되지 않도록 합니다.

(ii) 가장 흔한 시나리오: 개인 키를 부적절하게 보관하여 유출되는 경우.

사례 3: 가짜 앱, 안드로이드 사용자에게 악몽. 조심스러운 사용자였던 왕 씨는 지갑을 생성한 후 니모닉 문구의 스크린샷을 로컬 사진 앨범에 저장하고, 클라우드에 업로드하지 않았습니다. 그렇게 하는 것이 더 안전하다고 생각했기 때문입니다. 그러나 그는 포럼에서 소위 "향상된 텔레그램"을 다운로드했습니다. 이 앱의 아이콘과 인터페이스는 공식 버전과 거의 동일했습니다. 하지만 실제로는 백그라운드에서 그의 휴대폰 사진 앨범을 계속 스캔하고 OCR(광학 문자 인식) 기술을 사용하여 니모닉 문구를 인식하여 해커 서버에 자동으로 업로드했습니다. 3개월 후, 왕 씨의 계정은 비워졌고, 5만 달러 이상의 손실이 발생했습니다. 기술 분석 결과, 그의 휴대폰에는 가짜 imToken, MetaMask, Google Authenticator를 포함한 여러 다른 악성 앱이 설치되어 있었던 것으로 밝혀졌습니다.

사례 4: BOM 악성 애플리케이션으로 니모닉 문구 유출. 2025년 2월 14일, 여러 사용자가 지갑 자산 도난을 경험했습니다. 온체인 데이터 분석 결과, 이러한 도난 사례는 모두 니모닉 문구/개인 키 유출의 전형적인 특징을 보였습니다. 피해를 입은 사용자들을 대상으로 한 추가 조사 결과, 대부분의 사용자가 BOM 이라는 애플리케이션을 설치하고 사용했던 것으로 나타났습니다. 심층 조사 결과, 이 애플리케이션은 실제로는 정교하게 위장된 사기였습니다. 범죄자들은 사용자에게 권한을 부여하도록 유도하여 니모닉 문구/개인 키에 대한 접근 권한을 불법적으로 획득하고, 이를 통해 체계적인 자산 이체를 실행하고 자신의 활동을 은폐하려고 시도했습니다.

보안 권장 사항 : 많은 사용자가 편리함 때문에 습관을 들이지만, 이러한 습관은 가장 위험합니다. 따라서 다음을 권장합니다. 1) 니모닉 문구의 스크린샷을 찍지 마세요! 종이에 직접 적어 안전한 곳에 보관하는 것이 좋습니다. 2) 앱을 다운로드할 때는 항상 공식 채널을 이용하세요 . "향상된 버전"이나 출처를 알 수 없는 타사 수정 프로그램을 함부로 시도하지 마세요. 3) 기기에 이상이 있거나 이전에 개인 키의 스크린샷을 찍은 적이 있는 경우 , 위험을 감수하지 말고 즉시 새 지갑으로 자산을 이체하세요. 4) OKX는 어떤 조치를 취했나요? 개인 키 및 니모닉 문구 백업 페이지에서 사용자가 스크린샷을 찍는 것을 방지하기 위해 이러한 민감한 페이지에서 스크린샷 기능을 비활성화했습니다.

이미지: OKX Wallet은 개인 키와 니모닉 문구 페이지에서 스크린샷을 찍는 것을 금지합니다.

또한, 사용자가 가짜 앱을 설치할 위험을 줄이기 위해 Android 버전에는 악성 앱 검사 기능도 제공됩니다.

이미지: OKX Wallet 안드로이드 버전은 악성 애플리케이션 검사 기능을 제공합니다.

(iii) 가장 흔하고 쉽게 속는 시나리오: 개인 키를 사용하는 타인의 피싱.

사례 5: 가짜 에어드랍을 통한 피싱. 유명 NFT 프로젝트가 트위터를 통해 보유자들에게 신규 토큰을 에어드랍하겠다고 발표했습니다. 발표 10분 후, 유료 광고를 통해 여러 피싱 웹사이트가 구글 검색 결과 상단에 나타났습니다. 이 피싱 웹사이트들은 도메인 이름이 글자 하나만 달랐고(예: opensea.io 대신 opensae.io), 페이지 디자인도 공식 웹사이트와 거의 동일했습니다. 사용자가 지갑을 연결하자 페이지에는 "네트워크 정체로 연결에 실패했습니다. 에어드랍을 받으려면 니모닉 문구를 직접 입력하세요."라는 메시지가 표시되었습니다. 그날 50명이 넘는 사용자가 이 사기에 속아 총 피해액은 20만 달러를 넘었습니다. 가장 빠르게 피해를 본 피해자의 자산은 니모닉 문구를 입력한 후 단 3.7초 만에 빠져나갔습니다.

사례 6: 소셜 엔지니어링 공격. 자오 씨는 특정 프로젝트의 디스코드 그룹에서 운영 문제를 겪었습니다. 매우 "공식적인" 프로필 사진과 닉네임을 가진 관리자가 고객 서비스 담당자를 사칭하며 도움을 주겠다고 적극적으로 비공개 메시지를 보냈습니다. 관리자는 그녀에게 "인증 페이지" 링크를 보냈습니다. 자오 씨는 이를 믿고 링크를 클릭하여 안내에 따라 니모닉 문구를 입력했습니다. 페이지는 공식 웹사이트와 완전히 똑같았습니다. 몇 분 후, 그녀의 지갑에서 여러 건의 거래가 갑자기 그리고 계속해서 이체되었습니다. 그녀는 그제서야 그 관리자가 사실 사기꾼이라는 것을 깨달았습니다. 웹페이지에서 니모닉 문구나 개인 키를 입력하도록 요구하는 모든 "고객 서비스"는 분명 사기입니다. 사기꾼은 공식 관리자를 사칭하는 것 외에도 친구, 프로젝트 직원 또는 다른 신뢰할 수 있는 사람을 사칭할 수도 있다는 점에 유의해야 합니다.

