지난 금요일에 나도 비슷한 전화를 받았음, 합법적으로 들렸음, 내가 쓰는 꿀팁은 티켓 번호랑 공식 콜백 번호를 요구해서 진짜 회사 번호인지 확인하는 방법임, 만약 진짜면 대화를 이어가도 되고, 아니면 그냥 안심할 수 있음, 전화를 건 사람은 ‘공식임을 증명해주는 이메일을 보내줄 수 있다’고 했지만 콜백 번호를 알려주지 않아서 바로 사기임을 알게 됨, 이메일 주소나 전화번호는 얼마든지 스푸핑 가능함, 발신자 번호가 정상이어도 절대 신뢰하지 말고 항상 공식 번호로 다시 전화해서 확인해야 함
나는 아예 전화번호조차 직접 받지 않고, 항상 상대방에게 회사 이름과 지점을 물어본 후, 직접 회사 공식 웹사이트(예: https://amazon.com)에서 번호를 찾아서 전화함, 조금 불편하지만 훨씬 더 강력한 보안임
공식 번호도 검색해서 확인할 때 주의해야 함, 가짜 번호가 진짜처럼 보이는 웹사이트에 검색 결과로 섞여 있을 수 있음, 정말이지 총칼 없는 전쟁터임
‘정상 번호라도 콜아이디는 의미 없다’라는 얘기대로, 나도 몇 년 전에 은행이 전화해서 내 신원 확인을 위해 개인정보 전달을 요구했을 때 이 말을 해준 적 있음
‘공식 전화번호’가 좋은 아이디어지만, 만약 공격자가 SS7에 접근할 수 있다면 소용없는 방식임
반복해서 기억해야 할 점들임
대형 회사의 고객 지원팀이 직접 전화를 거는 일은 절대 없음
누가 전화나 이메일로 코드 요청 시, 문자로 받은 인증 코드를 절대 알려주지 말 것, 메시지에도 대개 그렇게 적혀 있음
중요한 개인정보를 한 개의 비밀번호만으로 보호하지 말 것, 구글 계정에 연동된 Google Authenticator를 비밀번호 관리로 쓰지 말고, 1Password 같은 서드파티 사용 추천함
은행·투자용 이메일과 세상에 알려진 이메일은 반드시 분리해서 쓸 것, 크롬 프로필도 이메일별로 분리하고 확장 프로그램도 비밀번호 관리자만 남겨두기
하지만 몇 주 전에 검색에 안 나오는 번호로 은행 지원팀이라며 전화 온 적 있음, 문자로 온 인증 코드를 불러달라 해서 거부했더니 온라인 뱅킹이 차단되고, 실제 우편으로 ‘지원 요원과 소통하지 않아 자동으로 계정이 업그레이드 될 수 없다’는 강력한 편지가 옴, 결국 앱에서 새 계정 만들고 그들에게 전화해 문자 코드를 다시 읽어줬더니(!) 그게 곧바로 신규 계정 인증의 유일한 절차였음, 전세계 100대 은행이 이런 운영 방식임, 기업들이 오히려 사기에 훈련시키는 느낌임, 독일계 은행이었으나 Chase도 똑같이 전화로 OTP 코드 요청하는 습관이 있음
Google Nest Thermostat 에너지 절감 설정 해제 요청 시 고객 지원이 인증 코드를 요구한 적 있음(이 설정은 전기회사가 절감 목적으로 온도를 제어하는 기능), 나는 ‘메시지에 알려주지 말라고 써 있다’고 거부하자 지원은 그냥 다른 방법을 안내함, 요청 자체가 이상했음
Chase 은행이 최근까지도 전화로 사기 알람 관련 연락 시 이런 코드 요청함, 정말 짜증나는 부분임
나는 내 핸드폰을 평소 ‘방해금지 모드’로 둠, 직계 가족 5명만 벨이 울리게 해둠, 모르는 번호는 절대 받지 않고, 정말 연락이 급하면 음성 메시지를 남기게 함, 전화 받을 때는 순간적으로 냉정하게 판단을 못하게 되는 것 같음, 도로에서 길 묻고 시계 훔치는 수법과 비슷함, 보안이 주목적은 아니었으나 뱅크팁과 해커에게 노출이 안 된다는 점에서 좋음
