암호화폐 조직의 안전 지키기

* 해당 블로그의 원문은 2025년 1월 25일 Google Cloud 블로그(영문)에 게재되었습니다. 

작성자: Joshua Goddard

암호화폐 강도 사건의 증가와 예방의 어려움

암호화폐 범죄는 절도, 해킹에서 사기, 자금 세탁, 심지어 테러 자금 조달에 이르기까지 광범위한 불법 행위를 포괄하며, 모두 디지털 통화의 고유한 특성을 악용합니다. 특히 암호화폐 강도 사건은 무단 접근, 악용 또는 기만을 통해 대규모로 암호화폐 또는 디지털 자산을 훔치는 것을 의미합니다.

암호화폐 강도 사건은 수익성이 높은 보상, 악성 행위자에게 책임을 묻기 어려운 문제, 그리고 많은 조직에서 암호화폐 및 Web3 기술에 대한 초기 인식이 부족한 데서 오는 기회로 인해 증가하고 있습니다. Cofense는 Web3 플랫폼을 표적으로 하는 피싱 활동이 2022년에 482% 증가했다고 강조했으며, Chainalysis는 2023년에 불법 주소가 242억 달러를 받았다고 보고했고, Immunefi는 2024년 2분기에 Web3 조직의 침해로 인해 약 5억 7,200만 달러의 손실이 발생했다고 보고했습니다.

위협 행위자가 암호화폐 조직에 접근하게 되면 무단 접근으로 인한 신속하고 높은 가치의 재정적 손실 가능성이 크게 높아집니다. 취약한 시스템에서 실행된 단일 악성 명령으로 인해 수백만 달러 상당의 자산을 도난당할 수 있습니다. 이는 전통적인 조직과는 극명한 대조를 이룹니다. 전통적인 조직에서는 재정적 이익을 얻거나 훔친 데이터에서 가치를 추출하려면 종종 장기간의 사회 공학 캠페인이 필요하며, 그 과정에서 법 집행 기관이나 금융 기관에 의해 적발 및 체포될 위험에 직면합니다. 신속하고 상당한 재정적 이익에 대한 전망은 위협 행위자가 암호화폐 조직을 표적으로 삼도록 하는 강력한 동기를 제공합니다.

암호화폐 조직은 암호화폐의 사용, 관리 또는 교환을 중심으로 핵심 운영이 이루어지는 조직을 의미하며, 다음을 포함합니다.

• 암호화폐 구매 및 판매를 용이하게 하는 암호화폐 거래소
• 암호화폐의 온-오프 램프 구매 및 판매를 제공하는 금융 기관 또는 결제 게이트웨이 플랫폼
• 고객을 위한 투자 상품으로 암호화폐 자산을 보유하는 금융 기관
• 암호화폐 자산과의 상호 작용을 위한 금융 솔루션을 제공하는 DeFi 프로토콜 제공업체
• 게임 내 경제에 블록체인을 사용하는 Web3 게임 제작자
• 암호화폐 자산의 저장 솔루션을 제공하는 하드웨어 또는 소프트웨어 암호화폐 지갑, 지갑 관리자 및 지갑 스마트 계약 제공업체
• 새로운 암호화폐 토큰을 생성하기 위해 트랜잭션을 검증하는 암호화폐 채굴 조직

이러한 조직이 직면한 위협은 상당합니다. Mandiant는 암호화폐 조직이 큰 영향을 미치는 강도 사건에 대한 광범위한 보고의 압력으로 인해 강화된 보안 통제를 사용하고 있음을 관찰했지만, 많은 조직이 여전히 직면한 위협에 대비하지 못하고 있습니다.

Mandiant는 암호화폐 조직에서 수행한 침해 사고 대응 활동 전반에 걸쳐 이러한 유형의 조직에 비교적 고유한 공통 과제를 관찰했습니다. Mandiant는 이러한 과제가 상당한 기술적 보안 부채, 복잡성 및 확장된 공격 표면을 야기하여 침입을 예방, 탐지 및 대응하는 것을 점점 더 어렵게 만든다는 것을 관찰했습니다.

Mandiant는 조사한 침입 사례에서 위협 행위자들이 어떻게 암호화폐를 탈취하고 훔칠 수 있었는지에 대한 유사점을 발견했습니다. "암호화폐 조직 보안" 보고서에서 Mandiant는 최전선에서 얻은 경험을 바탕으로 암호화폐와 상호 작용하는 것을 핵심 사업으로 하는 조직을 특히 지원하도록 설계된 권장 사항과 통찰력을 정리했습니다. 이 권장 사항은 암호화폐 조직이 침입을 방지하고, 공격 수명 주기 초기에 침입을 탐지하며, 보다 효과적으로 대응하기 위해 구현해야 하는 보안 통제에 대한 개요를 제공합니다. 이러한 권장 사항은 Mandiant가 조사한 침입 사례에서 관찰된 특정 보안 결함을 기반으로 하지만, 업계 내에서는 암호화폐 조직을 위한 더 광범위한 보안 통제를 설명하는 대체 프레임워크를 이용할 수 있습니다. 특히 Security Alliance (SEAL)의 보안 프레임워크는 다양한 암호화폐 조직의 보안 접근 방식을 고려할 때 핵심 통제에 대한 훌륭한 개요를 제공합니다.

