2026.06.02 화요일
검색
'OTP' 검색결과
기간검색
-
~
검색영역
검색어
-
고도화되는 코인 범죄…빗썸, MPC·콜드월렛 기반 보안 고도화 [경제일보] 가상자산 거래소 빗썸이 고객 자산 보호와 보안 체계 강화를 위한 캠페인에 나선다. 최근 보이스피싱과 계정 탈취, 인증 유도 등 가상자산을 노린 금융 범죄 수법이 고도화되면서 거래소 차원의 대처를 강화하고 있다. 29일 빗썸은 이용자 자산 보호와 안전한 투자 환경 조성을 위해 '고객 자산 보호 및 보안 강화 캠페인'을 실시한다고 밝혔다. 플랫폼 자체 보안 체계를 강화하는 동시에 이용자 대상 보안 인식 제고 활동도 병행한다는 계획이다. 최근 가상자산 시장에서는 거래소 계정 탈취와 피싱 사이트 유도, 원격제어 앱 설치를 통한 인증 정보 탈취 등 범죄 수법이 다양해지고 있다. 특히 거래소 직원을 사칭해 비밀번호나 OTP 인증번호 입력을 요구하는 사례도 증가하면서 이용자 주의가 요구되고 있다. 빗썸은 외부 해킹과 보안 위협에 대응하기 위해 고객 자산 상당 부분을 인터넷과 분리된 오프라인 저장 방식인 '콜드월렛'에 보관하고 있다고 설명했다. 이는 법정 기준보다 높은 수준으로 운영되고 있는 것으로 알려졌다. 또한 빗썸은 MPC(다자간 계산) 기반 분산 서명 기술도 적용하고 있다. 단일 관리자 권한이나 특정 서버 해킹만으로 자산이 유출되지 않도록 다수의 승인 절차와 암호화 기술을 결합한 구조다. 내부 자산 이동 과정 역시 다중 통제 체계로 운영된다. 빗썸은 직무 분리 원칙(SoD)에 따라 자산 이동 요청과 검토, 최종 승인 절차를 각각 다른 담당자가 수행하도록 설계했다. 모든 자산 이동은 복수 승인 단계를 거치며 외부 공격 접점을 최소화하는 방향으로 운영 프로세스를 개선 중이다. 글로벌 수준의 보안 대응 체계 구축에도 나서고 있다. 빗썸은 국제침해사고대응협의체(FIRST) 정회원으로 활동하며 글로벌 사이버 위협 정보를 실시간 공유받고 있다. 또한 보안 위협 인텔리전스 시스템을 활용해 해외에서 발생하는 보안 위협까지 사전에 탐지하고 대응하고 있는 것으로 알려졌다. 차세대 보안 기술 확보에도 속도를 내고 있다. 빗썸은 국내 가상자산 거래소 가운데 처음으로 양자내성암호(PQC) 기반 보안 체계 도입을 추진 중이다. 양자컴퓨터 등장 이후 기존 암호 체계가 무력화될 가능성에 대비해 선제적인 보안 기술 투자를 확대하고 있는 동시에 외부 보안 전문가가 참여하는 정보보호 자문위원회를 운영하며 보안 정책과 대응 전략 전반에 대한 검증 체계도 강화하고 있다. 빗썸은 이용자 대상 보안 수칙 안내도 병행한다. 빗썸은 2채널 인증 활성화와 해외 IP 접속 차단 기능 설정 등을 권장하고 있으며, 원격제어 앱 설치나 인증 정보 입력 요구에는 절대 응하지 말아야 한다고 강조했다. 또한 최근 증가하고 있는 계정 대여 및 거래 대행 아르바이트 사기와 출처가 불분명한 지갑 주소 송금 요청 등에 대해서도 주의를 당부했다. 빗썸 관계자는 "가상자산을 노린 범죄 수법이 고도화되는 만큼, 플랫폼 자체의 철저한 보안 통제와 기술 투자는 필수적"이라며 "차세대 보안 기술을 선제적으로 도입하는 등 이용자들이 안심하고 거래할 수 있는 환경을 만들기 위해 최선의 노력을 다할 것"이라고 말했다.2026-05-29 14:06:44
-
