내 KYC 데이터가 타겟이 된다면? 급증하는 렌치 공격의 위험성

전 몇 년 동안 크립토 시장을 지켜봐 왔습니다. 다들 최신 ETF 유입량이나 비트코인 도미넌스가 60%에서 고점을 찍을지 말지에만 매몰되어 있는데, 정작 훨씬 더 무서운 트렌드는 무시하고 있더군요. 우리는 보통 '해킹'이라고 하면 지하실에서 스크립트나 돌리는 꼬마를 생각하지만, 실제로는 훨씬 더 물리적인 위협이 존재합니다. 제가 말하는 건 바로 '렌치 공격'입니다. 암호화를 뚫을 필요 없이, 그냥 물리적인 도구와 당신의 집 주소만 있으면 가능한 공격이죠. 크립토 개인 키를 안전하게 보관하는 방법을 찾고 있다면, 가장 큰 취약점은 스마트 컨트랙트의 버그가 아니라 당신이 사용한 모든 거래소에 넘겨준 KYC 데이터일 수 있다는 걸 깨달아야 합니다. 참고로 규제 배경에 대해서는 이전에 다뤘던 Blanche의 크립토 입장 글을 확인해 보세요.

KYC 흔적이 위험한 이유

대부분의 사람들은 고객 확인 제도(KYC)를 그냥 지루한 행정 절차 정도로 생각합니다. 여권 사진 올리고, 셀카 찍고, 계정 인증받으면 끝이라고 생각하죠. 하지만 제 경험상, 우리는 사실상 누가 무엇을 얼마나 가졌는지 기록된 거대한 글로벌 유출 데이터베이스를 스스로 구축한 셈입니다. 거래소가 털리면 비밀번호만 새나가는 게 아닙니다. 실명, 주소, 전화번호가 통째로 털리죠.

여기에 온체인 데이터까지 결합되면 완벽한 지도가 됩니다. 악의적인 공격자가 유출된 KYC 데이터베이스를 통해 고액 지갑과 실제 신원을 연결할 수 있다면, 블록체인의 취약점을 찾을 필요가 없습니다. 그냥 당신이 어디 사는지만 알면 되니까요. 여기서 렌치 공격이 등장합니다. 이건 해킹의 가장 원시적인 형태, 즉 물리적 갈취입니다. 당신이 상대해야 할 건 봇이 아니라, 당신이 돈이 있다는 사실과 어디서 잠을 자는지 정확히 아는 사람입니다.

소프트웨어만으로는 개인 키를 안전하게 보관할 수 없는 이유

어떤 소프트웨어 지갑이 가장 안전한지 몇 시간 동안 토론하면서, 정작 시드 구문을 바탕화면 텍스트 파일로 저장하거나 더 최악으로는 클라우드에 사진으로 찍어 올리는 사람들을 봤습니다. 이건 그냥 재앙을 기다리는 꼴이죠. 하지만 그렇다고 종이에 적어 책상 서랍에 넣어둔다고 해결될까요? 누군가 그곳에 있다는 걸 안다면 그것 역시 리스크입니다.

문제는 우리가 보안을 '디지털 벽'으로만 생각하도록 길들여졌다는 겁니다. 하지만 벽에는 문이 있다는 사실을 잊곤 하죠. 중앙화 거래소를 이용한다는 건, 당신의 신원과 자산을 그들에게 믿고 맡기는 겁니다. 거래소가 털리는 순간, 당신의 신원은 표적을 찾는 이들에게 아주 밝은 등대가 됩니다. 제가 항상 셀프 커스터디(자기 수탁)를 강조하는 이유가 여기 있습니다.

진정으로 자신을 보호하려면 키를 오프라인에 보관하는 하드웨어 서명기가 필요합니다. 예산이 빡빡하다면 저는 개인적으로 Ledger Nano Gen5를 추천합니다. 99달러라는 가격에 E Ink 터치스크린 기술을 넣었거든요. Secure Element 칩(CC EAL6+)이 탑재되어 있어 개인 키가 인터넷에 절대 닿지 않습니다. 하지만 기기 자체는 절반의 성공일 뿐입니다. 진짜 보안은 복구 시드 구문을 어떻게 관리하느냐에 달려 있습니다.

사람들이 흔히 저지르는 실수

제가 보는 가장 큰 실수는 '보안 쇼'를 하는 겁니다. 비싼 지갑을 샀으면서 24개 단어로 된 복구 문구를 누구나 찾을 수 있는 곳에 두는 거죠. 범죄자가 당신이 레저(Ledger)를 쓴다는 걸 안다면, 기기를 해킹하려 들지 않을 겁니다. 대신 당신이 매트리스 밑에 숨겨둔 종이 쪼가리를 찾으려 하겠죠.

VPN을 쓰거나 프라이빗 브라우저를 사용하는 것만으로 충분하다고 믿는 경향이 있더군요. 이전에 영국 P2P 거래 리스크가 정부 단속으로 인해 커졌다고 다뤘지만, 조직범죄 집단의 위협은 결이 다릅니다. 그들은 탈세 여부를 잡으려는 게 아니라, 그냥 한탕 크게 챙기려는 겁니다.

진짜 보안을 원한다면 신원과 자산을 분리해야 합니다. 가능한 한 비수탁형(non-custodial) 서비스를 이용하고, 개인정보 제공에 극도로 인색해지세요.

앞으로 어떻게 해야 할까

거래소를 아예 쓰지 말라는 건 아닙니다. 편리하기도 하고, 누군가에게는 진입로의 유일한 방법일 수 있으니까요. 하지만 여권 스캔이 필요한 플랫폼에 전 재산을 넣어두는 건 도박입니다. 거래소의 보안 시스템이, 유출된 주소록에서 당신의 집을 찾아낼 범죄자의 동기보다 더 강할 것이라고 베팅하는 셈이죠.

결국 정답은 하드웨어 보안과 철저한 운영 보안(OpSec)의 조합이라고 생각합니다. 내가 얼마나 가졌는지 남에게 말하지 마세요. SNS에 수익 인증샷 올리지 마시고요. 그리고 제발, 자산을 거래소에서 빼서 콜드 월렛으로 옮기세요.

KYC 굴레에서 벗어나 흔적을 남기지 않고 자산을 교환하고 싶다면, 저는 StealthEX가 괜찮은 대안이라고 봅니다. 일반적인 스왑의 경우 계정 등록이나 KYC 없이 이용 가능한 비수탁형 스왑 서비스거든요. 모든 사토시 하나하나를 인덱싱하려는 세상에서 최소한의 프라이버시를 지킬 수 있는 간단한 방법입니다.

에디터가 엄선한 거래소에서 뉴스를 트레이딩하세요: Gate