침해 예방

침해 방지를 위한 암호화폐 및 IT 인프라 보안

암호화폐 인프라 및 지갑 관리

암호화폐 인프라는 디지털 자산의 생성, 저장, 전송 및 관리를 용이하게 하는 시스템, 프로토콜 및 기술의 네트워크입니다. 이 인프라의 핵심에는 암호화폐 지갑이 있으며, 이는 암호화폐에 대한 소유권과 통제권을 제공하는 암호화 키를 저장하고 관리하는 컨테이너 역할을 합니다. 모든 암호화폐 조직의 최우선 순위는 이 인프라의 보안이며, 이러한 키가 손상되면 막대한 재정적 손실로 이어질 수 있습니다.

암호화 인프라 표준

전통적인 암호화 보안 통제는 대부분의 조직의 보안 전략에서 흔히 사용됩니다. 많은 동일한 통제와 사용 사례를 암호화폐 키와 지갑 보호에 적용할 수 있습니다.

CryptoCurrency Certification Consortium (C4)의 CryptoCurrency Security Standard (CCSS)는 암호화폐를 저장하거나 상호 작용하는 시스템의 기술적 보안을 위한 널리 받아들여지는 표준입니다. 어떤 시장의 금융 규제 기관에서도 공식적으로 요구하지는 않지만, 이 표준에서 도입된 통제는 특히 암호화폐 인프라를 보호하려는 조직에게 강력한 출발점을 제공하며 다른 지역 및 국제 IT 보안 표준을 보완합니다. Mandiant는 암호화폐 인프라를 유지 관리하는 조직이 사용자 지정 구현과 타사 솔루션 모두에서 이러한 표준을 준수할 것을 권장합니다.

관리 솔루션

많은 암호화폐 조직은 상용 암호화폐 관리 솔루션을 사용하여 지갑 인프라를 관리하기로 선택합니다. 이러한 솔루션은 특히 맞춤형 시스템을 구축하거나 위임할 기술, 예산 또는 요구 사항이 부족할 수 있는 신생 또는 스타트업 조직에 여러 가지 이점을 제공합니다. 관리 솔루션의 주요 이점으로는 간소화된 인증 및 권한 관리, 능률적인 로깅 및 모니터링, 다른 시스템과의 쉬운 통합을 위한 API 액세스 제공 등이 있습니다.

상용 관리 플랫폼은 특히 해당 플랫폼이 자체 호스팅되지 않을 때 맞춤형 구축 솔루션보다 새로운 위험을 초래할 수 있습니다. 여기에는 관리 플랫폼 자체의 잠재적 손상, 플랫폼 종속성 또는 콘텐츠 전송 네트워크 (CDN)의 취약성, 폐쇄 소스 상용 플랫폼에 대한 내부 공급업체 보안 테스트 및 모니터링에 대한 의존성이 포함됩니다. 조직은 모든 관리 솔루션과 관련하여 엄격한 통제를 구현하고 검증해야 합니다.

• 내부 보안 테스트 수행: 자체 호스팅 솔루션을 사용하는 경우 조직은 모든 새로운 구현 또는 중요한 변경 사항에 대해 내부 보안 테스트를 수행해야 합니다. 이는 내부적으로 수행하거나 여러 타사 공급업체를 사용하여 수행할 수 있습니다. 이는 잘못된 구성 및 취약점을 식별하고 관리 공급업체가 수행한 테스트 외에 추가적인 확신을 제공하는 데 도움이 됩니다.
• 엄격한 접근 통제 구현: 최소 권한 원칙 및 다중 요소 인증을 포함하여 엄격한 인증 및 접근 통제를 구현합니다. 암호화폐 자산을 인출하거나 플랫폼 또는 지갑 정책을 변경할 권한이 있는 모든 계정은 고도로 권한 있는 계정으로 간주해야 합니다.
• 엄격한 범위 구현: 사용자, 지갑 및 API 키 수준에서 지출 및 접근 제한을 구현합니다. 대상 전송 주소에 대한 트랜잭션 허용 목록을 구현하고 범위를 정기적으로 감사합니다.
• 자격 증명 관리: Just-in-time 키를 사용하여 API 키와 자격 증명을 보호하고 로컬 저장을 피하며 개발자가 개발자 관리 인스턴스 또는 환경에만 접근할 수 있도록 허용합니다. 관리 솔루션의 자격 증명을 권한 있는 접근 및 신원 관리 솔루션에 통합하여 자격 증명 감사 및 관리를 강화합니다.
• 보안 접근: 온프레미스 또는 클라우드 호스팅 관리 웹 플랫폼을 사용하는 경우 사용자가 저장된 책갈피를 사용하여 플랫폼을 방문하고 거래하기 전에 방문하는 웹사이트가 합법적인지 항상 확인합니다.
• 트랜잭션 유형 제한: 관리 플랫폼을 통해 스마트 계약을 관리하거나 상호 작용할 때 플랫폼은 호출할 수 있는 함수를 제한하는 기능을 지원해야 합니다. 여기에는 일반적으로 스마트 계약 업데이트와 같은 위험한 작업 대신 토큰 전송만 허용하는 것이 포함됩니다. 관리자가 호출할 수 있는 정확한 함수는 배포된 스마트 계약에 따라 달라집니다.
• 다중 서명 (multi-sig) 요구 사항 구성: 플랫폼이 다중 서명 스마트 지갑을 관리하는 경우 필요한 서명 중 하나인지 확인하고 트랜잭션이 대상 주소 및 호출된 함수를 포함하여 구성된 모든 기준을 충족하는 경우에만 해당 서명을 제공합니다. 관리자는 이러한 기준을 구성하기 위해 모든 스마트 계약에서 호출되는 정확한 함수에 대한 컨텍스트를 가져야 합니다.

