MetaMask 사용자를 위한 기본 보안 팁
암호화폐와 Web3를 처음 접하시나요?
MetaMask 학습으로 이동하시면 웹3 신규 사용자를 위해 특별히 마련한 간단한 학습 환경을 체험할 수 있습니다. 이는 완전히 무료이고 다국어로 제공되며 MetaMask를 사용하여 자신의 위치를 찾는 데 도움이 되는 시뮬레이션과 같은 유용한 도구가 포함되어 있습니다.
비밀복구구문의 정의와 이를 백업하는 방법
시드 구문이나 비밀복구구문(SRP)의 사용은 대부분의 암호화폐 지갑에서 사용하는 표준입니다. SRP는 MetaMask 지갑을 생성할 때 무작위로 생성되는 단어 목록입니다. 이를 이용하면 해당 지갑 내의 모든 계정(주소)에 접근할 수 있습니다.
처음 지갑을 생성할 때 비밀복구구문을 적어 두거나 Google 또는 Apple 계정을 MetaMask에 연결하라는 안내가 표시됩니다. 두 옵션 모두 각각 SRP와 연결되어 있지만, 백엔드에서는 다르게 작동합니다.
Google 또는 Apple 계정을 MetaMask에 연결하지 않으면 MetaMask는 서버에서 사용자의 개인 정보나 비공개 데이터를 전혀 관리하지 않습니다. 모든 정보는 브라우저에서 암호화되며 SRP를 통해 보호받습니다. MetaMask 계정에 접근할 수 없게 되어 복구해야 하는 경우, 오직 SRP를 통해서만 이를 복구할 수 있습니다. 하지만 MetaMask는 SRP에 접근할 수 없습니다. 이 경우 계정에 접근할 수 있는 유일한 수단은 SRP입니다.
Google 또는 Apple 계정을 MetaMask에 연결하면 SRP는 암호화된 뒤 다섯 개의 서로 다른 노드에 분산 저장됩니다. Google 또는 Apple 계정과 비밀번호를 통해서만 다섯 개로 분할된 정보 전체에 접근하고 이를 해독할 수 있습니다. 이 경우 계정에 접근하려면 Google/Apple 계정과 비밀번호 두 가지가 모두 필요합니다. 따라서 Google/Apple 계정 비밀번호를 MetaMask 비밀번호로 재사용하지 않아야 합니다. 두 비밀번호는 반드시 완전히 달라야 합니다. 또한 비밀번호나 Google/Apple 계정을 잃어버리는 상황에 대비해 SRP도 계속 안전하게 보관할 것을 권장합니다.
비밀복구구문을 보관해야 하는 이유
MetaMask는 셀프 커스터디 지갑입니다. SRP에 접근할 수 있는 사람은 그 안의 모든 계정에도 접근할 수 있습니다. 기기가 고장 나거나, 분실되거나, 도난당하거나, 데이터가 손상된 경우 MetaMask 지원팀이 사용자를 대신해 SRP를 복구해 줄 방법은 없습니다. SRP를 안전하게 보호하는 방법에 대한 더 많은 팁은 여기의 문서를 참조하세요.
비밀복구구문과 개인 키를 공유하지 마세요
SRP나 개인 키를 가진 사람은 누구나 사용자의 자산을 제어할 수 있으며, 따라서 계정에서 토큰을 전송할 수 있습니다. MetaMask 팀원이나 회사를 대표한다고 주장하는 사람을 비롯한 그 누구와도 이를 공유해서는 안 됩니다.
MetaMask는 절대로 SRP 제공을 요청하지 않습니다. 누군가가 MetaMask가 그렇게 한다고 주장하더라도 절대 공유하지 마세요. MetaMask 또는 MetaMask 지원팀이라고 주장하거나 SRP 및/또는 개인 키를 요구하는 사람을 만나면 지원팀에 문의하여 신고하세요. 다른 누군가가 SRP 및/또는 개인 키를 요구한다면, 그들은 사용자의 자산을 모두 탈취하려는 것입니다.
이는 웹사이트와 앱에도 동일하게 적용됩니다. 사용자가 SRP를 입력해야 하는 정당한 경우는 다음뿐입니다.
- 지갑을 처음 생성할 때, 기록해 두었는지 확인하기 위해 구문의 특정 단어를 입력해야 하는 경우.
- 새 기기나 새로 설치한 환경에서 지갑을 복구할 때, 또는 비밀번호를 재설정할 때(유사한 절차).