빗썸, AI 보이스피싱 예방 캠페인…"OTP 공유 금지" [경제일보] 빗썸이 인공지능(AI) 기술을 악용한 신종 금융사기 예방 캠페인에 나섰다. 딥보이스와 딥페이크 기반 보이스피싱이 정교해지는 가운데 가상자산 투자자를 겨냥한 사칭 범죄에 주의를 당부했다. 빗썸은 정보보호의 날 캠페인으로 ‘보이스피싱 완전정복’ 편을 공개했다고 14일 밝혔다. 빗썸은 악성 문자, 메일, 불법 소프트웨어, 취약한 보안 설정 등으로 인한 정보 탈취를 예방하기 위해 매월 정보보호 캠페인을 진행하고 있다. 지난달 신종 피싱 수법 ‘클릭픽스’와 정보탈취형 악성코드 ‘인포스틸러’를 소개한 데 이어 이번에는 AI 기반 보이스피싱 예방 수칙을 안내했다. 최근 보이스피싱은 AI 기술로 가족이나 수사기관, 금융기관 관계자의 목소리와 얼굴을 실시간으로 모방하는 수준까지 진화했다. 특히 가상자산 투자자를 대상으로 거래소 임직원이나 금융기관을 사칭해 원격제어 앱 설치, OTP 공유, 특정 지갑 주소 송금을 요구하는 사례가 늘고 있다. 빗썸은 이용자 보호를 위한 ‘보안 3대 철칙’을 강조했다. △어떤 상황에서도 OTP 번호나 비밀번호를 공유하지 말고 △출처가 불분명한 링크는 클릭하지 않으며 △타인이 알려준 지갑 주소로 자산을 전송하라는 요구에는 응하지 않아야 한다는 내용이다. 거래소 자체 보안 기능 활용도 권고했다. 빗썸은 2채널 인증과 해외 IP 접속 차단 등을 설정하면 계정 탈취와 이상 거래 위험을 줄일 수 있다고 설명했다. 통신사의 AI 피싱 탐지 서비스와 스마트폰 보안 설정 등 일상적인 예방 방법도 함께 안내했다. AI 기반 금융사기는 기존 보이스피싱보다 식별이 어렵다. 실제 지인의 목소리와 얼굴을 흉내 낼 수 있고 급박한 상황을 연출해 인증번호 제공이나 송금을 유도하기 때문이다. 가상자산은 전송 이후 취소가 사실상 어려운 만큼 사전 예방이 중요하다. 빗썸 관계자는 “AI 기술의 발전이 금융의 편의성을 높였지만 이를 악용한 범죄 수법도 매우 정교해지고 있다”며 “지속적인 보안 캠페인을 통해 이용자가 안심하고 거래할 수 있는 환경을 만들겠다”고 밝혔다.2026-05-14 10:31:32
-
안드로이드 악성코드 '원더랜드', OTP까지 탈취 [이코노믹데일리] 정보 탈취를 넘어 원격 조작과 실시간 금융사기까지 가능한 안드로이드 악성코드 '원더랜드'가 확산되고 있다. 25일 보안업체 그룹-IB 분석 결과에 따르면 원더랜드는 정상 앱으로 위장한 '드로퍼'를 통해 최초 침투를 시작한 뒤 악성코드를 설치하는 것으로 알려졌다. 원더랜드는 설치 직후 악성 행위를 시작하는 트로이목마 APK(앱 파일) 방식이 아니라 정상 앱처럼 작동하다가 이용자 환경에서 악성 페이로드를 실행하는 방식을 취한다. 이 방식은 네트워크 연결 없이도 악성코드 설치가 가능하며 초기 보안 검사나 정적 분석을 피할 수 있다. 원더랜드의 가장 큰 특징은 양방향 통신을 통해 공격자가 실시간으로 명령을 전달할 수 있다는 점이다. 공격자는 이를 통해 문자메시지(SMS)와 일회용 비밀번호(OTP) 탈취, USSD(이동통신사 서버 정보 교환 기술) 명령 실행, 연락처·전화번호 수집, 알림 차단, 추가 SMS 전송 등을 수행한다. 이로 인해 공격자는 금융 인증 절차를 우회해 자금을 빼돌릴 수 있으며 감염된 기기를 추가 공격의 발판으로 삼을 수도 있다. 원더랜드 공격자는 텔레그램을 주요 인프라로 사용하는 것으로 파악됐다. 사용자가 권한을 승인하면 공격자는 해당 기기의 전화번호로 텔레그램 계정을 탈취하고 이 계정의 대화 목록과 연락처를 대상으로 악성 앱을 다시 유포한다. 