스팀(steem)을 보호하는 정말 중요한 방법들 / The most important ways to protect steem.
안녕하세요 @skt1 입니다.
전자화폐 이해하기의 본 연재 이야기 보다 시급성과 중요성에서 꼭 한번 안내(공유)드리고 싶은 사항이 있어, 몇 가지를 정리해 보았습니다. (최근 스팀잇에서 발생하고 있는 비밀번호의 노출과, 실수로 노출되는 Key 로 하여금 발생할 수 있는 피혜와 손실을 최소화 했으면 합니다)
"개개인의 스팀잇 계정의 보호와 안전이 중요한 것은 보유하고 있는 스팀을 보호하고 있는 것 만큼이나 "나" 를 가장한 익명성과 투명성의 보호를 위해서도 꼭 기억해 주시면 좋을 것 같다는 의견을 드립니다"
스팀잇의 키(Key, 비밀번호, Password 등)가 고의든 실수든 유출되었거나, 도난 당했을때의 그 피해는 방금 언급 드린것과 같이 스팀잇의 가입과 동시에 제공되는 스팀의 "전자 지갑" 입니다. 스팀이라는 암호화폐가 저장되는 곳 즉, 은행의 통장과 같은 개념으로 이해해주시면 빠르게 이해 하실 수 있습니다. 스팀잇은 다양한 암호화폐의 거래가 가능한 풀로닉스(다양한 암호화폐의 환전 및 매매가 가능한)나 국내의 암호화폐의 거래소와 같이 환전의 기능만을 주 목적으로 하지는 않습니다.
하지만, 스팀잇은 스팀이라는 암호화폐를 리워드로 제공하고 이를 이용한 스팀파워(지분과 같은)를 통해 다양한 로직이 적용되어 있는 스팀기반의 응용플렛폼이라 할 수 있습니다. 이렇게 때문에 스팀잇을 가입함과 동시에 저도 모르는 사이에 스팀이라는 암호화폐의 지갑을 부여 받은 것 입니다. 즉, 스팀잇의 비밀번호가 노출되었다는 것은 스팀지갑의 비밀번호 다시말해서, 내 통장의 비밀번호가 노출 되었다는 것과 동일한 이치로 생각 할만큼 위험한 일이 발생한 것입니다. 그 통장에 행여 잔고가 얼마 있고 없고를 떠나서 말이죠..
두번째는, 스팀잇이라는 스팀(블록체인)기반의 "익명성과 투명성"이 보장되는 블로깅 플랫폼에서의 활동기록 + @ (송금 등을 포함한 다양한 기능)에 대해서 원하지 않는 액션(행동)이 이뤄 질 수 있다는 것입니다.
극단적인 예로, 정말 비 윤리적이고, 비 상식적인.. 즉, 절대다수가 공감하지 않는 글이든 댓들, 좋아요(보팅)혹은 악의적인 나빠요(다운보팅)을 타인의 계정을 통해 무자비로 수행 할 수 있게 됩니다. 게다가 이 기록을 지우는 것은 거의 불가능에 가깝습니다.
이밖에도, 정말 위험한 사례들이 발생 할 수 있습니다. (위험에 대한 이야기를 조금더 쉽게 설명 된 사례 및 당장 비밀번호를 바꾸기 위한 방법들에 대한 이야기들은 잘 정리되어 있는 포스팅의 링크를 통해 참고 해주시길 당부 드립니다. )
- 만일 스팀키(비밀번호)가 유출됬을지도 모른다면 이렇게 하세요
@leesunmoo/lnmft
스팀키의 (마스터키 등) 상세한 변경방법, 노출시 위험사항 등에 대한 유용한 내용을 담고 있습니다.
- 스팀키 관리 주의 사항 - 스팀 포스팅의 모든 기록 추적가능함
@atomrigs/469im7
어쩌면, 저를 포함한 뉴비님들의 스팀키위 노출 위험성을 인지하지 못한 상태로 이 키가 공개되었을때의 위험성에 대한 내용을 상세하게 담고 있습니다.
- 스팀잇 패스워드 및 개인키 사용방법
@vip/nve21
스팀에는 마스터 키 뿐만아니라. 다양한 키가 존재 합니다. 아울러 추가 인증(2FA)에 대한 중요성에 대해서도 언급되어 있습니다.
