메타마스크는 안전한 암호화폐 지갑일까요?

메타마스크(Metamask)는 브라우저 확장 프로그램으로 설치할 수 있는 이더리움 블록체인 지갑입니다. 메타마스크 사용자는 이더리움 주소로 토큰을 거래할 수 있으며, 웹3 서비스와 탈중앙화 금융 앱(디앱)을 이용하고 NFT도 거래할 수 있습니다. 한국에서는 2022년 테라 사태로 인해 루나 코인을 이더리움으로 스왑하는 것에 많이 사용되면서 더욱 유명해졌지요.

사용자는 메타마스크를 이더리움 기반 디앱에 연동해 게임에서 코인을 사용하거나 유니스왑과 같은 탈중앙화 거래소에서 코인을 거래할 수 있습니다. 메타마스크는 심플한 인터페이스를 갖추고 손쉽게 설치할 수 있어 암호화폐 초보자 사이에서 인기가 높으며, 2022년 3월 기준 3,000만 명 이상의 활성 사용자를 보유하고 있습니다. 하지만 인기가 높은 만큼 메타마스크의 보안성도 높을까요?

메타마스크는 암호화폐 투자자와 이더리움 서비스 이용자 사이에서 인기가 매우 높은 암호화폐 지갑이지만 보안성은 완벽하지 않습니다. 특히 메타마스크에는 IP 유출 관련 보안 이슈가 존재합니다.

2022년 초 보안 애널리스트와 암호화폐 사용자는 메타마스크에 사용자 IP 유출과 관련해 심각한 프라이버시 취약점이 있다는 사실을 발견했습니다. 메타마스크 모바일 지갑 사용자에게 NFT를 전송하는 과정에서 제삼자에게 사용자의 IP 주소가 유출된다는 점이 드러났으며, 메타마스크가 중앙화 서버에서 IP 주소 데이터를 가져오는 시점에서 IP 주소가 유출될 수 있는 것으로 나타났습니다.

IP 유출을 대수롭게 생각하지 않는 사람이 많지만, 사실 IP 유출은 심각한 보안 위협으로 이어질 수 있습니다. IP 주소가 유출되면 실제 위치와 자주 방문하는 장소 등의 정보도 유출될 수 있으며, 이러한 정보가 유출되는 경우에는 납치, 스토킹, 신원 도용 등의 범죄 피해가 발생할 수 있습니다. 또한 IP 주소가 유출되면 암호 자산을 도난당할 위험성도 높아지게 됩니다.

메타마스크에는 모바일 지갑의 IP 유출 외에도 다른 보안 문제도 존재합니다. 메타마스크의 보안을 위협할 가능성이 있는 메타마스크의 특징은 다음과 같습니다.

메타마스크는 인터넷에 연결된 상태에서만 사용할 수 있는 핫 월렛(hot wallet)입니다. 핫 월렛은 입출금이 편리해 코인을 거래할 때 주로 사용되며, 현재 메타마스크를 포함해 다양한 핫 월렛 서비스가 존재합니다.

핫 월렛은 인터넷에 연결된 상태에서만 사용할 수 있기에 오프라인 지갑인 콜드 월렛(cold wallet)보다 해킹과 피싱 공격에 취약합니다. 특히 피싱 이메일 등으로 장치가 키로거나 바이러스에 감염되는 경우에는 로그인 정보가 유출되고 자산이 도난당할 수 있습니다.

메타마스크는 브라우저에서 실행하는 확장 프로그램입니다. 덕분에 메타마스크 사용법은 매우 쉽습니다. 하지만, 이 때문에 브라우저에서 메타마스크 사용 기록 관련 정보가 수집될 가능성이 있으며, 이는 암호화폐 사용자에 대한 프라이버시 침해로 이어질 수 있습니다. 또한 메타마스크는 프라이빗 키를 브라우저에 보관하기 때문에 브라우저가 해킹당하는 경우에는 프라이빗 키도 유출될 수 있습니다.

참고: 메타마스크는 오픈 소스 코드를 사용하며, 메타마스크 사용자의 비밀번호와 비밀 구문으로만 암호 해독이 가능합니다. 그러나 비밀번호와 비밀 구문이 유출되지 않더라도 무차별 대입 해킹 공격을 통해 메타마스크 계정에 타인이 침투하는 일이 발생할 수 있다는 점에 유의해야 합니다.

메타마스크의 보안을 위해서는 먼저 지갑이 설치된 장치의 보안을 확보해야 하며, 구문 키를 안전하게 보호해야 합니다. 특히 소셜 엔지니어링이나 피싱 사기를 방지하는 것이 중요합니다. 안전한 메타마스크 사용법은 다음과 같습니다.