현재 다크웹에서는 탈취된 텔레그램 계정이 거래되며 공격에 이용되고 있는 것으로 확인됐다. 최근에는 원더랜드 외에도 넥서스루트, 프로그블라이트 등 다른 악성코드들도 안드로이드 OS를 겨냥해 유포되고 있다. 이들 역시 정상 앱으로 위장하거나 OTP·결제 정보를 탈취하는 수법을 사용해 각별한 주의가 필요하다. 보안 업계 관계자는 "이러한 양상은 단순한 공격 기법의 발전이 아니라 안드로이드 해킹이 완전히 체계화된 범죄 산업으로 변모했음을 보여주는 증거"라고 말했다.2025-12-25 14:29:48
-
개보위, 개인정보 유출 2K 게임즈·부산국제금융진흥원에 과징금 3억 부과 [이코노믹데일리] 허술한 보안 관리로 해킹과 랜섬웨어 피해를 입어 이용자 개인정보를 유출하거나 훼손한 기업과 기관이 정부의 제재를 받았다. 개인정보보호위원회(이하 개인정보위)는 지난 10일 제26회 전체회의를 열고 개인정보보호법을 위반한 미국 게임사 2K 게임즈(2K Games)와 부산국제금융진흥원에 총 2억8991만원의 과징금과 1080만원의 과태료를 부과하기로 의결했다고 11일 밝혔다. 2K 게임즈는 안전조치 의무와 유출 통지 및 신고 의무를 위반해 1억9451만원의 과징금과 720만원의 과태료 처분을 받았다. 조사 결과 해커는 2K 게임즈의 헬프데스크 관리자 계정 정보를 탈취해 시스템에 무단 접속했으며 이 과정에서 한국 이용자 1만2906명을 포함한 전 세계 400만명의 이름과 이메일 및 IP 주소 등이 유출된 것으로 드러났다. 개인정보위는 2K 게임즈가 2011년부터 헬프데스크를 운영하면서 관리자 페이지 접속 시 아이디와 비밀번호 외에 별도의 안전한 인증 수단을 적용하지 않은 점을 지적했다. 또한 2K 게임즈는 2022년 9월 28일 유출 사실을 인지하고도 정당한 사유 없이 24시간을 넘겨 10월 8일에야 신고하는 등 대응이 지연된 사실도 확인됐다. 부산국제금융진흥원은 내부 보안 소홀로 랜섬웨어 공격을 허용해 개인정보를 훼손한 혐의로 과징금 9540만원과 과태료 360만 원을 부과받았다. 해커는 지난 6월 진흥원 업무관리시스템에 무차별 대입 공격(Brute Force Attack)을 시도해 로그인에 성공한 뒤 서버 내 파일을 암호화하고 협박 메시지를 남겼다. 이로 인해 임직원 등 177명의 주민등록번호가 포함된 데이터가 복구 불가능한 상태로 훼손됐다. 조사 결과 진흥원은 2020년 4월부터 업무 시스템을 운영하면서 방화벽 같은 필수 보안 장비를 설치하지 않았고 윈도 운영체제 보안 업데이트조차 최신 상태로 유지하지 않은 것으로 밝혀졌다. 특히 민감한 고유식별정보인 주민등록번호를 암호화하지 않고 평문으로 저장해 피해를 키웠다는 비판을 피하기 어렵게 됐다. 이번 처분은 랜섬웨어 감염으로 데이터가 암호화되어 사용할 수 없게 된 경우를 ‘개인정보 훼손’으로 명확히 규정하고 제재했다는 점에서 의미가 크다. 개인정보위는 유출 여부가 불분명하더라도 정상적인 서비스 제공이 불가능해진 상태를 법적 처벌 대상으로 재확인했다. 개인정보위 관계자는 "개인정보 데이터베이스 등 중요 파일은 주기적으로 백업하여 별도 보관해야 하고 관리자 페이지 접속 시에는 OTP 등 2차 인증 수단을 반드시 적용해야 한다"고 강조했다.2025-12-11 12:07:34
-