이 밖에도, 스팀키 (비밀번호)를 보호하기 위한 유용한 포스팅이 많이 있습니다. 제가 우선 최근 확인하고 읽어본 이야기들을 우선해서 링크 하여 스팀잇에 참여하신지 얼마 안되는 분들에게 참고 될 수 있도록 참고 링크를 공유드리고자 합니다. (꼭 한번 참조해보시면 좋겠습니다.)
지금까지, 스팀잇 그리고 스팀의 계정의 노출/유출로 인한 위험성과 혹시라도 그렇게 되었다면 당장 해야 할 일들에 대해서 말씀 드려 보았습니다. 이제 부터는 스팀잇의 키 라고 말씀 드린 비밀번호를 더욱 안전하게하고, 보호 할수 있는 방법 들에 대해서 이야기 드려 보고자 합니다.
- 첫째, "비밀번호는 반드시 "백업"을 해라" 입니다.
- 둘째, "백업시 쉽게 범 할 수 있는 실수를 피해라" 입니다.
- 셋째, "조금더 안전한 인증수단을 이용해 보자" 입니다.
첫번째인 "반드시 "백업" 해라"에 관한 이야기 입니다. 여기에는 일반적인 인터넷사이트(네이버나 다음과 같은)와 매우 유사하면서도, 조금은 다른 이야기 일 것 입니다.
유사하다고 말씀 드린 것은 "본인인증" 이라는 목적의 비밀번호 일 것 입니다. 단순하게 생각하면 누구에게나 공개되어 있는 ID를 입력하고 저만이 알고 있는 비밀번호를 입력 후 "나"라는 사람이 맞습니다 라고 하는 행동일 것입니다.
하지만, 조금은 다른이야기 라고 말씀드린데에는 가입할 때 한번쯤은 느껴 보셨겠지만, 비밀번호를 스스로가 정하지 않습니다. 변경 할때도 마찬가지 이며, 복구 할때도(사실 복구는 매우 어렵습니다) 스스로가 정할수 없도록 되어 있습니다. 복구가 다른 점도 다른이야기 중 하나 이겠지만, 비밀번호는 단순 로그인의 목적과 함께 내 지갑, 즉 내 통장의 거래를 승인하는 인증번호이기도 합니다. 일반적인 포탈에서 물건을 구매하거나 컨텐츠를 구매하거나의 매매시 사용되는 거래수단은 또 다른 금융수단인 카드, 자동이체 혹은 해당 포탈에서 제공하는 간편결재(OOO페이)일 수 있습니다. 하지만, 이런 수단을 사용하기 위해서는 분리된(로그인이라는 인증수단과는 별도의) 인증 절차를 걸치도록 하고 있습니다.
이렇기 때문에라도 스팀잇은 비밀번호의 생성시 생성규칙을 사용자 개개인에게 주는것을 조금이나마 제한하여 (복잡도를 매우 높혀서) 사용자의 보호 및 스팀잇 생태계 전체를 보호 하고 있는 것일지도 모르겠습니다. 그래서 라도, "비밀번호는 반드시 백업"의 필요성을 강조 드립니다.
그렇다면 "백업"하면 안전하냐? 라는 물음에는 이전에 포스팅 드린 하나의 이야기를 참조 드리고자 합니다. (이 이야기의 핵심은 "온라인의 최고 안전은 오프라인이며, 오프라인의 최대 안전은 온라인이다" 라는 이야기 입니다.)
- [ 전자화폐 이해하기(번외1) ] 전자지갑을 안전하게
@skt1/1
두번째인 "백업시 쉽게 범 할 수 있는 실수를 피해라" 입니다.
첫번째 이야기의 연장선상의 이야기 일 수 있습니다. 온라인 상의 내 비밀번호를 안전하게 로컬PC(사용하는 노트북 등)을 이용해 백업을 하거나 출력을 통한 보관을 하실 수 있습니다. 이는 너무도 당연한 것과 같이 너무나도 당연하게 범 할 수 잇는 실수가 많은 것들 중에 하나 일 것입니다.
스팀잇에 접속 하실때 어떻게 하시나요?
최근들어 PC를 통한 인터넷 접속 보다는 모바일이 앞질렀다고는 하나 접속형태는 그리 중요하지는 않을 것 같습니다. 모바일의 전용 App인 eSteem을 이용하는 방법, 혹은 모바일의 인터넷아이콘을 이용한 크롬, 사파리, 네이버 App등을 이용하는 방법, 그리고 PC에서 인터넷익스플로어나 크롬, 사파리, 파이어폭스 등과 같은 인터넷브라우져를 이용하는 방법등 다양하게 있을 수 있습니다. 하지만 어떠한 경로든 ID를 입력하고 PW(비밀번호, 이하 PW)를 입력하거나 저장되어 있는 PW를 자동으로 입력되게 끔 저장되어 있는 형태가 대부분입니다. 이런데에는 스팀잇의 PW가 중요한만큼 엄청난 길이와 복잡한 숫자와 문자가 섞에 있기 때문에 라도 그럴 수 있습니다.