메타마스크를 안전하게 사용하려면 브라우저나 장치에 비밀번호를 저장하지 않는 것이 좋습니다. 브라우저나 장치가 멀웨어에 감염되거나 해킹당하는 경우에는 저장된 비밀번호가 유출될 수 있기 때문입니다. 또한 장치 도난이나 분실 시에도 메타마스크 자산을 탈취당할 위험이 있습니다.

따라서 브라우저나 장치에 비밀번호를 저장하는 대신 보안 비밀번호 관리 프로그램을 사용하는 것이 좋습니다. 특히 NordPass는 비밀번호를 탈중앙화 암호화 저장소에 안전하게 보호하며, 저장소는 사용자 본인만 확인할 수 있습니다. 또한 NordPass에는 최고급 XChaCha20 암호화 알고리즘이 적용되어 있으며 데이터 침해 스캐너 기능도 포함되어 있습니다.

특히 Metamask 비밀번호를 포함해 모든 자격 증명 관련 코드는 가능한 복잡하게 설정하는 것이 좋습니다. 간단한 비밀번호는 브루트 포스 공격이라고 불리는 무차별 대입 해킹 공격에 취약하기 때문입니다. 또한 계정마다 비밀번호를 다르게 설정해야 해킹이 발생하더라도 피해를 최소화할 수 있습니다. 복잡한 비밀번호를 직접 생성하고 기억하기 힘들다면 NordPass의 비밀번호 생성 기능을 이용할 것을 추천합니다.

메타마스크를 안전하게 사용하려면 코인은 하드웨어 지갑(콜드 월렛)에 보관하고 지갑을 메타마스크와 동기화하는 것이 좋습니다. 하드웨어 지갑은 프라이빗 키와 코인이 오프라인으로 저장하기에 디지털 지갑보다 보안성이 뛰어납니다.

하드웨어 지갑을 함께 사용하면 메타마스크만 사용할 때보다 편의성은 약간 떨어지지만 해킹과 피싱 공격을 당할 가능성은 크게 낮아집니다. 하드웨어 지갑은 항상 인터넷에 연결되어 있지 않아도 사용할 수 있기에 메타마스크와 같은 핫 월렛보다 온라인 위협에 노출되는 빈도가 적기 때문입니다.

추천하는 하드웨어 지갑으로는 Ledger Nano X, Trezor Model One, SafePal S1 등이 있습니다. 또한 대부분의 하드웨어 지갑은 다양한 암호화폐를 지원하고 블루투스로 연결할 수 있기에 편리하게 사용할 수 있습니다.

암호화폐 지갑을 탈취당하는 일을 방지하기 위해서는 소셜 엔지니어링 사기나 피싱 사기를 조심해야 합니다. 특히 악성 링크로 인해 장치가 멀웨어에 감염되는 경우에는 자산 모두를 도난당할 수 있습니다. 또한 일부 피싱 사이트는 메타마스크 웹사이트를 사칭해 사용자의 지갑 로그인 정보를 탈취하기도 하기 때문에 웹사이트 URL을 늘 주의깊게 살펴야 합니다.

피싱 사기를 방지하기 위해서는 먼저 공식 웹사이트에서만 메타마스크를 다운로드해야 합니다. 또한 모르는 사람이 보낸 문자 메시지와 이메일의 링크는 클릭하지 말아야 합니다. 또한 NordVPN과 같은 프리미엄 VPN 서비스를 통해 사용자의 실제 IP 주소가 유출되지 않도록 해야 합니다.

또한 웹사이트에 로그인하기 전에는 웹사이트 주소를 살펴보고 사칭 사이트가 아닌지 확인해야 하며, 뉴스와 인터넷을 통해 최신 피싱 사기 수법을 숙지해 피싱 사기에 피해를 입는 일이 없도록 해야 합니다.

장치가 멀웨어에 감염되는 경우에는 비밀번호가 유출되거나 장치가 정상적으로 작동하지 않을 수 있습니다. 특히 일부 멀웨어는 특별한 증상이 없기에 더욱 탐지하기가 힘듭니다.

따라서 메타마스크를 안전하게 사용하기 위해서는 멀웨어 스캔 프로그램을 이용해야 합니다. 특히 NordVPN에는 바이러스 및 위협 방지 기능이 포함되어 있어 피싱 이메일로 인해 멀웨어에 감염되는 일을 방지하고, 데스크톱 장치에 다운로드되는 파일을 스캔해 파일의 멀웨어 감염 여부를 확인할 수 있습니다.

일상의 온라인 활동에서 VPN 사용법을 잘 숙지하여 메타마스크 사용법에도 포함시키면 사용자의 IP 주소를 숨기고 트래픽을 암호화하여 안심하고 암호화폐 거래를 하는 것이 가능해집니다.