쿠팡발 스미싱 공포..."새벽에 나 몰래 로그인?"… 개인정보 유출 확인, '이것'부터 챙겨라 [이코노믹데일리] 쿠팡발 대규모 개인정보 유출 사태가 일파만파 커지면서 소비자들의 불안감이 극에 달하고 있다. 온라인 커뮤니티와 소셜미디어(SNS)에는 "사용하지 않는 새벽 시간대에 로그인 기록이 있다"거나 "갑자기 스미싱 문자가 폭주한다"는 제보가 잇따르고 있다. 이에 정부와 보안 업계는 개인이 직접 유출 여부를 점검하고 2차 피해를 예방할 수 있는 구체적인 행동 요령을 제시했다. 우선 정부가 제공하는 공식 조회 서비스를 활용하는 것이 첫걸음이다. 한국인터넷진흥원(KISA)이 운영하는 '털린 내 정보 찾기 서비스'는 사용자의 아이디와 비밀번호 등 계정 정보가 다크웹과 같은 불법 경로로 유통되고 있는지 확인할 수 있는 유용한 도구다. 다만 이번 쿠팡 사태처럼 이름, 전화번호, 이메일 등 일반 개인정보가 유출된 경우에는 해당 기업이 정부에 신고한 내용을 바탕으로 확인이 진행된다. 따라서 이용자는 기업의 공식 공지 사항이나 유출 확인 페이지를 수시로 체크하고 불확실한 경우 국번 없이 118(KISA 상담센터)로 전화해 문의하는 것이 가장 빠르다. 쿠팡 측은 현재 "신용카드 번호 등 결제 정보와 비밀번호는 유출되지 않았다"고 선을 그었으나 이름과 배송지 주소, 연락처 등이 빠져나간 만큼 이를 악용한 범죄 가능성은 여전하다. 이 때문에 플랫폼 자체 '로그인 이력' 점검이 무엇보다 중요하다. 해커가 탈취한 정보를 이용해 계정에 접근했는지 파악할 수 있는 가장 확실한 증거가 되기 때문이다. 쿠팡을 비롯해 네이버, 카카오, 구글 등 대다수 플랫폼은 보안센터 메뉴를 통해 최근 로그인 시간, 접속 지역, 사용 기기 목록을 투명하게 공개하고 있다. 만약 본인이 이용하지 않은 시간대에 접속 기록이 있거나 낯선 해외 IP 접속 흔적이 발견된다면 계정 탈취를 강력히 의심해야 한다. 보안 전문가들은 "의심 정황이 포착되는 즉시 비밀번호를 변경하고 OTP(일회용 비밀번호)나 인증 앱을 활용한 '2단계 인증'을 활성화해야 한다"며 "등록된 기기 목록에서 내가 쓰지 않는 기기는 과감히 차단(로그아웃)하는 것이 기본"이라고 조언했다. 스미싱(문자 결제 사기) 문자가 급증하는 현상도 정보 유출의 강력한 간접 신호다. 통상 대형 개인정보 유출 사고가 발생하면 직후 1~3개월간 배송 오류나 환불을 빙자한 스미싱 공격이 폭증하는 경향이 있다. 따라서 모르는 번호로 온 문자의 링크(URL)는 절대 클릭하지 말고 스마트폰 설정에서 '출처를 알 수 없는 앱 설치 차단' 기능을 활성화해 악성 앱 감염을 원천 봉쇄해야 한다. 만약 피해가 현실화됐다면 유형에 따라 신고 창구를 달리해야 신속한 구제를 받을 수 있다. 단순 개인정보 유출 상담이나 신고는 KISA 118 상담센터가 담당한다. 계정 탈취나 스미싱 등 실제 사이버 범죄 피해를 입었다면 경찰청 사이버범죄 신고시스템(ECRM)을 이용해야 하며 계좌가 도용되거나 대출 사기 등 금전적 피해가 발생했다면 금융감독원 불법 금융거래 대응센터에 접수해야 한다. 보안 업계 관계자는 "유출 여부를 100% 완벽하게 차단할 수는 없지만 로그인 기록 점검과 2단계 인증 활성화만으로도 치명적인 피해는 막을 수 있다"며 "소비자 스스로가 보안의 주체가 되어 선제적으로 방어 기제를 구축해야 한다"고 강조했다.2025-12-06 09:58:30
많이 본 뉴스
영상
Youtube 바로가기
![[편집인 칼럼] 젠슨 황의 말 한마디에 춤추는 한국 경제의 빛과 그림자](https://image.ajunews.com/content/image/2026/06/02/20260602105044276558_518_323.png)