중요 보안 권고사항 업데이트에 관한 공지, 2019년 6월

요약: 저희는 고객 계정에 대한 무단 접속 시도가 증가했음을 확인했습니다. 모든 고객과 사용자 분들은 다음과 같은 방법으로 비트멕스 및 개인 계정을 보호해주시기 바랍니다: 강력하고 복잡한 비밀번호 사용; 모든 계정에 대한 이중 인증 장치 (2FA) 활성화; 비밀번호 관리자 서비스 사용.

보안은 비트멕스에서 항상 최우선순위로 유지되어왔습니다. 이것은 비트멕스가 고객 자금 보호를 위해 수동 다중 서명 콜드 월렛 설정을 채택한 첫 번째 플랫폼이었던 이유이기도 합니다. 저희는 보안 프로토콜을 지속적으로 검토하고 자체 보안 기준을 강화하고 있습니다. 또한 플랫폼 보안과 고객 보안을 지속적으로 개선하기 위해 최선을 다하고 있습니다.

대규모 봇넷 자격증명 재사용 공격이 휩쓸고 지나간 2016년, 저희는 비트멕스에서의 복잡한 비밀번호 사용의 중요성을 강조한 블로그 글을 게시했습니다. 또한, 저희는 2FA 활성화를 권고했습니다. ‘2단계 인증’ 혹은 ‘다중 인증’으로도 불리는 2FA는 로그인 시 사용자명과 비밀번호뿐만 아니라 시간 제한이 있는 고유한 토큰을 입력하게 함으로써 계정에 보안 레이어를 추가합니다. 토큰은 Google Authenticator 또는 Authy와 같은 소프트웨어 기반의 인증 어플리케이션에서 휴대폰에 저장할 수 있습니다.

다음 메시지는 지금과 마찬가지로 시기 적절한 것이었습니다: 계정의 보호를 위해서는 다중 인증 솔루션 및 비밀번호 관리자 서비스와 더불어 항상 강력하고 복잡한 비밀번호를 사용해야 합니다.

최근 저희는 고객 계정에 대한 무단 접속 또는 손상 시도 횟수가 증가한 것을 확인했습니다. 계정에 대한 2FA 활성화는 이러한 공격으로부터 스스로를 보호하는 가장 쉽고 검증된 방법입니다.

또한 금전적 동기를 가진 범죄자가 사용하는 전략과 그 치밀함이 계속해서 증가했음을 알게 되었습니다. 한 가지 예를 들면: 공격자가 즉시 출금 요청을 하는 대신, 그들이 관리하는 다른 계정에 의도적으로 손실을 입혀 자금을 거래하는 수법을 목격했습니다. 저희는 사전에 이 같은 공격 수법을 식별하고, 적발 시 해당 거래 활동을 중지시키고 있습니다.

공격자들의 계정 도용에서 관찰되는 또 다른 반복적인 수법은 무단 계정 접속으로 비트멕스 로그인 알림 이메일 수신을 비활성화하는 것입니다. 공격자는 출금 권한이 있는 API 키를 생성하기 위해 피해 고객 계정에서 2FA 활성화를 시도할 수도 있습니다. 거의 모든 경우에 해당하는 공통적인 의견은 고객이 출금 알림 또는 기타 계정 관련 이메일 알림을 확인하지 못했을 수 있다는 것입니다; 예를 들면, 로그인 알림이 이에 해당합니다.

2FA 및 기타 로그인 액세스 기능과 같은 사례를 검토하면서 저희는 다음의 변경 사항을 적용하게 되었습니다:

  1. 비트멕스 사용자는 더 이상 로그인 알림 기능을 비활성화 할 수 없습니다. 이제부터 기존의 알림 수신 설정 여부와 관계없이 로그인 알림 메일이 발송됩니다.
  2. API를 통한 출금 요청은 사용된 API 키가 2019년 6월 10일 오후 8시 (UTC 기준) 이전에 생성되지 않은 경우, 출금 확인을 위한 이메일 승인 단계를 항상 완료해야 합니다.