아쉽게도 일부 콜센터에서는 본인 확인용으로 실제로 전화를 걸면 문자/이메일로 코드를 보내주고, 그걸 다시 읽게 하는 방식을 시행하는 곳이 있음
이번 공격은 단순한 소셜 엔지니어링으로 보이고, 이메일 스푸핑이 없었던 것 같음, 실제로 구글에서 공식적으로 발송한 이메일일 가능성이 높음, 추정컨대 공격자는 공식 구글 계정 탈환 절차를 요청했고 그 절차로 구글에서 코드를 포함한 이메일이 발송됨, 피해자가 이 코드를 불러준 덕분에 공격자가 구글 계정(그리고 Gmail, Google Drive에 백업된 인증 앱까지)에 완전히 접근한 것 같음, 이메일 원본 헤더를 한 번 보고 싶음
legal@google.com 으로 발송된 이메일은 진짜 같지 않음, 첫 문단과 두 번째 문단 시작 문장에서 문법 실수도 있고, 법무팀 이메일에서 이런 기본적인 오타와 문장 부호 오류가 있는 것은 불가함, 진짜 공식 이메일이라면 반드시 교정이 됐을 텐데, 가짜임
이메일이 공격자가 보낸 것이었다면 왜 피해자가 코드를 알려줄 필요가 있었나 이해가 안 됨
‘Coinbase 비번 재설정’이라니, Gmail을 은행, 암호화폐, 도메인 등 중요 서비스와 연동해 쓰는 건 정말 위험함, 나도Google 비밀번호를 아는데 2차 인증이 막혀서 접근을 못 하고 있는 상황임
모르는 번호면 항상 의심해야 함, 뭔가 이상하면 전화를 끊고 직접 회사에 연락해서 대화를 다시 시작하는 게 좋다는 조언에 동의함, 생각해보면 전화가 올 거라 예상하지 않았을 때는 전화를 거의 안 받으며, 그 덕분에 많은 사기를 피한 것 같음, 구글이 Authenticator 코드를 클라우드에 동기화해서 결국 공격자가 Gmail, Drive, Photos, 인증 앱에 모두 접근한 부분은 실망스러움
보통은 모르는 번호 전화는 안 받는데 며칠 전 ‘Amazon 직원’이라고 사칭해서 내 계정으로 60만원 짜리 아이폰이 결제됐다고 전화 옴, 정체 확인하겠다면서 ‘최근 내가 주문한 상품이 뭔지’ 물었더니 계속 오리무중, 20분씩 통화하다 결국 그쪽에서 욕설하고 끊음, 동시에 주변에서도 같은 사기 전화를 하는 심한 소음이 들렸었음, 이렇게 오래 통화한 이유를 도저히 모르겠음
이런 사기에서 가장 명확한 빨간불은 ‘지원팀이 먼저 연락온다’는 점임, 정작 급한 일로 진짜 지원팀에 연락하고 싶으면 연결이 안 되는데 말임
요즘 내 규칙은 모르는 번호는 무조건 음성사서함으로 넘김, 중요하면 메시지랑 번호를 남기라고 함, 정말 필요하면 내가 다시 전화함, 의료기관이나 배송 등 꼭 받아야 하는 경우만 예외임, 이런 식으로 걸러내고 있음
나는 1~2초 룰을 씀, 전화 받아서 헬로라고 한 다음 1~2초 내에 답이 없으면 끊음, 스캐머들은 전화 큐에서 연결되어 오기 때문에 약간의 대기 시간이 있고, 스크립트도 익혀야 해서 반응이 느림, 일반 대화와 다르게 준비 시간이 걸림, 바로 반응 못 하는 전화는 스팸일 확률이 큼
내 폰뿐 아니라 부모님 폰도 모르는 번호는 아예 차단 설정함, 수시로 이메일 사기 믿지 말라고 교육하지만 그래도 매년 한두 번씩 엄마가 ‘진짜라고 생각한 사기 이메일‘ 때문에 당황해하며 연락해 옴