스마트 계약 및 다중 서명 지갑

조직은 중요한 전송 트랜잭션을 승인하기 위해 여러 하드웨어 서명이 필요한 콜드 월렛에 스마트 계약을 사용해야 합니다. 이러한 계약의 특정 기능은 블록체인에 따라 다를 수 있지만 Mandiant는 조직이 여러 가지 주요 통제를 고려해야 한다고 권장합니다.

콜드 월렛 및 해당 트랜잭션 관리 및 보호

암호화폐 조직의 일반적인 관행은 대부분의 자산을 전송 트랜잭션 서명에 콜드 월렛이 필요한 다중 서명 스마트 월렛에 저장하는 것입니다. 핫 월렛은 고갈될 때가 되면 필요에 따라 이러한 다중 서명 월렛에서 보충됩니다. 대부분의 암호화폐 조직의 자산이 이러한 콜드 월렛에 저장되기 때문에 해당 보안은 중요합니다.

콜드 월렛 보안

콜드 월렛은 암호화폐 월렛의 개인 키를 직접 보유하거나 다중 서명 스마트 월렛 설정에서 트랜잭션 서명에 사용될 수 있습니다. 따라서 이러한 월렛의 보안은 무단 트랜잭션 또는 계약 업그레이드를 방지하는 데 매우 중요합니다.

• 여러 공급업체의 콜드 월렛 장치 사용: 특정 공급업체 플랫폼 또는 하드웨어의 취약성과 관련된 위험을 완화하기 위해 여러 공급업체의 콜드 서명 월렛 장치를 사용합니다.
• 명확한 서명을 지원하는 콜드 월렛 장치 사용: 모든 서명 장치가 트랜잭션의 명확한 서명을 지원하는지 확인하여 서명자가 트랜잭션 해시와 페이로드를 의도한 트랜잭션과 정확하게 일치시킬 수 있도록 합니다. 블라인드 서명은 IT 시스템과 서명 장치 간의 트랜잭션 데이터 가로채기라는 심각한 위험을 초래합니다.
• 암호 문구 및 복구 코드를 안전하게 오프라인에 저장: 월렛의 암호 문구 또는 백업 코드의 하드 카피가 안전하게 저장되었는지 확인합니다. 다중 서명 월렛의 경우 별도의 안전한 지리적 위치에 저장해야 합니다.

전용 서명 시스템

Mandiant는 다중 서명 스마트 월렛의 전송 또는 계약 업데이트 트랜잭션에 전용의 강화된 서명 시스템을 사용할 것을 권장합니다.

• 전용 사용 적용: 서명 시스템은 트랜잭션 서명에만 사용해야 하며 다른 업무 활동에는 사용해서는 안 됩니다.
• 보안 업데이트를 자주 적용: 서명 시스템과 모든 월렛 소프트웨어를 보안 패치로 최신 상태로 유지해야 합니다. 패치는 다른 시스템보다 훨씬 더 자주 적용해야 합니다. 확인된 업데이트는 서명 프로세스의 일부로 서명 전에 확인하고 적용해야 합니다.
• 별도의 인터넷 연결 사용: 서명 시스템은 회사 출구 노드를 통하지 않고 별도의 인터넷 회선 (모바일 핫스팟 또는 위치)에서 인터넷에 연결해야 합니다.
• 응용 프로그램 실행 제한: 서명 시스템은 프로그램 실행에 대해 매우 엄격한 통제를 받아야 합니다. 일반적으로 관리되는 웹 브라우저, 보안 소프트웨어, 하드웨어 월렛 소프트웨어 및 업데이트 소프트웨어만 허용되어야 합니다.
• 네트워크 트래픽 제한: 네트워크 트래픽은 암호화폐 관리 플랫폼 및 종속 시스템 또는 자체 관리 인프라와 같이 개별 서명 프로세스에 따라 지정된 대상 주소로만 허용되어야 합니다. 업데이트는 내부 스테이징 서버에서 가져오거나 확인 후 이동식 미디어를 통해 도입될 수 있습니다.
• 응용 프로그램 확인: 서명자는 최신 확인된 공식 하드웨어 공급업체 소프트웨어를 사용해야 합니다. 이는 일반적으로 타사 라이브러리, CDN 또는 플랫폼 자체의 손상 위험을 완화하기 위해 웹 USB 솔루션 대신 사용해야 합니다.

