빗썸 해킹 그 이후...

in #coinkorea7 years ago (edited)

안녕하세요 ^^ @coinyawong입니다.

저는 IT 업계에서 일하고 있구요 ~ 암호화 코인에 관심이 많아
조금씩 투자를 하고 있습니다.

앞으로 여기에 제 관심분야인 코인에 대해 포스팅을 조금씩
해 보려고 하는데 잘 부탁드립니다. ^^

7월 초 빗썸이 털렸다는 뉴스를 들었을 때 저는 올 것이 왔구나
라고 생각했습니다.

1.png

꼭 개발자 관점으로 보지 않아도 홈페이지 구석구석엔 취약점이 가득했으며,
로그인 시 OTP 적용도 적용되지 않았으니까요.
(출금 시 OTP 인증이 필요하다고 해도, 비활성 하는 방법도 있으며
얼마든지 계정에서 장난질 칠 수 있죠.)

국내 3대 거래소(빗썸/코인원/코빗) 중 로그인 시 유일하게 OTP 인증이
되지 않는 곳이었습니다.

게다가 보안의식/개인정보 보호도 빵점이었습니다.
(지금도 그럴 지도 모르겠네요.)

무려 빗썸 직원(임원?) 자택 개인 PC에서 털렸으니까 말입니다.

빗썸 회원 3만 건의 개인정보가 해커에게 넘어갔고,
빗썸은 피해자들에게 10만원 씩이나(?) 보상을 해주었습니다.
(다행히 저는 목록에 없는데 또 모르죠 ㅎㅎ
그래서 개인지갑으로 이더사서 옮길 계획입니다.)

그리고 약 120여 명의 피해자들이 단체소송 준비하고
검찰 조사 들어간다니까 부랴부랴 그 동안 하나도 신경 쓰지
않았던 사이트, 고객센터 확충에 들어가는 걸로 보이네요.

사이트에 로그인 시 OTP 인증도 추가가 되게 변경하였습니다.
하지만 제 눈엔 아직도 허접해 보이네요. 그렇게 시큐어 코딩 할
인재가 없는 걸까요? 빗썸 돈도 많이 벌텐데...

저는 얼마 전 취약점 하나를 찾아내었고,
그것을 여러분과 공유하고 싶습니다.
2.png

무슨 취약점인지 아시겠나요?
OTP 인증을 하지 않아도 제 계좌 정보와 ID 값을 불러왔네요. -_-;;

눈가리고 아웅 식의 사이트 개선이었네요...
알바가 코딩해도 저거보다는 잘 하겠습니다.

솔직히 저는 취약한 것 알고도 쿠폰 쓰기가 좋아서
종종 이용했었는데 이제 정말 빠이입니다. ㅋ

국외 거래소가 좋지만 굳이 한국에서 거래해야겠다라고
생각하시는 분은 코빗 쓰십시오.

그게 제일 안전한 것 같습니다. 제가 판단하기에는...

저는 코빗, 코인원, 빗썸 다 써봤거든요...

해커에게 안전한 거래소 순위를 매기자면 코빗 > 코인원 > 빗썸 입니다.

암호화 코인은 실체가 없는 코드로 구성되어 있고 익명성 때문에 범인 잡기도
상당히 힘듭니다. (거의 불가능할지도...)

암호화 코인에 관심이 있고 투자를 하신다면 보안에
각별히 주의를 기울이셔야 하겠습니다.

OPT 설정은 선택이 아니라 필수입니다.

그리고 스미싱/보이스 피싱에 주의하세요!

Sort:  

좋은 글 잘 읽었습니다ㅎㅎ 사용하기 불편한 순서는 코빗 -> 코인원 -> 빗썸인것 같아요 코빗의 개별 지갑 시스템은 정말 불편한것 같아요 빗썸은 티켓이나 거래, 한도제한 등 접근성은 쉬운데 안전은 확실히 떨어진다는 생각이 드네요

네~ 제 글 읽어주셔서 감사합니다. ^^ 암호화 코인 털리는 건 한순간이라 보안에 신경을 많이 써야되는데 빗썸은 아직 갈 길이 먼 것 같습니다.

솔직히 그정도 돈벌면 사람빼오기 쉬울텐데... 그게 않되나 보네요...
올해 2분기에 4명이나 그만뒀으니...25명도 안되는 인원으로 서비스하려니
벅차고 구멍이 숭숭 나서 해킹된거라고 예상합니다. 물들어올떄 배저어야된다고 채용은 계속 하고있더군요..

회사 블로그 보니까 일주일 째 철야한다고 하더라구요. 전 임직원이... 우수한 인력을 많이 뽑으면 해결될 일인데 그런데 돈을 아끼니까 이 사단이 난 게 아닌가 합니다.

뉴비는 언제나 응원!이에요.
팁! : 너무 안좋은 글을 보셨을 땐, 눈물의 다운보팅을 해주시는 것도 좋아요. 뮤트도 한가지 방법이죠.
3.47% 보팅
현재 보상량 : [ 평균 - 0.49 / 2개 / 합계 : 0.98 ]

  • kr-newbie 보안관 봇! (beta 0.5.0 - 2017/07/17)

제 글 읽어주셔서 감사합니다. ^^ 앞으로도 잘 부탁드립니다.

좋은 글 감사합니다. 저는 아직 코인을 투자하진 않았고 공부중인데요. 상식적으로 직원 개인 집에 정보를 가져갔다는 사실 자체가 이해가 안 가더라고요... 회사 밖으로 그런 중요 정보가 나간다는게 참 어이가 없어요... 요리 조리 찾아본 결과, Bitstamp와 Poloniex를 생각하고 있는데, 혹시 추천해주실 수 있나요? 😄

반갑습니다. 거래량으로 보았을 때 폴로닉스가 나을 것 같습니다.
(거래량이 많으면 사고 팔기기 쉬운 장점이 있습니다.)
저도 계정을 보유하고 있구요... 보안 점수도 높은 편이었습니다.

폴로닉스로 시작해야겠네요. 감사합니다!!!

다만 진입하기 위해서는 국내거래소에서 코인 매수하는 것이 불가피합니다.
기축통화가 비트코인이라 국내거래소에서 무슨 코인이라도 사서 전송한 후
그걸로 원하는 코인을 구매하셔야 합니다.

아 그래요? ㅠㅠ 저는 페이팔로 구매할 수 있을까 했는데... 직구처럼요. 에규..

그래서 제가 코빗을 사용하고 있습니다, 물론 완전히 안전할수는 없겠지요.

그렇죠 ㅎㅎ 그래서 저도 장기보관 시는 무조건 개인지갑으로 옮깁니다.