전화 안 받는 것이 내 기본 원칙임, 실제로‘방해금지 모드’ 켜두고 즐겨찾기 번호만 벨소리를 허락함, 진짜 급한 사람(합법이든 사기든)은 음성 메시지를 남기게 두면 됨, 해당 회사라 주장하면 직접 내가 확인함, 이런 사례는 내가 요청하지 않은 전화는 아무리 그럴듯해도, 이야기조차 시작하지 않는 게 맞다는 걸 보여줌, 그리고 Google 계정에 절대 민감 정보를 두지 않음, 기술 업계 경험이 있다면 그게 얼마나 위험한지 모두 알 것임
나도 스팸콜 위험성은 잘 알고 있음, 굳이 설명하지 않아도 됨, 하지만 ‘은행 보안팀’ 같은 곳에서 정말 사기 관련 경고 전화를 해줄 수도 있다는 전제 자체를 너무 쉽게 배제하는 듯함, 내가 은행번호를 인지하지 못했을 수도 있고 그게 정답인지도 확실하지 않음
정부나 은행에서 진짜 중요한 일로 전화가 온 경험 있음, (세금 보고 실수 등), 그래서 절대로 안 받는 게 정답은 아니라고 봄, 참고로 유럽은 음성 사서함을 거의 쓰지 않음, 미국만의 문화 같음
이메일 주소 스푸핑 없이도 암호화폐 탈취는 얼마든지 가능함, 범죄자들이 총으로 협박해서 시드를 요구할 수도 있음, 실제 이런 사례가 꽤 있음, 그래서 전통 은행이 암호화폐보다 훨씬 더 안전함, 이런 경험을 공유한 작성자는 잘했지만 암호화폐가 안전한 자산 저장 수단이 아니라는 점이 진짜 교훈이 되었으면 함
그래도 총 들고 집까지 찾아가는 것보다 전화 돌리는 방식이 훨씬 더 스케일러블함
그래도 Hacker News 답게, 총 들고 협박이 애초에 이슈가 아니라는 의견임
암호화폐 보안에는 멀티시그가 유용함, 예를 들어 2-of-2에서 은행 등 신뢰할 수 있는 기관과 같이 서명권을 공유하면 보통 은행보다 보안이 나아짐, 3-of-5 등 여러 키를 활용하면 하드웨어 토큰에 잘못된 핀 입력 시 키가 삭제되는 등 강제 협박에도 대비할 수 있음
멀티시그 지갑이 해결책임, 또 여러 명이 동의해야 출금되는 구조는 씀씀이에 대해 브레이크 효과도 주며, 여러 명이 관련자일 때 오히려 위험할 수 있고, 오프라인 콜드월렛을 쓰면 해킹에 몇 시간씩 걸려 시간벌이도 가능함
가장 결정적인 질문은 왜 공격자가 은행/연금/신용카드까지 털지 않았는가임, 현실적으로 은행은 고객 계좌 해킹에 훨씬 민감하게 신경 씀
‘은행이 신경 쓴다’는 말의 진짜 의미는, 예를 들어 합리적으로 조치를 취했다면 계좌가 털렸을 경우 보상을 해준다는 정책임, 이에 따라 은행 입장에서도 큰 금액 사기에 훨씬 신경 씀, 참고로 10개월 전만 해도 Coinbase-Google Authenticator 조합이 최고의 보안이라고 했던 Reddit 스레드가 있음 코인베이스 해킹 사건 Reddit 쓰레드
대신, 이런 이유로 은행 등에서는 필수적으로 잠금 기능이 심하게 들어간 스마트폰 앱만으로 뱅킹하도록 강제하는 것도 문제임, 너무 고객 스스로를 못 믿는 분위기와 책임 강요 사이의 중간점이 거의 없음
은행이나 증권 계좌에서 이체엔 시간이 걸림, 그 시간 동안 사기를 알아차려 신고하면 계좌가 동결될 수 있으므로 즉각적 손실을 막기 쉬움
사실 은행이 거기에 딱히 신경 쓰지 않는다는 의견도 있음
사건 전개가 애매해서 이해가 잘 안 됨, 단순히 2FA 코드만으로 모든 걸 털었단 거면 정말 심각한 문제임, 흘러간 비밀번호 때문일 수도 있고, 비밀번호 재사용 때문인지, 아니면 그냥 구글 계정이 노출된 상황인지도 궁금함, 만약 2FA 코드만으로 구글 계정 → 인증 앱 → 비밀번호 관리자까지 다 뚫렸다면 연쇄적으로 다른 서비스 2차 인증까지 무너질 수 있음, 이 과정에서 비밀번호 재사용이 있었는지 여부가 제일 궁금함, 참고: 나는 Google에서 일하지만 보안팀은 아님
