자기수탁은 한 번 설정하고 끝나는 일이 아니라 하나의 루틴입니다. 당신의 키가 안전한 이유는 분기마다 당신이 그것을 안전하게 지키기 때문입니다. 이것이 당신의 운영 보안(OpSec) 체크리스트, 즉 작은 어긋남이 사고가 되기 전에 잡아내기 위해 한 해에 네 번 수행하는 15분 점검입니다. 백업은 바래고, 확장 프로그램은 쌓이며, 승인은 누적되고, 지난봄에 믿었던 휴대폰은 결국 팔려 나갑니다. 이 중 어느 것도 그 자체로는 비상사태가 아닙니다. 그러나 1년의 방치를 거쳐 겹치면, 좋은 설정이 조용히 썩어 가는 방식이 바로 이것입니다. 매 분기 초에 조용한 저녁을 비워 두고, 이 페이지를 인쇄해 위에서부터 칸을 채워 나가세요. 어려운 것은 하나도 없습니다. 모든 가치는 무언가 이미 잘못된 뒤가 아니라, 정해진 주기로 하는 데 있습니다.
OpSec은 위협 모델이 직업적으로 진지한 사람들에게서 빌려 온 규율입니다. EFF의 Surveillance Self-Defense 가이드는 그 사고방식에 대한 좋은 입문서입니다. 암호화폐에서는 같은 발상이 몇 가지 질문으로 좁혀집니다. 내 키는 복구 가능한가, 내 기기는 깨끗한가, 내가 서명하는 것을 이해하고 있는가, 그리고 내 지갑 주변의 계정들은 잠겨 있는가? SSP의 2-of-2 구성에서는 모든 지출에 이미 SSP Key에서의 두 번째 독립 승인이 필요하므로, 기기 하나가 침해되었다고 해서 자금을 옮기기에는 충분하지 않아야 합니다. 다만 그 안전망은 두 절반이 모두 건강하고 독립적으로 유지될 때에만 버팁니다. 아래 체크리스트가 그것들을 그 상태로 유지합니다.
매 분기마다 실행하세요. 하려고 마음먹었을 때가 아니라, 실제로 사실일 때에만 칸을 체크하세요.
키와 백업
복구 자료는 다시 만들어 낼 수 없는 유일한 것이므로, 여기서 시작해 다음으로 넘어가기 전에 흔들리는 부분을 모두 바로잡으세요. 저희 시드 문구 모범 사례 가이드가 보관 세부 사항을 다룹니다. 괜찮을 거라고 가정하지만 1년 동안 들여다보지 않은 백업은 자기수탁에서 가장 흔한 단일 장애 지점입니다.
- 모든 시드 문구 백업을 찾아 각각이 물리적으로 읽히고, 빠진 곳이 없으며, 물·열·잉크 바램으로 손상되지 않았는지 확인한다.
- 백업이 지리적으로 떨어진 최소 두 곳에 있어 화재, 침수, 도난 한 번으로 둘을 한꺼번에 잃지 않도록 확인한다.
- SSP의 두 절반이 모두 백업되어 있는지 확인한다. 확장 프로그램 지갑과 SSP Key는 서로 독립적으로 복구할 수 있다.
- 어떤 시드 문구도 휴대폰에 입력하거나, 사진으로 찍거나, 이메일로 보내거나, 비밀번호 관리자나 클라우드 메모에 저장한 적이 없는지 확인한다.
- 백업 위치를 맡긴 사람이 여전히 접근 권한을 가지고 있는지, 그리고 똑같이 중요하게, 여전히 가져야 하는 사람인지 확인한다.
기기와 확장 프로그램
깨끗한 기기는 다른 모든 통제의 토대이므로, 브라우저를 지갑의 일부로 대하세요. 암호화폐 사용자를 위한 브라우저 확장 프로그램 위생이 악성 확장 프로그램 하나가 당신이 서명하는 내용을 어떻게 조용히 다시 쓸 수 있는지 설명합니다.
- 운영체제, 브라우저, SSP 확장 프로그램을 최신 버전으로 업데이트한다.
- SSP Key 기기를 업데이트하고, 여전히 페어링되고 표시되며 올바르게 서명하는지 확인한다.
- 설치된 모든 브라우저 확장 프로그램을 살펴보고, 사용하지 않거나 낯설거나 더는 관리되지 않는 것을 모두 제거한다.
- SSP 확장 프로그램의 게시자와 스토어 ID가 공식 등록과 일치하는지, 흉내 낸 복제본이 끼어들지 않았는지 확인한다.
- 거래에 사용하는 컴퓨터와 휴대폰 양쪽에서 신뢰할 수 있는 멀웨어 검사를 실행한다.