보안 조언 : 합법적인 DApp은 절대 개인 키를 요구하지 않으며, 신뢰할 수 있는 사람도 절대 개인 키를 요구하지 않습니다. 개인 키는 자산의 열쇠이므로 안전하게 보관하고 쉽게 공개하지 마십시오.

3. 개인 키가 유출되면 지갑 판매업체가 할 수 있는 일이 왜 그렇게 적은가요?

사용자가 개인 키가 유출되었거나 자산이 이전된 사실을 알게 되면 즉시 지갑 팀에 연락하여 추가 지원을 요청합니다. 하지만 실제로 개인 키가 유출된 후에는 지갑 제공업체가 개입할 수 있는 여지가 매우 제한적입니다.

"도난당한 자산"에 대한 피드백을 받았을 때의 기본적인 처리 프로세스에 대한 간략한 개요와, 왜 종종 온체인 자산을 직접 "복구"할 수 없는지에 대한 설명은 다음과 같습니다.

먼저, 사용자들이 자금 흐름을 추적하고 온체인 자금이 알려진 해커 그룹이나 주소 클러스터와 관련이 있는지 분석할 수 있도록 지원할 것입니다 . 동시에, 추가 손실 위험을 줄이기 위해 아직 도난당하지 않은 자산은 최대한 빨리 이전하도록 안내할 것입니다. 고액의 자금이 도난당한 경우, 즉시 지역 경찰에 연락하고 법적 절차를 통해 도움을 요청하도록 안내할 것입니다. 또한, 내부 팀은 해당 사건에 대한 심층 분석을 수행하고 해커의 행동 방식을 요약하여 향후 사용자 보호에 참고할 수 있도록 할 것입니다.

도구 제공자로서 지갑 자체는 온체인 자산을 동결하거나 롤백할 능력이나 권한이 없습니다. 해커가 개인 키를 획득하면 일반적으로 자동화된 스크립트를 사용하여 몇 초 안에 자금을 이체할 수 있는데, 이는 매우 빠르고 개입하기 어려운 프로세스입니다. 도난당한 자금이 궁극적으로 중앙화된 거래소로 유입될 때에만 합법적인 경로를 통해 일시적인 동결을 요청할 수 있습니다.

자금 조달 체인이 이미 파악한 해커 집단과 연결되면, 공통적인 공격 방식을 시작으로 사용자가 최근에 고위험 작업을 수행했는지 기억하도록 돕고, 그런 다음 개인 키가 노출되었을 가능성이 있는 단계를 확인합니다.

OKX는 항상 사용자 자금 보안을 최우선으로 생각하며, 수년간 위험 관리 시스템 구축과 다양한 검증 메커니즘 설계에 막대한 투자를 해왔습니다. 이러한 절차는 번거로울 수 있지만, 모두 사용자 자산을 더욱 안전하게 보호하기 위해 설계되었습니다. 업계에서 보안에 가장 많은 투자를 하는 팀 중 하나라고 해도 과언이 아닙니다.

이미지: OKX Wallet이 보안 점수에서 1위를 차지했습니다.

앞서 언급했듯이, 사용자가 보안에 대한 인식이 부족하거나 부적절한 사용 습관을 가지고 있다면 어떤 지갑을 사용하든 피싱, 개인 키 유출 등의 이유로 손실을 입을 수 있습니다. 따라서 개인 키를 안전하게 보호하는 것은 가장 중요한 보안 기반입니다. 당사는 제품의 보안 기능을 지속적으로 개선하는 것 외에도, 사용자가 잠재적 위험 시나리오를 더 잘 파악할 수 있도록 사례 연구를 지속적으로 강화하고 보안 팁을 공유합니다.

IV. 요약하자면, 개인 키 보안을 위한 몇 가지 팁을 소개합니다.

부인 성명:

본 문서는 정보 제공 목적으로만 작성되었습니다. (i) 투자 자문 또는 추천, (ii) 디지털 자산 매수, 매도 또는 보유에 대한 제안, 권유 또는 유인, 또는 (iii) 재무, 회계, 법률 또는 세무 관련 자문을 제공하기 위한 것이 아닙니다. 디지털 자산(스테이블코인 및 NFT 포함)은 시장 변동성이 크고 위험이 높으며 가치가 하락할 수 있습니다. 디지털 자산 거래 또는 보유가 본인에게 적합한지 여부에 대한 질문은 법률/세무/투자 전문가와 상담하십시오. OKX Web3 Wallet은 타사 플랫폼을 검색하고 상호 작용할 수 있도록 하는 자체 보관형 지갑 소프트웨어 서비스일 뿐입니다. OKX Web3 Wallet은 이러한 타사 플랫폼의 서비스를 통제할 수 없으며 이에 대한 책임을 지지 않습니다. 모든 제품이 모든 지역에서 제공되는 것은 아닙니다. 해당 지역의 법률 및 규정을 이해하고 준수할 책임은 사용자에게 있습니다. OKX Web3 Wallet 및 관련 서비스는 OKX Exchange에서 제공하지 않으며 OKX Web3 Ecosystem 서비스 약관이 적용됩니다.