내 생각엔 공격자가 내 비밀번호를 이미 갖고 있었고, 최종적으로 전화로 불러줬던 복구 코드만 필요했던 것 같음, 비밀번호를 공유하지도 않고 재사용도 안 했지만 오래 변경하지는 않았음
비번이 있어도 이메일과 2FA 코드를 통제하면 비밀번호 재설정으로 모든 계정 장악이 가능함
글에 구체적인 기술 설명이 부족한데, 2025년이 되어도 Google이 ‘비슷해 보이는’ @google.com 이메일을 제대로 차단 못 한다는 게 우려스러움, Unicode 스푸핑이 원인일지, 아니면 DKIM 등 인증이 없거나 계정 자체가 털렸던 것인지도 불분명함, 전체적으로 말이 안 맞는 상황임
Unicode 도메인 네임 아이디어 자체가 제대로 된 적이 없는 것 같음, 현실적으로 이런 기능을 쓰는 건 대부분 사기꾼과 범죄자임, ICANN 고맙다고 비꼼
해당 글에서 어떻게 google 도메인에서 이메일을 보낸 것처럼 보였는지 빠진 게 의문임, 본인이 보안업계라 말했으면서도 자세한 설명이 없는 점도 이상함
'Coinbase 계좌에 수십만 달러를 넣어두지 말라'는 충고가 없더라는 점을 지적함
나는 Coinbase와 망가진 하드디스크 두 군데에 암호화폐를 나눠 넣었었는데, 지금 하드디스크 복구가 안 되고 있음
아예 암호화폐에 투자하지 않는 걸 권장함, 투기와 돈세탁 외엔 실질적 가치를 찾기 힘들고 위험 요소가 큼
Hacker News 의견
지난 금요일에 나도 비슷한 전화를 받았음, 합법적으로 들렸음, 내가 쓰는 꿀팁은 티켓 번호랑 공식 콜백 번호를 요구해서 진짜 회사 번호인지 확인하는 방법임, 만약 진짜면 대화를 이어가도 되고, 아니면 그냥 안심할 수 있음, 전화를 건 사람은 ‘공식임을 증명해주는 이메일을 보내줄 수 있다’고 했지만 콜백 번호를 알려주지 않아서 바로 사기임을 알게 됨, 이메일 주소나 전화번호는 얼마든지 스푸핑 가능함, 발신자 번호가 정상이어도 절대 신뢰하지 말고 항상 공식 번호로 다시 전화해서 확인해야 함
나는 아예 전화번호조차 직접 받지 않고, 항상 상대방에게 회사 이름과 지점을 물어본 후, 직접 회사 공식 웹사이트(예: https://amazon.com)에서 번호를 찾아서 전화함, 조금 불편하지만 훨씬 더 강력한 보안임
공식 번호도 검색해서 확인할 때 주의해야 함, 가짜 번호가 진짜처럼 보이는 웹사이트에 검색 결과로 섞여 있을 수 있음, 정말이지 총칼 없는 전쟁터임
‘정상 번호라도 콜아이디는 의미 없다’라는 얘기대로, 나도 몇 년 전에 은행이 전화해서 내 신원 확인을 위해 개인정보 전달을 요구했을 때 이 말을 해준 적 있음
‘공식 전화번호’가 좋은 아이디어지만, 만약 공격자가 SS7에 접근할 수 있다면 소용없는 방식임
반복해서 기억해야 할 점들임
대형 회사의 고객 지원팀이 직접 전화를 거는 일은 절대 없음
누가 전화나 이메일로 코드 요청 시, 문자로 받은 인증 코드를 절대 알려주지 말 것, 메시지에도 대개 그렇게 적혀 있음
중요한 개인정보를 한 개의 비밀번호만으로 보호하지 말 것, 구글 계정에 연동된 Google Authenticator를 비밀번호 관리로 쓰지 말고, 1Password 같은 서드파티 사용 추천함