그럼 여기서 생각해 볼 두가지가 있습니다.
- "온라인"과 분리된 "PW백업"을 어떻게 하시나요??
- PW가 저장되어 있는 브라우져(또는 프로그램)는 안전 할까요??
하나씩 생각해 보겠습니다. 의외로 간단한 곳에서 많은 실수를 범하고 있을 수 있습니다. 비밀번호를 생성하거나, 변경 후 비밀번호를 어떻게 저장하고 보관하고 계시나요? 라고 조금은 다른 물음에 답해 보시면 어떨까 합니다.
"화면캡쳐(화면을 그림파일로), 혹은 마우스를 이용한 긁어서 붙여넣기(드레그 앤 드롭), 혹은 사진으로 찍어두기, 혹은 pdf로 출력의 방법을 사용하지는 않으세요? 의외로 만든 분들이 이렇게 백업하여 온라인으로 부터의 위험성에서 Risk를 해소하는 노력을 하고 있을 수 있습니다. 하지만, 이는 또다른 위험성을 낳게 하는 대표적인 실수 중 하나 입니다."
그렇기 때문에 라도 이렇게 온라인으로 부터 분리한 PW를 잘 기억 할 수 있는 PW를 이용한 방법이 필요하게 됩니다. (이를 안전한 USB메모리를 이용하여 분리 저장해 두는 것도 좋은 방법일 수 있습니다) 압축파일의 암호기능을 권장 드립니다. 압축을 할 수 있는 프로그램이라 하면, 알O, 반디O, 빵O 등 국내에 너무나도 익숙한 압축프로그램이 있습니다. 꼭 프로그램을 설치하지 않더라고 윈도우라는 운영체제(리눅스도 마찬가지)에 내장되어 있는 압축프로그램이 있습니다.
이를 활용하여, PC에 백업한 비밀번호를 그게 이미지 파일이든 PDF 파일이든 어떠한 형태의 문서파일이든 이를 암호를 걸어 압축을 하고 원본파일(이미지, 텍스트 등의 파일은 삭제)함으로써, 행여 그 파일에 다른 사람이 접근하거나 몰래 가져가도 재 사용(임의의 사용) 가능성을 많이 줄여 줄 수 있습니다.
(압축을 하기 위한 목적보다는 암호를 설정하기 위한 목적입니다.)
또는, 다양한 암호를 엑셀(xls) 프로그램이나, 오피스 프로그램을 활용해서 기록해서 혹시라도 모름에 대비하시는 분들도 많이 있을 것입니다. 역시도 이러한 오피스 프로그램에서 제공하는 암호설정 기능을 추천 드립니다.
(엑셀프로그램의 경우 "다른이름으로저장 >일반옵셥>암호설정" 메뉴를 이용 하실 수 있습니다)
또 다른 방법은 브라우져의 자동입력기능을 export(내보내기)기능을 이용하여 다시 압축암호를 이용하는 기능입니다. 사용하시는 브라우져가 인터넷익스플로어, 크롬, 파이어폭스 등 범용적으로 사용하는 브라우져에는 포함되어 있는 기능을 활용해 볼 수 있습니다.
( 크롬의 경우 - "메뉴 > 환경설정 > 비밀번호관리 > 내보내기"를 통해 활용 하실 수 있습니다. )
※ 주의 : 브라우져의 버전과 종류에 따라 메뉴가 상이 할 수 있습니다.
그리고 주로 사용하는 PC(내 컴퓨터가 아닌 공용컴퓨터나, 다른사람의 컴퓨터, 혹은 PC등과 같이 누가 사용할 지 모르는 불특정 다수에게 노출된 PC라면)가 아니라면, 꼭 사용기록과 저장된 암호를 지워주는 것은 선택이 아닌 필수 라고 생각해 주셔야 한다는 말씀을 드려 봅니다.
( IE(인터넷익스플로어)의 경우 "메뉴 > 설정 > 인터넷옵션 > 기록삭제" 히스토리 지우기)
※ 주의 : 브라우져의 버전과 종류에 따라 메뉴가 상이 할 수 있습니다.