일반 인프라 보안

암호화폐 조직은 다른 기술 의존적인 조직과 마찬가지로 엔터프라이즈 보안 모범 사례를 준수해야 합니다. 이 업계의 조직은 광범위한 금융 서비스 업계와 마찬가지로 직면한 특정 위험과 표적화로 인해 다른 업계보다 높은 수준의 역량 또는 성숙도를 갖춰야 합니다.

• 타사 기술 관리: 관리 및 웹 플랫폼의 기술과 종속성의 보안은 특히 중요합니다. 이러한 기술의 업스트림 공급업체의 보안은 이를 사용하는 조직의 보안에 직접적인 영향을 미칩니다. 암호화폐 조직은 공급망 내에서 보안을 효과적으로 관리, 모니터링 및 적용하는 것이 중요합니다. 타사 기술이 구현된 경우 하위 시스템 (스크립트, 라이브러리)의 무결성을 알려진 양호한 배포와 비교하여 확인하기 위해 정기적인 보안 감사를 수행해야 합니다. 웹 서비스의 경우 타사 서버에서 호스팅되거나 콘텐츠 전송 네트워크를 통해 제공되는 콘텐츠도 정기적으로 감사해야 합니다.
• 취약점 관리: 배포된 기술에 대해 정기적으로 취약점 검사를 수행하여 공개 취약점이 식별, 우선 순위 지정 및 효과적으로 완화되는지 확인합니다. 보고자에게 보상을 제공하는 버그 바운티 프로그램을 구현하는 것도 권장됩니다.
• 잘못된 구성 관리: 공격 표면 관리 솔루션을 구현하여 외부 인프라의 구성을 지속적으로 감사하고 결과를 변경 관리 기록과 비교합니다.
• 보안 통제 검증: 인프라 변경에 따라 예방 및 탐지 통제의 효과를 검증하기 위해 지속적인 보안 검증 프로그램을 구현합니다.
• 신원 및 접근 관리: 하드웨어 토큰 다중 요소 인증을 구현하고 모든 프로덕션 및 개발 환경에서 권한 및 신원을 관리합니다.
• 원격 접근 관리: 환경에 대한 원격 접근이 필요한 경우 인증이 강화되었는지 확인하고 호스트 무결성 검사 및 장치 인증서 기반 인증을 통해 관리되고 강화된 장치로만 접근이 제한되는지 확인합니다.
• 직원 인식 교육 제공: 암호화폐 조직의 모든 직원은 조직이 직면한 심각한 보안 위협을 알고 있어야 합니다. 서명자와 개발자는 훨씬 더 높은 수준의 이해를 가져야 합니다. 위협 및 관리 방법에 대한 정기적인 교육 또는 커뮤니케이션, 특히 공격자가 피해자를 손상시키기 위해 사용하는 일반적인 전술 (예: 원치 않는 취업 제안 또는 프리랜서 개발 작업)과 관련된 교육 또는 커뮤니케이션을 수행해야 합니다.
• 정기적인 표적 위협 헌팅 활동 수행: 위협 헌팅은 기존 탐지 기능에서 놓친 손상 증거를 식별하고, 가시성 격차를 식별하며, 탐지 엔지니어링을 위한 새로운 사용 사례 개발을 지원할 수 있습니다. Mandiant는 일반적으로 내부 보안 팀이 제안한 것 외에 새로운 헌팅 가설과 인텔리전스를 제공하기 위해 타사를 이러한 활동에 참여시킬 것을 권장합니다.

비밀 관리

암호화폐 조직 내에서 비밀을 효과적이고 안전하게 관리하는 것은 다른 산업의 조직보다 훨씬 더 중요합니다. 특히 월렛 보안에 사용되는 비밀을 직간접적으로 도난당하면 즉각적이고 막대한 재정적 손실로 이어질 수 있습니다.

• 비밀 회전: 중요한 월렛 및 월렛 인프라와 관련된 비밀을 이상적으로는 매달 자주 회전합니다. 이러한 비밀 수명 단축은 공격자가 비밀에 접근할 경우 잠재적 영향을 제한합니다. 잦은 비밀 회전은 시스템과 인력 간에 새로운 비밀을 안전하게 배포하고 전달하는 것을 포함하여 자체적인 과제를 야기할 수 있습니다. 강력한 권한 있는 접근 관리 (PAM) 또는 비밀 관리 시스템을 구현하면 이러한 작업을 더 쉽게 수행할 수 있습니다. PAM 솔루션은 비밀 회전 프로세스를 간소화하고 안전하게 유지하여 노출 또는 손상 위험을 줄일 수 있습니다.
• 비밀 저장소 관리: 조직은 향상된 모니터링 및 정기적인 감사를 통해 엔터프라이즈 암호 또는 비밀 저장 및 관리 솔루션을 구현하는 것을 고려해야 합니다. 권한 있는 비밀은 사용자 시스템에 로컬로 저장해서는 안 됩니다. 개발자 또는 서명자와 같은 권한 있는 사용자가 사용하는 시스템에 대한 정기적인 감사를 수행하여 부적절하게 저장된 비밀을 식별해야 합니다.