은행·투자용 이메일과 세상에 알려진 이메일은 반드시 분리해서 쓸 것, 크롬 프로필도 이메일별로 분리하고 확장 프로그램도 비밀번호 관리자만 남겨두기
하지만 몇 주 전에 검색에 안 나오는 번호로 은행 지원팀이라며 전화 온 적 있음, 문자로 온 인증 코드를 불러달라 해서 거부했더니 온라인 뱅킹이 차단되고, 실제 우편으로 ‘지원 요원과 소통하지 않아 자동으로 계정이 업그레이드 될 수 없다’는 강력한 편지가 옴, 결국 앱에서 새 계정 만들고 그들에게 전화해 문자 코드를 다시 읽어줬더니(!) 그게 곧바로 신규 계정 인증의 유일한 절차였음, 전세계 100대 은행이 이런 운영 방식임, 기업들이 오히려 사기에 훈련시키는 느낌임, 독일계 은행이었으나 Chase도 똑같이 전화로 OTP 코드 요청하는 습관이 있음
Google Nest Thermostat 에너지 절감 설정 해제 요청 시 고객 지원이 인증 코드를 요구한 적 있음(이 설정은 전기회사가 절감 목적으로 온도를 제어하는 기능), 나는 ‘메시지에 알려주지 말라고 써 있다’고 거부하자 지원은 그냥 다른 방법을 안내함, 요청 자체가 이상했음
Chase 은행이 최근까지도 전화로 사기 알람 관련 연락 시 이런 코드 요청함, 정말 짜증나는 부분임
나는 내 핸드폰을 평소 ‘방해금지 모드’로 둠, 직계 가족 5명만 벨이 울리게 해둠, 모르는 번호는 절대 받지 않고, 정말 연락이 급하면 음성 메시지를 남기게 함, 전화 받을 때는 순간적으로 냉정하게 판단을 못하게 되는 것 같음, 도로에서 길 묻고 시계 훔치는 수법과 비슷함, 보안이 주목적은 아니었으나 뱅크팁과 해커에게 노출이 안 된다는 점에서 좋음
아쉽게도 일부 콜센터에서는 본인 확인용으로 실제로 전화를 걸면 문자/이메일로 코드를 보내주고, 그걸 다시 읽게 하는 방식을 시행하는 곳이 있음
이번 공격은 단순한 소셜 엔지니어링으로 보이고, 이메일 스푸핑이 없었던 것 같음, 실제로 구글에서 공식적으로 발송한 이메일일 가능성이 높음, 추정컨대 공격자는 공식 구글 계정 탈환 절차를 요청했고 그 절차로 구글에서 코드를 포함한 이메일이 발송됨, 피해자가 이 코드를 불러준 덕분에 공격자가 구글 계정(그리고 Gmail, Google Drive에 백업된 인증 앱까지)에 완전히 접근한 것 같음, 이메일 원본 헤더를 한 번 보고 싶음
legal@google.com 으로 발송된 이메일은 진짜 같지 않음, 첫 문단과 두 번째 문단 시작 문장에서 문법 실수도 있고, 법무팀 이메일에서 이런 기본적인 오타와 문장 부호 오류가 있는 것은 불가함, 진짜 공식 이메일이라면 반드시 교정이 됐을 텐데, 가짜임
이메일이 공격자가 보낸 것이었다면 왜 피해자가 코드를 알려줄 필요가 있었나 이해가 안 됨
‘Coinbase 비번 재설정’이라니, Gmail을 은행, 암호화폐, 도메인 등 중요 서비스와 연동해 쓰는 건 정말 위험함, 나도Google 비밀번호를 아는데 2차 인증이 막혀서 접근을 못 하고 있는 상황임
모르는 번호면 항상 의심해야 함, 뭔가 이상하면 전화를 끊고 직접 회사에 연락해서 대화를 다시 시작하는 게 좋다는 조언에 동의함, 생각해보면 전화가 올 거라 예상하지 않았을 때는 전화를 거의 안 받으며, 그 덕분에 많은 사기를 피한 것 같음, 구글이 Authenticator 코드를 클라우드에 동기화해서 결국 공격자가 Gmail, Drive, Photos, 인증 앱에 모두 접근한 부분은 실망스러움