마지막으로 출력등의 방법을 통해 완전하게 분리된 오프라인으로 인쇄를 하셨다면, 안전한 보관과 함께 분실에 대한 대비도 꼭 기억해 주시기 바랍니다.
다음은 세번째인 "조금더 안전한 인증수단을 이용해 보자" 입니다.
조금더 안전한 인증수단이라면 무엇을 말할까요?? 생체인증? 최근 새로운 스마트폰에서 지원한다는 "홍채인식"? "정맥인증", "지문" 등 모두 포함될 수 있습니다. 조금은 실생활에 근접해 있는 OTP(One Time Password)를 생각해 보겠습니다. 아무리 안전한 인증수단이라도 2개 이상의 인증 수단을 결합한 것 보다는 그 뛰어남을 담보하는게 쉽지는 않을 것입니다. 그래서 흔히들 멀티팩터인증(Multi Factor)을 말하게 되며 2팩터인증 이라 하여 (2FA)라는 형태로 지칭 하기도 합니다.
암호화폐에 익숙한 이곳 스팀잇에서 예시를 들어 보자면, 거래소의 출금, 혹은 송금 또는 로그인시점이라도 OTP(구글 OTP 등)을 이용한 경험이 있으실 것 같습니다. 꼭 스팀이 아니더라도 실생활에 익숙한 인터넷뱅킹에서 이체를 위해서 입력하는 사용하는 ID와 비밀번호 그리고 추가로 인증하는 SMS 나 ARS 인증, 추가본인확인 인증, 지문인증, OTP인증 등이 모두 이러한 2FA 인증에 속하게 됩니다.
궁극적인 목적인 행여 한가지의 인증이 실수든 고의든 노출되었을때, 우리가 지키고자 하는것, 혹은 회손되거나 노출되고 싶지 않은 정보를 악용된는 것으로 부터 방지하고자하는 것은 모두 같은 맥락이라 보실 수 있습니다.
- 어떻게 생각하세요???
오늘 이야기의 결론입니다. 포스팅의 제목과 같이 "스팀(steem)을 보호하는 정말 중요한 방법들"롤 설명드린 세가지 카테고리와 각 카테고리에서 실천할 수 있는 다양한 방법들 실제 적용하려다 보면, 너무도 번거롭게 생각 하실 수도 있습니다. 뿐만 아니라 사용하는 컴퓨터의 환경에 따라서 잘 적용이 되지 않을 수도 있습니다. 또한, 전용보관 USB메모리를 구매한다거나, 조금더 나아가 전자지갑 자체를 보관하는 토큰을 구매한다거나 한다면 비용이 발생 할 수도 있습니다.
즉, 사용성에 많은 불편을 줄 수 있는 것들도 있습니다. 하지만, 우리스스로가 지켜야 할 자산, 혹은 보호해야할 정보라고 한다면, 이런한 방법들이 결코 선택사항으로만 생각하기에는 너무 위험할 지도 모릅니다. (오늘도 내용이 너무 길어졌네요. ^^; ) 참고적으로 본 포스팅의 목적과 내용과는 조금 깊이 있고 확장된 이야기 였던 안전한 추가인증 수단(MFA, 2FA 등)에 대해서는 한번더 정리해서 다시 포스팅을 하도록 하겠습니다.
오늘도 긴 글 읽어 주셔서 감사합니다.
업데이트 (updated) '17.06.13 21:38
필립쿤님의 댓글에 추가적인 확인사항을 업데이트 하여 드립니다.
오피스 프로그램이나 압축프로그램을 사용하여 암호를 설정할 경우 암호화 하는 알고리즘의 안전성에 대한 부분입니다. (알집, 반디집 등 국내 점유율이 높은 프로그램 AES256이상 지원, MS office 2010이상 (제품군 워드, 엑셀, 파워포인트 등)에서 AES256이상하는 것으로 확인 하였습니다. )
AES256이상을 지원한다는 의미는 암호를 적용하였으나 그 암호를 무작위 대입이나, 암호를 크랙하는 툴 등을 이용하였을때 그 안전성(국내/국외 표준 에따라)을 보장하는 수준의 알고리즘이 적용되어 있음을 의미 합니다.
(다만, 이때도 놓혀서는 안될 사항이 있다면, 적용하는 암호의 길이는 최소 10자리 이상을 사용 하실 적을 권해 드립니다. )
감사합니다.