개발자 워크스테이션 보안

개발자와 해당 워크스테이션은 특히 암호화폐 인프라와 상호 작용할 때 사이버 공격에 특히 매력적인 표적입니다. Mandiant는 암호화폐 조직 침입의 초기 접근이 개발자 워크스테이션을 통해서 이루어지는 것을 자주 관찰했습니다.

• 직접 접근 제한: 개발자 워크스테이션에서 프로덕션 암호화폐 인프라에 대한 직접 접근을 최소화하거나 제거합니다. 대신 테스트 및 코드 통합을 위해 안전한 배포 파이프라인과 스테이징 환경을 구현합니다.
• 비밀 관리: 강력한 비밀 관리 솔루션을 사용하여 중요한 키와 자격 증명을 보호합니다. 개발자 워크스테이션이나 코드 저장소에 직접 비밀을 저장하지 마십시오.
• 최소 권한 원칙 적용: 최소 권한 원칙을 적용하여 개발자에게 업무 수행에 필요한 최소한의 접근 권한만 부여합니다.
• 정기적인 보안 감사 수행: 개발자 워크스테이션과 해당 접근 권한에 대한 정기적인 보안 감사를 수행하여 잠재적인 취약점을 식별하고 해결합니다.
• 보안 인식 교육 실시: 개발자에게 민감한 정보 보호의 중요성과 잠재적 위협 인식의 중요성을 강조하는 포괄적인 보안 인식 교육을 제공합니다.
• 보안 소프트웨어 적용 및 관리: 엔드포인트 탐지 및 대응 도구는 기본 제공 보안 메커니즘 및 바이러스 백신을 보완하여 위협을 더 빠르게 경고합니다. 탐지는 최종 사용자의 직무 역할과 일치하는 모든 비정상적이거나 무단적인 동작에 대해 설계해야 합니다.

고객 보호

암호화폐 플랫폼 고객의 보안은 포괄적인 보안 전략의 중요한 부분입니다. 모든 B2C 조직에서 어느 정도 수준의 고객 계정 손상은 불가피합니다. 그러나 암호화폐 플랫폼은 이러한 침해의 성공 가능성과 영향 수준을 제한하기 위해 표적화된 통제를 구현할 수 있습니다.

탐지

공격자를 조기에 포착하기 위한 가시성 유지 및 탐지 엔지니어링

대부분의 조직은 보안 모니터링의 이점을 누릴 수 있습니다. 호스트, 네트워크 및 애플리케이션 데이터 소스에서 활동을 모니터링함으로써 조직은 위협 인텔리전스를 활용하고 일반적인 IT 동작과 관련된 의심스러운 활동, 암호화폐 트랜잭션, 지갑 상호 작용 및 권한 있는 접근과 관련된 의심스러운 활동을 식별할 수 있습니다. 효과적인 보안 모니터링을 통해 조직은 공격 수명 주기 초기에 위협을 탐지하고 대응할 수 있으며 궁극적으로 그 영향을 제한할 수 있습니다.

사용자 트랜잭션 및 활동 모니터링

특히 암호화폐 거래소의 경우 사용자 간의 트랜잭션을 모니터링하면 강도 사건 초기 단계에서 사기 행위에 대한 통찰력을 얻을 수 있습니다. 트랜잭션 모니터링은 암호화폐 애플리케이션 또는 관리 플랫폼 (사용되는 경우)에서 생성된 로그에서 구현해야 합니다. 이러한 로그 소스에서 정상적인 업무 프로세스 및 고객 활동과 관련하여 탐지를 엔지니어링해야 합니다.

• 고용량 또는 고속 트랜잭션: 갑작스러운 급증 또는 비정상적으로 높은 빈도의 인출은 개별 사용자 계정이 손상되었거나 공격자가 콜드 스토리지에서 핫 월렛 보충을 트리거하려고 시도하고 있음을 나타낼 수 있습니다. 사용자 계정 손상이 의심되는 경우 조직은 영향을 받는 사용자 간의 공통점 (특히 플랫폼 접근 지점)을 조사하여 표적 차단, 강화된 모니터링을 구현하고 계정 자격 증명 재설정을 트리거해야 합니다. 잠재적인 공격자 유도 보충 활동이 탐지되면 조직은 콜드 월렛에서 보충 절차를 시작하기 전에 극도의 주의를 기울여야 합니다.
• 비정상적인 트랜잭션 패턴: 비정상적이거나 예상치 못한 월렛과 관련된 입금 및 인출은 플래그를 지정하고 면밀히 조사해야 합니다. 월렛은 내부적으로 또는 위협 인텔리전스 소스에서 이전의 악성 행위와 연결된 경우 비정상적인 것으로 정의될 수 있습니다. 트랜잭션 동작 (예: 각 사용자의 일반적인 시간대 및 트랜잭션의 정규화된 빈도)을 모니터링할 수도 있습니다. 고급 사용자 행동 프로필은 이 데이터를 기반으로 구축하고 탐지에 적용할 수 있습니다 (예: 거의 인출하지 않는 사용자와 자주 거래하는 사용자 식별). 이러한 탐지는 트랜잭션 지연 또는 쿨다운 통제와 통합해야 합니다.
• 비정상적인 행동: 비정상적인 IP 주소 또는 지리적 위치에서의 로그인 시도와 같이 일반적인 사용자 행동에서 벗어난 편차를 탐지합니다. 가능한 경우 플랫폼 애플리케이션 보안 로그를 트랜잭션 로그와 연결하여 사용자 암호화폐 활동에 대한 컨텍스트를 제공해야 합니다.