보통은 모르는 번호 전화는 안 받는데 며칠 전 ‘Amazon 직원’이라고 사칭해서 내 계정으로 60만원 짜리 아이폰이 결제됐다고 전화 옴, 정체 확인하겠다면서 ‘최근 내가 주문한 상품이 뭔지’ 물었더니 계속 오리무중, 20분씩 통화하다 결국 그쪽에서 욕설하고 끊음, 동시에 주변에서도 같은 사기 전화를 하는 심한 소음이 들렸었음, 이렇게 오래 통화한 이유를 도저히 모르겠음
이런 사기에서 가장 명확한 빨간불은 ‘지원팀이 먼저 연락온다’는 점임, 정작 급한 일로 진짜 지원팀에 연락하고 싶으면 연결이 안 되는데 말임
요즘 내 규칙은 모르는 번호는 무조건 음성사서함으로 넘김, 중요하면 메시지랑 번호를 남기라고 함, 정말 필요하면 내가 다시 전화함, 의료기관이나 배송 등 꼭 받아야 하는 경우만 예외임, 이런 식으로 걸러내고 있음
나는 1~2초 룰을 씀, 전화 받아서 헬로라고 한 다음 1~2초 내에 답이 없으면 끊음, 스캐머들은 전화 큐에서 연결되어 오기 때문에 약간의 대기 시간이 있고, 스크립트도 익혀야 해서 반응이 느림, 일반 대화와 다르게 준비 시간이 걸림, 바로 반응 못 하는 전화는 스팸일 확률이 큼
내 폰뿐 아니라 부모님 폰도 모르는 번호는 아예 차단 설정함, 수시로 이메일 사기 믿지 말라고 교육하지만 그래도 매년 한두 번씩 엄마가 ‘진짜라고 생각한 사기 이메일‘ 때문에 당황해하며 연락해 옴
전화 안 받는 것이 내 기본 원칙임, 실제로‘방해금지 모드’ 켜두고 즐겨찾기 번호만 벨소리를 허락함, 진짜 급한 사람(합법이든 사기든)은 음성 메시지를 남기게 두면 됨, 해당 회사라 주장하면 직접 내가 확인함, 이런 사례는 내가 요청하지 않은 전화는 아무리 그럴듯해도, 이야기조차 시작하지 않는 게 맞다는 걸 보여줌, 그리고 Google 계정에 절대 민감 정보를 두지 않음, 기술 업계 경험이 있다면 그게 얼마나 위험한지 모두 알 것임
나도 스팸콜 위험성은 잘 알고 있음, 굳이 설명하지 않아도 됨, 하지만 ‘은행 보안팀’ 같은 곳에서 정말 사기 관련 경고 전화를 해줄 수도 있다는 전제 자체를 너무 쉽게 배제하는 듯함, 내가 은행번호를 인지하지 못했을 수도 있고 그게 정답인지도 확실하지 않음
정부나 은행에서 진짜 중요한 일로 전화가 온 경험 있음, (세금 보고 실수 등), 그래서 절대로 안 받는 게 정답은 아니라고 봄, 참고로 유럽은 음성 사서함을 거의 쓰지 않음, 미국만의 문화 같음
이메일 주소 스푸핑 없이도 암호화폐 탈취는 얼마든지 가능함, 범죄자들이 총으로 협박해서 시드를 요구할 수도 있음, 실제 이런 사례가 꽤 있음, 그래서 전통 은행이 암호화폐보다 훨씬 더 안전함, 이런 경험을 공유한 작성자는 잘했지만 암호화폐가 안전한 자산 저장 수단이 아니라는 점이 진짜 교훈이 되었으면 함
그래도 총 들고 집까지 찾아가는 것보다 전화 돌리는 방식이 훨씬 더 스케일러블함
그래도 Hacker News 답게, 총 들고 협박이 애초에 이슈가 아니라는 의견임
암호화폐 보안에는 멀티시그가 유용함, 예를 들어 2-of-2에서 은행 등 신뢰할 수 있는 기관과 같이 서명권을 공유하면 보통 은행보다 보안이 나아짐, 3-of-5 등 여러 키를 활용하면 하드웨어 토큰에 잘못된 핀 입력 시 키가 삭제되는 등 강제 협박에도 대비할 수 있음