하지만 사기범들은 이 두 상황을 모방하려고 하기도 합니다. 자세한 내용은 실제 MetaMask를 구별하는 방법에서 확인하세요.
계정에 고액의 토큰이 많이 있다면 하드웨어 지갑 사용을 고려하세요.
하드웨어 지갑은 토큰을 저장하는 가장 안전한 방법이라고 일반적으로 여겨집니다. 하드웨어 지갑은 '콜드 웰렛' 즉 차가운 지갑이라고도 불리는데 이는 항상 또는 대부분의 경우 인터넷과 단절되어 있기 때문입니다. 이 접근 방식을 이용하면 악의적인 온라인 사용자가 귀하의 개인 키에 접근할 수 없으며, 모든 트랜잭션을 승인(인증)하기 위해서는 하드웨어 지갑 자체가 필요합니다.
비밀번호를 공유하지 마세요
어떤 비밀번호도 다른 사람과 공유해서는 안 됩니다. 다만 이 가이드에서는 MetaMask 비밀번호를 중심으로 설명합니다. Google 또는 Apple 계정을 MetaMask에 연결한 경우에는 계정 접근에 비밀번호가 필요합니다.
MetaMask 지원팀은 절대로 비밀번호 공유를 요청하지 않습니다. 비밀번호와 Google/Apple 계정에 모두 접근할 수 있는 사람은 MetaMask의 모든 계정에도 접근할 수 있습니다.
Google 또는 Apple 계정을 MetaMask에 연결하지 않은 경우에는 비밀번호의 역할이 다릅니다. 비밀번호만 알고 있다고 해서 계정에 접근할 수 있는 것은 아닙니다. 그래도 비밀번호는 안전하게 관리하고, 비밀번호 보안 수칙을 지키는 것이 좋습니다.
- 대문자와 소문자, 숫자 및 특수문자를 조합한 강력한 비밀번호를 사용하는 것이 좋습니다.
- 계정마다 서로 다른 비밀번호를 사용하는 것이 좋습니다.
- 비밀번호는 안전한 오프라인 장소에 보관하는 것이 좋습니다. 클라우드 서비스와 비밀번호 매니저는 해킹될 수 있으므로, 비밀번호를 보관하는 가장 안전한 방법이 아닙니다.
- 비밀번호는 절대로 누구와도 공유하지 않는 것이 좋습니다.
안전을 추구하는 데 지나침이란 없습니다. 이 지침에서 소개하는 기본 가이드는 결코 완벽한 것이 아닙니다. 커뮤니티, 교육 자료 또는 토론 채널에서 배움을 통해 항상 토큰을 더 잘 보호하는 방법을 배우세요.
추가 자료
다음은 컴퓨터를 안전하게 유지하는 방법에 대한 몇 가지 추가 자료입니다.
- Windows - 가정용 컴퓨터의 안전한 보호
- Mac - Mac 안전 설정
토큰 승인이란 무엇이며 왜 중요한가요?
토큰 승인은 디앱이 사용자의 지갑에서 특정 유형의 토큰과 특정 수량의 토큰에 접근하고 이를 이동할 수 있도록 권한을 부여하는 것입니다. MetaMask 지갑에서 어떤 토큰 승인을 허용하는지 주의하지 않으면, 이는 지갑의 자금이 탈취되는 공격 경로가 될 수 있습니다.
이러한 일이 발생하지 않도록 하려면 다음과 같은 지침을 따르세요.
- '승인'을 클릭하기 전에 디앱이 실제로 무엇을 요청하는지 항상 확인하세요. MetaMask에서는 디앱이 접근할 수 있는 수량도 조정할 수 있습니다. 토큰의 10%에만 접근 권한을 부여했다면 해당 디앱이 사기로 드러나더라도, 무제한 접근 권한을 부여한 경우보다 결과가 훨씬 낫습니다.
- 반드시 스스로 확인하세요(DYOR). 디앱과 상호작용하기 전에 충분히 확인하는 습관을 들이세요. 6개월 전에 시작했다면 가장 좋았겠지만, 지금 시작해도 늦지 않습니다. 철자 오류, 완성도가 떨어지는 이미지나 로고, 그 밖의 위험 신호가 있는지 살펴보세요.
- 사실이라고 보기에는 너무 좋게 들린다면, 대개 사실이 아닙니다. 498,563% APY를 제시한다면, 매우 위험한 상황일 가능성이 큽니다.
토큰 승인과 이를 관리하는 방법에 대해 더 자세히 알아보려면 다음 가이드를 참고하세요.