트랜잭션과 승인
요즘 손실의 대부분은 도난당한 키가 아니라, 몇 달 전에 내주고 잊어버린 서명입니다. 그러니 revoke.cash 같은 도구로 당신이 부여한 것을 점검하고, 토큰 승인에 대한 저희 설명을 다시 읽어 보세요.
- 활성 토큰 승인을 점검하고, 오래되었거나, 무제한이거나, 더는 쓰지 않는 dapp에 묶인 것을 모두 취소한다.
- 승인하기 전에 각 트랜잭션을 SSP Key 화면에서 읽는지 확인한다 — 금액, 목적지, 네트워크.
- 최근 출금 트랜잭션을 실제로 보내려던 내용과 대조해 블록 익스플로러에서 표본 점검한다.
- 저장된 컨트랙트와 dapp 북마크가 바뀐 주소가 아니라 여전히 진짜이고 최신인 주소를 가리키는지 다시 확인한다.
지갑 주변의 계정
공격자는 지갑을 먼저 뚫는 경우가 드뭅니다. 그 옆의 이메일이나 거래소 계정을 뚫고 안쪽으로 파고듭니다. 그래서 CISA의 Secure Our World는 쉬운 말로 된 기본기이고, 제대로 된 모바일 2FA가 암호화폐 특유의 함정을 다룹니다.
- 이메일, 거래소, 클라우드 계정을 SMS 2FA에서 SIM 스왑이 불가능한 TOTP나 패스키로 옮긴다.
- 암호화폐에 닿는 모든 계정에 대해 비밀번호 관리자에서 생성·보관한 고유하고 강력한 비밀번호를 확인한다.
- 저장된 주소록을 점검하고, 더는 직접 보증할 수 없는 항목을 제거하거나 다시 확인한다.
- 각 계정의 복구 옵션(예비 이메일, 전화번호, 보안 질문)에 공격자가 파고들 수 있는 약한 고리가 없는지 점검한다.
피싱 대비
피싱은 당신이 실제로 마주할 공격이며 점점 더 그럴듯해집니다. 그러니 암호화폐 사용자를 노리는 피싱 공격으로 수법을 새롭게 유지하고, 진짜 미끼가 도착하기 전에 당신의 반사 신경을 미리 연습해 두세요.
- 공식 SSP 사이트와 거래소를 다시 북마크하고, 그 북마크를 통해서만 접속한다 — 검색 광고나 DM 링크로는 절대 들어가지 않는다.
- 요청하지 않은 메시지, 전화, "지원" 담당자에 응해 트랜잭션을 승인하거나 시드 문구를 입력하는 일이 결코 없는지 확인한다.
- 최근 이메일과 DM에서 클릭하지 말았어야 할 것이 없는지 점검하고, 확실치 않으면 영향받은 자격 증명을 교체한다.
- 당신의 자산을 공유하는 모든 사람에게 SSP와 정당한 지원은 결코 시드 문구를 묻지 않는다고 상기시킨다.
복구와 상속 리허설
한 번도 시험해 보지 않은 백업은 추측에 불과합니다. 그러니 분기에 한 번, 당연히 될 거라 단정하지 말고 실제로 복구할 수 있음을 증명하세요. 브라우저를 잃었을 때 SSP 복구하기부터 시작하세요.
- '브라우저 분실' 훈련을 한다. 깨끗한 프로필에서 백업으로부터 SSP 확장 프로그램을 복구하고 잔액이 나타나는지 확인한다.
- '휴대폰 분실' 훈련을 한다. SSP Key를 다시 설정하고 2-of-2 승인을 처음부터 끝까지 완료할 수 있는지 확인한다.
- 비상 및 상속 접근(백업 위치, 필요한 것, 연락할 사람)을 신뢰하는 사람을 위해 문서로 남긴다.
- 그 문서가 안전하게 보관되고, 신뢰하는 사람이 비밀 자체를 미리 알지는 못한 채 그것이 존재한다는 사실을 알고 있는지 확인한다.
인쇄하고, 일정에 넣기
체크리스트는 실제로 돌아갈 때에만 효과가 있습니다. 그러니 기억에 의존하지 말고 다음 분기 점검이 자동으로 이뤄지게 하세요.
- 이 체크리스트를 인쇄하거나, 정말로 다시 보게 될 곳에 오프라인으로 저장한다.
- 매 분기 같은 주로 설정한 반복 분기 알림을 캘린더에 넣는다.
- 오늘 점검을 마친 날짜와 미뤄 둔 것을 적어, 다음 분기가 이번 분기가 끝난 바로 그 지점에서 시작되게 한다.