멀티시그 지갑이 해결책임, 또 여러 명이 동의해야 출금되는 구조는 씀씀이에 대해 브레이크 효과도 주며, 여러 명이 관련자일 때 오히려 위험할 수 있고, 오프라인 콜드월렛을 쓰면 해킹에 몇 시간씩 걸려 시간벌이도 가능함
https://xkcd.com/538/ 만평도 참고할 만함
가장 결정적인 질문은 왜 공격자가 은행/연금/신용카드까지 털지 않았는가임, 현실적으로 은행은 고객 계좌 해킹에 훨씬 민감하게 신경 씀
‘은행이 신경 쓴다’는 말의 진짜 의미는, 예를 들어 합리적으로 조치를 취했다면 계좌가 털렸을 경우 보상을 해준다는 정책임, 이에 따라 은행 입장에서도 큰 금액 사기에 훨씬 신경 씀, 참고로 10개월 전만 해도 Coinbase-Google Authenticator 조합이 최고의 보안이라고 했던 Reddit 스레드가 있음 코인베이스 해킹 사건 Reddit 쓰레드
대신, 이런 이유로 은행 등에서는 필수적으로 잠금 기능이 심하게 들어간 스마트폰 앱만으로 뱅킹하도록 강제하는 것도 문제임, 너무 고객 스스로를 못 믿는 분위기와 책임 강요 사이의 중간점이 거의 없음
은행이나 증권 계좌에서 이체엔 시간이 걸림, 그 시간 동안 사기를 알아차려 신고하면 계좌가 동결될 수 있으므로 즉각적 손실을 막기 쉬움
사실 은행이 거기에 딱히 신경 쓰지 않는다는 의견도 있음
사건 전개가 애매해서 이해가 잘 안 됨, 단순히 2FA 코드만으로 모든 걸 털었단 거면 정말 심각한 문제임, 흘러간 비밀번호 때문일 수도 있고, 비밀번호 재사용 때문인지, 아니면 그냥 구글 계정이 노출된 상황인지도 궁금함, 만약 2FA 코드만으로 구글 계정 → 인증 앱 → 비밀번호 관리자까지 다 뚫렸다면 연쇄적으로 다른 서비스 2차 인증까지 무너질 수 있음, 이 과정에서 비밀번호 재사용이 있었는지 여부가 제일 궁금함, 참고: 나는 Google에서 일하지만 보안팀은 아님
내 생각엔 공격자가 내 비밀번호를 이미 갖고 있었고, 최종적으로 전화로 불러줬던 복구 코드만 필요했던 것 같음, 비밀번호를 공유하지도 않고 재사용도 안 했지만 오래 변경하지는 않았음
비번이 있어도 이메일과 2FA 코드를 통제하면 비밀번호 재설정으로 모든 계정 장악이 가능함
글에 구체적인 기술 설명이 부족한데, 2025년이 되어도 Google이 ‘비슷해 보이는’ @google.com 이메일을 제대로 차단 못 한다는 게 우려스러움, Unicode 스푸핑이 원인일지, 아니면 DKIM 등 인증이 없거나 계정 자체가 털렸던 것인지도 불분명함, 전체적으로 말이 안 맞는 상황임
Unicode 도메인 네임 아이디어 자체가 제대로 된 적이 없는 것 같음, 현실적으로 이런 기능을 쓰는 건 대부분 사기꾼과 범죄자임, ICANN 고맙다고 비꼼
해당 글에서 어떻게 google 도메인에서 이메일을 보낸 것처럼 보였는지 빠진 게 의문임, 본인이 보안업계라 말했으면서도 자세한 설명이 없는 점도 이상함
'Coinbase 계좌에 수십만 달러를 넣어두지 말라'는 충고가 없더라는 점을 지적함
나는 Coinbase와 망가진 하드디스크 두 군데에 암호화폐를 나눠 넣었었는데, 지금 하드디스크 복구가 안 되고 있음
아예 암호화폐에 투자하지 않는 걸 권장함, 투기와 돈세탁 외엔 실질적 가치를 찾기 힘들고 위험 요소가 큼