암호화폐 거래소 보안 체크리스트: 모든 초보자를 위한 필수 단계

계정 설정 및 인증

1. SIM 스와핑 공격이 여전히 주요 거래소에서 널리 퍼져 있으므로 SMS가 아닌 시간 기반 일회용 비밀번호(TOTP) 앱을 사용하여 2단계 인증(2FA)을 활성화합니다.

2. 소셜 엔지니어링을 통해 노출될 수 있는 사전 단어나 개인 식별자를 피하면서 거래소 계정에 대한 강력하고 고유한 암호를 만듭니다.

3. 클라우드 서비스, 이메일 초안 또는 암호화되지 않은 메모에 복구 문구나 2FA 백업 코드를 저장하지 마십시오. 이는 자격 증명 도용의 일반적인 진입점입니다.

4. 자격 증명을 입력하기 전에 SSL 인증서 세부정보를 확인하고 도메인 소유권을 확인하여 거래소 공식 웹사이트의 진위 여부를 확인하세요.

5. 불필요한 공격 표면을 초래하는 이메일 전용 로그인이나 타사 OAuth 통합 등 사용하지 않는 로그인 방법을 비활성화합니다.

자금 관리 프로토콜

1. 귀하가 완전히 통제하는 지갑으로 자금을 인출하십시오. 활발한 거래에 필요한 것보다 오랫동안 거래소에 큰 잔액을 남겨 두지 마십시오.

2. 화이트리스트에 있는 출금 주소만 사용하세요. 많은 플랫폼에서는 새로운 목적지에 대한 사전 등록 및 다중 서명 확인을 허용합니다.

3. 일일 또는 거래당 인출 한도를 총 보유 금액보다 훨씬 낮게 설정하여 계정 손상 시 피해를 제한하세요.

4. 여러 거래에서 입금 주소를 재사용하지 마세요. 일부 거래소에서는 자동으로 새로운 주소를 생성하여 개인정보 보호를 강화하고 연결성을 줄입니다.

5. 특히 거래 봇이 활성화된 경우 무단 출금이나 의심스러운 API 키 활동이 있는지 거래 내역을 정기적으로 모니터링하세요.

API 키 구성

1. 특정 도구에 필요한 경우에만 API 키를 생성하십시오. "만약의 경우" 또는 기본적으로 전체 권한을 사용하여 생성하지 마십시오.

2. 최소한의 필수 권한을 할당하십시오. 차트 또는 분석 도구에 대한 철회 권한을 완전히 비활성화하고 가능한 경우 거래 범위를 단일 쌍으로 제한하십시오.

3. 30~60일마다 API 키를 교체하고 손상된 장치 또는 종료된 통합과 관련된 키를 즉시 취소합니다.

4. 프로덕션 수준 설정을 위해 환경 변수 또는 하드웨어 보안 모듈(HSM)을 사용하여 소스 코드 저장소 외부(비공개 저장소 포함) 외부에 API 키를 저장합니다.

5. Exchange 대시보드를 사용하여 매월 활성 API 키를 감사하여 여전히 권한을 갖고 있을 수 있는 오래되거나 잊어버린 자격 증명을 식별합니다.

장치 및 네트워크 위생

1. 검증된 바이러스 백신 및 방화벽 구성을 갖춘 신뢰할 수 있는 최신 장치에서만 교환 인터페이스에 액세스하십시오. 공용 컴퓨터 및 공유 네트워크는 위험이 높습니다.

2. 로그인이나 자금 이동을 위해 공용 Wi-Fi를 사용하지 마십시오. 항상 검증된 통신사 암호화를 사용하여 알려진 암호화된 터널이나 모바일 핫스팟을 통해 트래픽을 라우팅하십시오.

3. Exchange 로그인을 위한 자동 브라우저 비밀번호 저장을 비활성화합니다. 자격 증명 관리자는 맬웨어나 물리적 액세스를 통해 추출될 수 있습니다.

4. 금융 활동을 위한 별도의 운영 체제 사용자 계정을 유지하고 암호화 관련 세션을 일반 검색이나 이메일 사용과 분리합니다.

5. 타사 앱 스토어나 토렌트 사이트가 아닌 공식 개발자 서명 설치 프로그램에서 직접 Exchange 브랜드 데스크톱 애플리케이션의 무결성을 설치하고 확인합니다.

피싱 및 사회 공학 방어

1. Exchange 지원팀에서 보낸 것으로 주장하는 모든 원치 않는 메시지를 악성으로 처리합니다. 합법적인 팀은 이메일이나 채팅을 통해 비밀번호, 2FA 코드 또는 개인 키를 절대 요청하지 않습니다.

2. 공식 교류 지원 페이지와 헬프 센터를 북마크에 추가하세요. 이메일이나 Discord/Telegram DM의 링크가 합법적인 것처럼 보이더라도 클릭하지 마세요.

3. 도메인 이름을 문자별로 확인합니다. "binanace.com" 또는 "bybit-support.net"과 같은 타이포스쿼팅 도메인은 실제 플랫폼을 성공적으로 사칭했습니다.

4. "긴급" 업그레이드 또는 확인 요구에 대해 조치를 취하기 전에 공식 Twitter/X 핸들, GitHub 리포지토리 및 블로그 게시물을 비교하여 공지사항을 교차 확인하세요.

5. 피싱으로 의심되는 도메인은 지체 없이 거래소 보안팀 및 관련 사이버보안 당국에 신고하세요.

자주 묻는 질문

Q: 여러 거래소에서 동일한 2FA 앱을 재사용할 수 있나요? 예, 하지만 각 계정이 고유한 비밀 키를 사용하는 경우에만 해당됩니다. 여러 플랫폼에서 동일한 QR 코드나 시드를 재사용하면 단일 실패 지점이 생성됩니다. 즉, 한 플랫폼의 백엔드에서 비밀이 유출되면 연결된 모든 계정이 취약해집니다.

Q: 보험을 제공하는 거래소에 암호화폐를 보관하는 것이 안전한가요? 보험 보장은 일반적으로 거래소 해킹으로 인한 관리 손실에만 적용되며, 피싱이나 취약한 비밀번호로 인한 개인 계정 침해에는 적용되지 않습니다. 이는 사전 예방적 보안 조치를 대체하지 않습니다.

Q: 하드웨어 지갑을 사용하면 교환 보안 관행이 필요하지 않습니까? 아니요. 하드웨어 지갑은 오프라인에서 개인 키를 보호하지만 공격자가 손상된 교환 세션이나 악성 API 키를 통해 무단 인출을 시작하는 것을 막지는 못합니다.

Q: 내 거래소 계정에 인식할 수 없는 로그인 위치가 표시되면 어떻게 해야 하나요? 모든 활성 세션을 즉시 취소하고, 비밀번호를 재설정하고, 2FA를 다시 생성하고, 타임스탬프가 표시된 증거로 지원팀에 문의하세요. 확인을 기다리지 말고 완전한 타협을 가정하십시오.