지갑 앱을 안전하게 업데이트하는 방법은 무엇입니까?

다운로드 전 공식 소스 확인

1. 이메일이나 소셜 미디어 게시물의 링크를 클릭하는 대신 항상 지갑 개발자의 공식 웹사이트로 직접 이동하세요.

2. 도메인 이름을 주의 깊게 확인하십시오. “metamask-secure.com”과 같은 타이포스쿼팅 도메인은 합법적인 사이트를 모방하지만 악성 소프트웨어를 호스팅합니다.

3. 검증된 게시자 이름, 다운로드 횟수, 스크린샷 및 타임스탬프가 포함된 사용자 리뷰를 검토하여 모바일 앱 스토어 목록의 진위 여부를 확인합니다.

4. 업데이트를 설치하기 전에 GitHub 리포지토리나 공식 블로그에 게시된 상호 참조 버전 번호와 변경 로그를 확인하세요.

5. "초기 액세스" 또는 "베타 기능"을 주장하는 Telegram 그룹이나 Discord 서버에서 공유된 파일이라도 타사 APK 또는 IPA 파일을 피하세요.

주의해서 자동 업데이트 활성화

1. 기기가 앱별 제어를 허용하고 알림 없이 백그라운드 설치를 제한하는 경우에만 자동 업데이트를 켜세요.

2. 손상된 시스템 계층이 업데이트 패키지를 가로채고 변경할 수 있으므로 루팅되거나 탈옥된 장치의 지갑에 대한 자동 업데이트 권한을 비활성화합니다.

3. 개발자가 제공한 GPG 또는 SHA256 체크섬과 같은 도구를 사용하여 릴리스 서명을 확인하기 전이 아니라 알림을 받은 후 수동으로 업데이트를 트리거합니다.

4. 지갑 업데이트 빈도를 모니터링합니다. 정기적인 흐름을 벗어난 갑작스러운 릴리스는 심각한 취약점에 대한 긴급 패치를 나타낼 수 있습니다.

5. 예상치 못한 다운그레이드나 롤백 시도를 감지하기 위해 설치된 버전과 날짜를 기록해 둡니다.

장치 환경 보호

1. 운영 체제가 최신 안정 릴리스로 패치되었는지 확인하십시오. 패치되지 않은 커널 결함이 악용되어 지갑 업데이트 중에 악성 코드를 주입했습니다.

2. Apple Secure Enclave 또는 Android StrongBox와 같은 하드웨어 지원 보안 엔클레이브를 사용하여 기본 OS에서 개인 키 작업을 격리합니다.

3. 개발 테스트에 적극적으로 필요한 경우가 아니면 USB 디버깅 및 알 수 없는 소스 설치 옵션을 비활성화합니다.

4. 장치 유형당 하나의 지갑 애플리케이션만 설치하십시오. 여러 개의 지갑을 실행하면 앱 간 통신 채널을 통해 공격 표면이 증가합니다.

5. 각 지갑 업데이트 전후에 평판이 좋은 모바일 보안 도구를 사용하여 장치를 검사하여 루트킷이나 영구 페이로드를 탐지합니다.

설치 후 업데이트 무결성 검증

1. shasum -a 256 과 같은 명령줄 도구를 사용하여 개발자가 서명한 GitHub 릴리스 페이지에 게시된 해시와 앱의 바이너리 해시를 비교합니다.

2. 로컬 프록시 도구를 사용하여 네트워크 트래픽을 검사하여 업데이트 초기화 중 또는 직후에 예기치 않은 아웃바운드 연결이 발생하지 않는지 확인합니다.

3. 새 버전에 추가된 권한 요청을 검토합니다. SMS, 연락처 또는 접근성 서비스에 갑자기 액세스하면 즉각적인 조사가 필요합니다.

4. 암호화 서명 논리가 변경되지 않은 상태로 유지되도록 정상적인 활동을 재개하기 전에 소액 전송으로 거래 서명을 테스트합니다.

5. 활성화된 경우 서명 확인 실패 또는 승인되지 않은 시드 문구 내보내기 시도와 같은 이상 현상에 대해 지갑 로그를 감사합니다.

자주 묻는 질문

Q: 공용 Wi-Fi 네트워크에 연결되어 있는 동안 지갑을 업데이트할 수 있나요? 신뢰할 수 없는 네트워크를 통해 지갑 업데이트를 시작하지 마십시오. 공용 Wi-Fi에는 암호화 무결성이 보장되지 않으며 중간자(man-in-the-middle) 업데이트 페이로드 변조가 가능합니다.

Q: 업데이트 후 지갑 앱이 응답하지 않으면 어떻게 해야 합니까? 즉시 장치의 전원을 끄고 안전 모드로 부팅한 다음 업데이트를 제거합니다. 업데이트를 시도하기 전에 만들어진 정상 작동이 확인된 백업에서 복원합니다.

Q: 앱 캐시를 지우면 업데이트 후 지갑 보안에 영향을 미치나요? 캐시를 지우는 것만으로는 보안 엔클레이브나 암호화된 키 저장소에 저장된 개인 키가 삭제되지 않지만 세션 토큰이나 보류 중인 트랜잭션 메타데이터가 제거될 수 있습니다.

Q: GitHub 릴리스를 통해 배포되는 사이드로드된 지갑 업데이트를 사용해도 안전합니까? 사이드로드된 APK 또는 IPA는 개발자의 공개 PGP 키를 사용하여 암호화 방식으로 확인되어야 합니다. GitHub 릴리스의 서명되지 않은 바이너리는 소스 평판에 관계없이 본질적으로 안전하지 않습니다.