해커로부터 암호화폐 거래소 계정을 보호하는 방법은 무엇입니까?

2단계 인증 활성화

1. SIM 스와핑 공격으로 문자 메시지를 가로챌 수 있으므로 SMS 기반 2FA 대신 Google Authenticator 또는 Authy와 같은 인증 앱을 사용하세요.

2. 2FA 백업 코드를 클라우드 노트나 이메일이 아닌 안전한 오프라인 위치에 저장하세요.

3. 교환 계정의 2FA를 일상 검색이나 소셜 미디어 액세스에 사용되는 것과 동일한 장치에 연결하지 마십시오.

4. 휴대폰을 교체하거나 인증 앱을 다시 설치하는 경우 QR 코드를 다시 스캔하고 2FA를 재구성하세요.

5. 일부 거래소는 FIDO2 호환 2FA를 위한 하드웨어 보안 키(예: YubiKey)를 지원합니다. 가능한 경우 이 옵션을 활성화하세요.

강력하고 고유한 자격 증명 사용

1. 대문자, 소문자, 숫자, 기호를 포함하여 12자 이상의 비밀번호 문구를 만드세요. 사전에 나오는 단어나 개인 정보는 피하세요.

2. 여러 암호화 플랫폼에서 비밀번호를 재사용하지 마십시오. 한 서비스에 대한 침해로 인해 다른 서비스가 노출될 수 있습니다.

3. 오프라인 암호화 및 생체인식 잠금 기능을 지원하는 평판이 좋은 비밀번호 관리자를 사용하세요.

4. 피싱 시도가 의심되거나 로그인 알림이 의심되는 경우 즉시 거래소 비밀번호를 변경하세요.

5. 일시적으로 편리하더라도 공유 또는 공용 장치에서 "기억하기" 기능을 비활성화하십시오.

정기적으로 계정 활동 모니터링

1. 매주 로그인 기록을 검토하여 인식할 수 없는 IP 주소, 위치 또는 타임스탬프를 찾아보세요.

2. 인출, API 키 생성, 2FA 변경, 이메일 업데이트 등 모든 중요한 작업에 대해 이메일 및 푸시 알림을 활성화합니다.

3. 계정 설정에서 출금 주소를 확인하세요. 악성코드는 복사-붙여넣기 작업 중에 저장된 주소를 자동으로 대체할 수 있습니다.

4. 다중 서명 또는 시간 지연 승인을 통해 확인되지 않는 한 화이트리스트에 있는 출금 주소가 변경 불가능한지 확인하세요.

5. 특히 EIP-55 또는 Bech32 형식을 지원하는 네트워크에서는 자금을 보내기 전에 예금 주소 체크섬을 수동으로 대조 확인하십시오.

API 키 권한 제한

1. 트레이딩 봇, 분석 대시보드, 포트폴리오 추적기 등 꼭 필요한 경우에만 API 키를 생성하세요.

2. 최소한의 필수 권한을 할당합니다. 통합에서 명시적으로 필요하지 않는 한 철회 권한을 비활성화합니다.

3. 거래소가 지오펜싱 또는 네트워크 화이트리스트를 지원하는 경우 API 키를 특정 IP 범위로 제한합니다.

4. 90일마다 API 키를 교체하고 사용하지 않거나 오래된 API 키를 즉시 취소합니다.

5. API 키를 일반 텍스트 파일, 브라우저 localStorage 또는 GitHub 리포지토리에 저장하지 마세요. 개인 저장소라도 마찬가지입니다.

피싱 및 사회공학 함정을 피하세요

1. 공식 교환 URL을 직접 북마크에 추가하세요. 이메일, DM, 검색 엔진 광고의 링크를 절대 클릭하지 마세요.

2. SSL 인증서와 URL 구조를 주의 깊게 검사하세요. "binanace.com" 또는 "bybit-exchange.net"과 같은 미묘한 오타를 찾으세요.

3. 교환 지원을 주장하는 사람에게 화면 공유 액세스 또는 원격 데스크톱 제어 권한을 부여하지 마십시오.

4. "무료 토큰", "우선 순위 목록" 또는 "계정 확인 지원" 등 원치 않는 제안을 고위험 미끼로 취급하십시오.

5. 익숙하지 않은 암호화폐 관련 웹사이트에 접속하기 전에 WHOIS 조회 도구를 사용하여 도메인 소유권을 확인하세요.

자주 묻는 질문

Q: 해커가 내 비밀번호를 알고 있으면 2FA를 우회할 수 있나요? 예. SMS 기반 2FA는 SIM 스와핑 및 SS7 악용에 취약합니다. 인증 앱과 하드웨어 키는 이러한 위험을 크게 줄이지만 장치에 맬웨어가 있는 경우 완전히 제거하지는 않습니다.

Q: 거래소에 대량의 암호화폐를 보관하는 것이 안전한가요? 아니요. 교환은 관리 서비스이며 여전히 주요 대상입니다. 귀하가 단독으로 통제할 수 있는 콜드월렛에 중요한 자산을 보관하는 것은 업계 표준 보안 관행입니다.

Q: 승인되지 않은 출금이 발견되면 어떻게 해야 합니까? 피싱 이메일에 대한 답변이 아닌 검증된 공식 채널을 통해 즉시 거래소 보안팀에 연락하세요. 가능하다면 계정을 동결하고 모든 거래 ID, 타임스탬프, 스크린샷을 문서화하세요.

Q: 하드웨어 지갑이 내 거래소 계정을 보호하나요? 아니요. 하드웨어 지갑은 자체 관리 자산에 대한 개인 키를 보호합니다. 이들은 자격 증명, 2FA 및 별도로 관리되는 세션 토큰에만 의존하는 Exchange 로그인과 상호 작용하거나 인증하지 않습니다.