위 같은 변경 사항은 고객의 계정 보안 강화를 위한 것이지만, 이것이 완벽한 해결책이 아니라는 점을 유념해주시기 바랍니다. 저희는 2FA 활성화를 가장 강력히 권고해드립니다.

상술한 내용 외에도 저희 비트멕스는 고객의 모든 계정 도용 사례를 검토했으며, 피해 계정 사이의 몇 가지 공통점을 발견했습니다:

  1. 동일 비밀번호 재사용 또는 비트멕스 플랫폼 및 고객 개인 이메일 계정에서 쉽게 유추할 수 있는 비밀번호 사용.
  2. 비밀번호 복구를 통해 계정 도용으로 이어지는 손상된 개인 이메일 계정의 사용.
  3. 사용자 컴퓨터의 악성 소프트웨어를 통해 비밀번호를 도용한 후 bitmex.com 플랫폼에 로그인.

이러한 공격을 방지하기 위해서는 보안에 대해 철저하고 엄격한 접근방식을 취하는 것이 중요합니다. 상기의 모든 시나리오 하에서 2FA를 사용하면 계정 손상의 위험이 크게 감소합니다. 2FA가 보안 키에 적용된 경우, 공격을 100% 차단할 수 있다는 구글의 최근 연구는 이 사실을 더욱 명확히 보여줍니다.

저희는 비트멕스 사용자의 2FA 활성화 의무 방안을 고려하면서 아래에 설명된 대로 좋은 보안 방법을 채택하는 것의 중요성을 다시 한 번 강조할 것입니다.

다음의 조치는 비트멕스 계정뿐만 아니라 기밀 정보를 저장하는 개인 계정에도 적용되어야 합니다:

  1. 2FA 활성화하기
      1. Google Authenticator 또는 Authy와 같은 다양한 옵션 중 하나를 사용하는 것이 좋습니다.
  2. 강력하고 복잡한 비밀번호를 사용하고 LastPass와 같은 비밀번호 관리자 서비스 사용하기
      1. 강력한 비밀번호는 글자, 숫자 그리고 특수문자 (@, #, $, %, 등)가 조합된 10자 이상으로 구성되어 있습니다 (비밀번호가 길수록 더 강력해집니다). 비밀번호는 대∙소문자를 구분하므로 강력한 비밀번호에는 대문자와 소문자 모두가 포함되어야 합니다.
      2. Facebook, Spotify 또는 Instagram 계정과 같은 SNS 계정과 동일한 비밀번호를 비트멕스 거래 계정 혹은 은행 계좌에 사용하지 마십시오. 각 계정마다 강력하고 복잡하며 서로 다른 비밀번호를 사용하십시오!
  3. 현재 위험도 평가하기
      1. HIBP와 같은 서비스를 통해 비밀번호가 제3자에게 유출되었는지 확인하십시오.
      2. 거래 계정을 정기적으로 확인하여 계정 잔고를 확실히 파악하십시오.
      3. 보유 계정의 정기적인 조정은 계좌 내의 모든 거래가 여러분의 승인 하에 이루어지도록 하는 유용한 방법입니다.
  4. support@bitmex.com을 연락처 목록에 추가하고 비트멕스 발송 이메일이 스팸 메일로 분류되지 않도록 하기
      1. bitmex.com에서 발송하는 공식 커뮤니케이션 이메일을 스팸 처리하거나 수신 거부 설정하지 마십시오. 공식 커뮤니케이션 이메일에는 로그인 및 출금 알림 메일이 포함됩니다.
  5. 비트멕스 고객지원팀은 절대로 여러분의 계정 비밀번호를 묻지 않습니다

비트멕스는 보안을 매우 중요하게 생각하여 내부적으로 동시에 외부적으로 보안 기능을 계속해서 개선하고 있지만, 궁극적으로 보안은 모든 이들의 책임입니다. 여러분께서 온라인 계정에 디지털 자산을 보관하고 있다면, 위와 같이 계정의 안전/보안을 보장하기 위한 조치를 취하는 것은 매우 중요합니다.

만일 여러분의 계정에서 비정상적인 거래 활동이 포착될 경우, 문의하기 페이지를 통해 비트멕스 고객지원팀으로 즉시 문의해주시기 바랍니다.