내부 사용자 및 월렛 상호 작용 모니터링

암호화폐 조직 내에서 내부 사용자 활동을 모니터링하는 것은 고객 활동을 모니터링하는 것보다 훨씬 더 중요합니다. 효과적인 내부 모니터링은 손상된 내부 계정 및 비밀을 조기에 식별하고 손상의 영향을 크게 줄일 수 있습니다.

• 비밀 사용: 내부 시스템 (특히 관리 플랫폼 및 월렛 인프라)과 상호 작용할 때 API 키 및 기타 자격 증명의 사용을 모니터링하고 감사합니다. 비밀 관리 플랫폼 또는 기록의 컨텍스트를 사용하여 의심스러운 활동 (예: 비정상적인 소스 시스템, 실패한 접근 시도 또는 비정상적인 API 호출 (특히 정찰을 나타낼 수 있는 호출 (예: 관리 솔루션 내에서 정책 확인)))을 식별합니다.
• 사용자 활동: 월렛 인프라 시스템에 대한 각 요청으로 수행된 특정 작업을 모니터링합니다. 여기에는 정보 또는 구성의 생성, 수정, 업데이트 또는 삭제 모니터링이 포함됩니다. 공격자는 일반적으로 강도 사건을 실행하기 전에 내부 정찰을 수행합니다. 여기에는 관리 플랫폼을 통해 월렛 나열, 잔액 검색 또는 구성된 제한 및 허용 목록 확인과 같은 작업이 포함됩니다. 이러한 활동을 모니터링하면 조기 탐지를 위한 귀중한 기회를 제공합니다.
• 지식 및 코드 저장소 접근: 대량 다운로드를 나타낼 수 있는 고속 또는 고용량 요청이나 "암호", "키" 또는 "인프라"와 같은 키워드 검색과 같이 지식 기반 및 코드 저장소에 대한 비정상적인 접근에 대한 탐지를 구현합니다. Mandiant는 위협 행위자가 강도 사건을 수행하기 전에 지식 및 코드 저장소를 통해 내부 정찰을 수행하는 것을 자주 관찰했습니다.

개발자 및 서명 시스템에 대한 강화된 모니터링

개발자 및 서명 시스템에 얼마나 많은 보안 통제가 구현되어 있든 손상될 가능성은 여전히 존재합니다. 이러한 이유로 이러한 시스템과 월렛 인프라와 상호 작용하는 시스템을 포함한 기타 중요한 시스템에 강화된 모니터링을 구성해야 합니다.

• 호스트 기반 활동 모니터링: 프로세스 생성 및 소프트웨어 설치를 모니터링하여 손상을 즉시 탐지하고 예방 보안 통제의 효과를 검증합니다. 서명 시스템의 경우 승인된 하드웨어 월렛 공급업체 또는 관리되는 웹 브라우저와 연결되지 않은 모든 소프트웨어에 대한 경고를 탐지하도록 배포합니다.
• 네트워크 활동 모니터링: 각 시스템의 허용된 사용 사례에 맞춰 네트워크 탐지를 엔지니어링합니다. 서명 시스템에서 소프트웨어 업데이트 및 트랜잭션 서명에 필요한 대상을 넘어서는 모든 네트워크 호출에 대해 엄격한 경고를 구현합니다 (네트워크 수준에서 차단해야 하는 경우에도).
• 위협 헌팅 수행: 개발자 및 서명 시스템에서 정기적인 위협 헌팅 및 감사를 수행하여 비밀이 디스크에 저장되지 않고 보안 통제가 효과적으로 유지되는지 확인합니다.

대응

손상을 철저히 조사하고 복구하기 위한 조치 취하기

암호화폐 조직에서 손상이 감지되면 전술적으로 환경을 강화하고, 근본 원인을 파악하기 위해 조사하고, 공격 경로를 파악한 후 신속하게 복구를 수행하는 것이 필수적입니다.

전술적 강화 및 포지셔닝

암호화폐 조직의 어느 부분에서든 손상이 확인되면 가능한 한 환경을 강화하고 보안 기술을 구성하여 조직이 철저히 조사하고 효과적으로 복구하며 앞으로 환경을 안전하게 유지할 수 있는 최상의 기회를 제공하는 것이 중요합니다.

