암호화폐 거래소의 보안실태를 패러디하는 사이트를 만들었습니다
자고 일어났더니 어제 암호화폐 거래소 피싱으로 큰 사건이 터졌더라구요. 유니코드를 이용한 도메인 구입에 TLS 인증서까지 달고(주소창 자물쇠) 간이 배 밖으로 나왔는지 구글에 광고까지 넣어서 정말로 속을 수밖에 없는 상황이었습니다. 피싱에 당하신 분들에게는 위로의 말씀을 드리고 미약하지만 풀보팅을 해 드리는 것 말고 제가 할 수 있는 게 없더라구요.
이 사건에 대해 잘 모르시는 분들은 이 글들을 읽고 오시면 도움이 되실 겁니다.
https://steemit.com/kr/@nomader/7e72gc
https://steemit.com/kr/@joeypark/6d2yjj
문제의 원인
문제가 일어난 원인으로는 크게 두 가지가 있습니다. 하나는 구글, 하나는 거래소입니다. 물론 사용자가 주소창을 유심히 봤다면 속지 않았을 수 있다는 건 누구나 아는 사실이지만 대체 이 세상의 누가 그걸 매번 확인할까요? 처음 한두 번은 그럴 지 몰라도 자주 사용하는 사이트는 주소창을 굳이 확인하지 않습니다.
구글의 경우 피싱 사이트의 광고를 받고 해당 거래소를 검색했을 때 상단에 뜨게 했기 때문에 이번 일에서 잘못이 없다고 하긴 힘들 것 같습니다. 지금은 사이트도 내려갔고 광고도 끊긴 모양이지만 그렇다고 해서 피해를 입은 돈이 돌아오지는 않죠. 중앙에서 통제 되는 은행과는 다르게 블록체인 기반 화폐는 이걸 돌려 받을 수도 없구요..
두번째 원인으로는 암호화폐 거래소가 있습니다. 거래소는 가만히 있었고 피싱사이트가 생겨난 건데 대체 거래소가 왜 잘못이냐 싶을 수도 있겠습니다만 사실 그렇지 않습니다. 우리가 거래를 할 때 공인인증서나 인감을 통해 본인임을 증명하듯 웹사이트도 본인을 증명하는 수단이 있습니다. EV-SSL 인증서가 바로 그겁니다.
EV 인증서
대다수의 암호화폐 거래소는 로그인을 할 때 주소창의 자물쇠 표시를 확인하라고 하곤 합니다. 피싱 사이트가 아닌지 확인하라는 것이죠. 하지만 이는 완전히 쓸모가 없는 절차입니다.
주소창에 자물쇠 표시가 뜨는 것은 SSL(표준 명칭은 TLS) 인증서를 달았기 때문인데 이것은 방문자가 이 도메인의 소유주와 암호화 된 통신을 하고 있다는 것을 보증해 줍니다. 하지만 이것만 가지고는 충분히 안전하지 않습니다. 그 도메인의 소유주가 그 회사의 소속인지 알 수가 없거든요.
예를 들어 제가 서울 신천에 사무실을 차렸다고 칩시다. 하지만 저를 사칭하는 누군가가 신촌에 있는 비슷한 주소의 사무실로 데려가서 사무실 소유를 증명하는 문서를 들이밀며 "내가 이 사무실의 소유주가 맞으니 니가 찾으려는 사람이 내가 맞다"라고 하는 꼴입니다. 조금만 생각해 봐도 이상하다는 것을 알 수 있죠.
이것을 해결하기 위해 나온 것이 EV 인증서입니다. 페이팔이나 트위터 같은 곳에 들어가서 주소창을 보면 그냥 자물쇠만 뜨는 게 아니라 회사명이 같이 뜹니다. 이게 바로 EV 인증서를 적용 한 사이트들이죠. 이 EV 인증서를 발급받기 위해서는 전화통화, 서류 제출 등의 까다로운 절차를 거쳐야만 가능합니다. 피싱 사이트들은 발급을 받을 수가 없는 진짜배기 인증서라는 거죠.
사실 우리는 은행에서 업무를 보든 암호화폐 거래소에 들어가든 까다로운 절차를 거쳐가며 본인 인증을 거치는데 정작 거래소들은 이런 인증을 하나도 하지 않는다는 건 굉장히 불공평한 상황입니다. 돈 가지고 일하는 회사들은 최소한 누군가가 자기를 사칭하지 못할 정도의 보안은 갖춰야 한다는 거죠.
대체 몇 개의 거래소들이 이 EV 인증서를 적용했나 살펴봤습니다.
거래소 | EV 적용 유무 |
---|---|
Bithumb | ❌ |
Coinone | ❌ |
Korbit | ❌ |
Upbit | ❌ |
Binance | ❌ |
Bittrex | ❌ |
Cryptopia | ✅ |
Virwox | ✅ |
일단 국내에서 메이저라고 부를 수 있는 4개의 거래소는 모두 적용이 되지 않았습니다. 언제든지 피싱 사이트가 나올 수 있는 상황인 거죠. 해외 거래소들은 얼마나 잘 해 뒀나 하고 살펴봤더니 고작 두 개의 사이트만 EV 인증서를 적용해 놓았습니다.
패러디 사이트
한국의 법에선 개인정보를 관리하는 사이트의 경우 TLS 적용을 의무화 하고 있습니다. 그렇다면 돈 거래와 관련 된 곳엔 이 EV 인증서 적용을 의무화 하는 것도 당연하다고 생각 합니다. 물론 법으로 강제하기 이전에 거래소가 먼저 나서서 보안적인 측면을 강화하는 게 당연한 것이라 생각합니다만 제대로 안 되고 있죠.
그래서 저는 이런 방식의 피싱 위험에 대해 알리기 위해 패러디 사이트를 만들었습니다.
upbít.com입니다. 주소가 국내 업체와 상당히 비슷하죠?
만약 제가 이 도메인을 사서 이런 사이트를 만들지 않고 피싱 사이트를 만들었다면 굉장히 많은 사람들이 당했을 겁니다. 주소창 자물쇠 표시야 누구든지 달 수 있는 것이니까요.
구글 크롬의 경우 TLS 적용이 된 사이트에 "안전함"이라는 표시를 하도록 업데이트를 했지만 이것도 굉장히 위험하다고 생각합니다. 이것만 믿고 정말로 안전하지 않은 사이트마저 안전하다고 믿게 되어버리니까요.
SSL만 믿고있었는디 큰일날 뻔했네요 ㄷㄷㄷ
패러디 사이트 만드신 노고에 풀보팅합니다!
와우 정말 대박이에요 이 글로 인해 거래소들이 EV인증서를 발급받았으면 좋겠습니다.
가상화폐 거래소 폐쇠라는 말로 시장을 흔들기보다는 이런 인증서도입을 요구하는 현명한 정부를 원합니다..
오늘도 즐거운 스티밋 ^^해요
생각보다 심각한 상황이었네요. 하루빨리 거래소들이 제대로된 인증서를 도입했으면 합니다.
👍