• 로깅 강화: 공격자가 환경 내에서 여전히 활동 중인 경우 관리 플랫폼, 월렛 인프라 및 ID 공급자에 대한 비밀 사용과 같은 중요한 영역에 대한 로깅 상세도를 즉시 높입니다. 이렇게 향상된 가시성은 공격자 행동을 이해하는 데 도움이 되며 실시간 전술적 대응을 가능하게 합니다.
• 월렛 인프라 격리: 핫 월렛 또는 비밀을 포함하여 월렛 인프라에 대한 접근 또는 악의적인 접근 시도의 첫 번째 징후가 나타나면 영향을 받는 시스템 또는 관리 플랫폼을 일시적으로 격리합니다. 이러한 격리 조치는 추가적인 공격자 접근 및 잠재적 자산 손실을 방지합니다. 이러한 조치는 필요한 경우 고객 또는 이해 관계자 커뮤니케이션에 대한 합의된 프로세스와 연결해야 합니다.
• 인출 제한 구현: 공격자가 활동 중이거나 임무를 완료할 기회가 있을 수 있는 경우 인출에 대한 쿨다운 기간 또는 기타 제한을 구현합니다. 여기에는 새 주소로의 인출 제한 또는 인출량 또는 속도 제한 도입이 포함되어야 합니다.
• 월렛 키 회전: 공격자가 월렛 키 또는 암호 문구를 소유하고 있다는 의심이 있는 경우 즉시 회전하거나 가능한 한 빨리 자금을 새롭고 안전한 월렛으로 이체합니다. 다중 서명 월렛의 경우 손상된 키를 무효화하기 위해 모든 서명자를 회전하고 필요한 경우 새 하드웨어 장치를 발급합니다.
• 손상된 시스템 격리: 특히 트랜잭션 서명 또는 월렛 인프라 서비스와의 상호 작용에 관여하는 시스템을 포함하여 악성 코드 또는 공격자 접근 징후를 보이는 시스템을 즉시 연결 해제합니다. 법의학 조사를 위해 이러한 시스템을 보존합니다.
• 복구 신중하게 계획: 일반적으로 초기 대응 단계에서 전사적 암호 재설정과 같은 광범위한 복구 조치를 피합니다. 공격자의 접근에 대한 완전한 이해 없이는 이러한 조치가 공격자에게 경고하여 악성 활동을 가속화하고 접근 가능한 월렛을 표적으로 삼도록 유도할 수 있습니다. 일반적인 손상의 초기 대응 단계에서 광범위한 복구 조치에 대한 주의가 권장되는 반면, 암호화폐 강도 사건의 고유한 특성에는 더 미묘한 접근 방식이 필요합니다. 조직이 공격자 활동을 모니터링할 수 있는 다른 침해와 달리 암호화폐 환경에서 단일 파일 또는 키를 도난당하면 막대한 재정적 손실로 이어질 수 있으므로 다른 접근 방식이 필요할 수 있습니다.
• 침해 사고 대응자 참여: 조직은 침해 범위를 파악하고 조사하며 조사 각 단계에서 취해야 할 최상의 전술적 옵션에 대해 조언을 제공하기 위해 즉시 침해 사고 대응 서비스 제공업체에 참여해야 합니다.

조사

암호화폐 조직 내의 손상 조사는 침해 유형, 탐지에서 식별된 초기 정보 및 인프라 아키텍처에 따라 크게 다릅니다. 그러나 Mandiant가 조사한 대부분의 경우 유사한 전술이 관찰되었으며 이는 조사자를 위한 출발점을 제공할 수 있습니다.

• 개발자 또는 서명 시스템의 악성 코드: 개발자 및 서명 시스템을 포함하여 월렛 또는 관리 인프라와 상호 작용하는 시스템에서 악성 코드 징후를 분석합니다. 암호화폐 조직에서 널리 퍼져 있는 점을 감안할 때 macOS 시스템은 특히 암호화폐 위협 행위자에게 매력적인 표적입니다. 기본 제공 및 타사 보안 메커니즘 로그와 아티팩트를 모두 신중하게 검토해야 합니다.
• 피싱을 통한 초기 접근: 위협 행위자가 환경에 악성 코드를 도입하거나 자격 증명을 훔칠 기회가 있었는지 조사합니다. Mandiant는 위협 행위자가 악성 코딩 또는 디버깅 과제가 포함된 기만적인 취업 제안으로 개발자를 표적으로 삼는 것을 자주 관찰하며, 대부분 Slack, Telegram 또는 LinkedIn을 통해 전달됩니다.
• 악성 웹페이지: 특히 다중 서명 강도 사건의 경우 서명자가 악성 웹사이트 방문 여부를 확인하기 위해 호스트 및 네트워크 경계에서 웹 기록을 분석합니다. 사용자가 하드웨어 월렛을 연결하고 실수로 악성 트랜잭션에 서명하도록 속이는 관리 플랫폼 또는 월렛 관리 애플리케이션을 모방하는 웹사이트에 주의하십시오.
• 악성 트랜잭션 요청: 특히 전송 트랜잭션을 포함하여 월렛 인프라와의 상호 작용을 기록했을 수 있는 사용 가능한 로그를 검토합니다. 이러한 로그는 일반적으로 관리 플랫폼이 배포된 경우 해당 플랫폼 내에서 또는 API 게이트웨이에서 사용할 수 있습니다.

온체인(On-Chain) 분석

조사는 블록체인에서도 수행할 수 있으며 위협 행위자의 속성에 대한 귀중한 정보와 자금 회수 기회를 제공할 수 있습니다.

• 자금 추적: 블록체인을 통해 자금 이동을 추적하여 도난 자금과 관련된 트랜잭션에 관여한 출처, 목적지 및 중개인을 식별합니다.
• 주요 엔터티 식별: 트랜잭션 패턴과 메타데이터를 분석하여 자금 이동과 관련된 주소와 엔터티를 밝힙니다.
• 블록체인 탐색기 사용: 블록체인 탐색기를 활용하여 주소, 트랜잭션 및 관련 메타데이터에 대한 정보를 수집합니다.
• 클러스터 분석: 트랜잭션 패턴과 행동을 기반으로 동일한 엔터티가 통제하는 주소를 그룹화합니다.
• 전문가와 상담: 고급 추적 및 식별 기술을 위해 블록체인 분석 전문가 또는 법 집행 기관과 협력합니다.
• 온체인 적대적 전술, 기법 및 절차 (TTP): TTP는 침입 후에도 적용됩니다. 적대자가 자금 흐름을 숨기고 자금을 세탁하기 위해 자체 방법론을 개발한 경우 (예: 향상된 개인 정보 보호 기능을 갖춘 암호화폐 및 블록체인인 Monero (XMR)와 같은 특정 토큰 사용 또는 Tornado Cash와 같은 믹서와 같은 난독화 프로토콜 사용).

복구 및 향후 진행

철저한 조사 후 효과적인 복구는 향후 인프라를 안전하게 유지하는 데 중요합니다. 조직이 취하는 정확한 단계는 특정 아키텍처와 공격자의 전술에 따라 다르지만 일반적으로 Mandiant는 여러 가지 주요 조치를 권장합니다.

결론

암호화폐 조직은 즉각적이고 막대한 재정적 손실의 위험이 높은 어려운 위협 환경에서 운영됩니다. 고가치의 디지털 자산, 복잡하고 빠르게 진화하는 기술, 그리고 급변하는 시장의 압력이 결합되어 조직이 표적이 될 것으로 예상해야 하는 환경을 조성합니다. 여기에 제시된 권장 사항은 방어 체계를 강화하기 위한 출발점을 제공하지만, 보안은 특정 시점에 달성되는 것이 아니며 조직은 지속적인 개선을 목표로 해야 합니다.

Mandiant의 권장 사항은 모든 규모의 암호화폐 조직에 대한 다각적인 엔터프라이즈 보안 접근 방식의 중요성을 강조합니다. 여기에는 월렛 인프라의 안전한 관리, 강력한 접근 통제, 개발자 및 서명 워크스테이션과 같이 인프라와 상호 작용하는 시스템 보안이 포함됩니다. Mandiant는 또한 월렛 인프라, 더 광범위한 플랫폼 인프라 및 직원 워크스테이션 내에서 악성 활동을 조기에 식별하기 위한 사전 예방적 위협 탐지의 중요성을 강조했습니다. 마지막으로, 조직은 조사를 지원하는 데 사용할 수 있는 적절한 데이터와 영향을 제한하기 위한 적절한 격리 및 강화 통제를 통해 침입에 대응할 준비가 되어 있어야 합니다.

암호화폐 조직을 안전하게 유지하는 것은 복잡한 작업입니다. Mandiant는 사전 예방적 보안 문화, 지속적인 개선을 수용하고 "암호화폐 조직의 안전 지키기" 보고서의 권장 사항을 기본적으로 구현함으로써 업계 전반에서 성공적인 침입 건수가 감소하기를 희망합니다.

보안 리더를 위한 행동 촉구

암호화폐 조직의 보안 리더는 "암호화폐 조직의 안전 지키기" 보고서를 최대한 활용하기 위해 다음 단계를 수행해야 합니다.

• 현재 보안 태세를 업계 모범 사례 및 "암호화폐 조직 보안" 보고서에서 제공하는 권장 사항과 비교하는 포괄적인 보안 평가를 수행합니다. 통제 격차를 식별하고 위험 분석을 통해 복구 노력을 우선 순위 지정합니다.

• 평가를 기반으로 보안 로드맵을 개발하고 구현합니다. 예방, 탐지 및 대응 역량 전반에 걸쳐 명확한 일정과 리소스 할당을 통해 기술적 및 전략적 개선에 집중합니다.

• 보안 의식 문화를 조성하여 업계에서 가장 신뢰받는 조직이 되도록 노력합니다. 투자를 통해 보안을 공유된 책임으로 인식하도록 조직에 권한을 부여합니다.

암호화폐 조직의 미래는 그 안의 보안과 신뢰에 달려 있습니다. 암호화폐 조직은 당면 과제를 사전 예방적으로 해결하고 효과적인 보안 통제를 구현함으로써 자산을 보호하고 고객을 보호하며 보다 안전하고 탄력적인 업계에 기여할 수 있습니다.

Mandiant는 암호화폐 조직에 보안 평가, 침해 평가, 위협 헌팅, 보안 모니터링, 위협 인텔리전스 및 침해 사고 대응을 포함한 다양한 서비스를 제공합니다. 당사의 경험과 지원 방법에 대해 자세히 알아보려면 문의하십시오.

감사의 글

해당 보고서의 내용을 검토해 주신 Adrian Hernandez, Robert Wallace, Joseph Dobson, Mohamed El-Banna 및 Jigisha Patel께 특별히 감사드립니다.