암호화폐 투자자라면 꼭 알아야 할 콜드월렛의 중요성

세부 내용을 설명하기에 앞서 결론부터 말씀드리겠습니다. 디지털 자산의 본질을 가장 잘 표현하는 문구는   “당신의 키가 아니면, 당신의 암호화폐도 아니다” 입니다.

 

 

우리는 다양한 블록체인 서비스에서 보안 사고를 통해 수많은 암호화폐 사용자가 자산을 잃은 것을 알고 있습니다. 코인텔레그래프(Cointelegraph)에 따르면, 2024년 첫 3분기 동안 주로 중앙화 금융 플랫폼(CiFi)에서 21억 달러(USD)의 자산이 손실되었습니다. 또한 세계 최대 거래소 중 하나인 FTX는 2022년에 파산했고, 그로 인한 피해 규모는 약 80억 달러(USD)에 이르는 것으로 보고되었습니다. 이러한 중앙화 거래소 사고 중 일본 거래소 DMM의 해킹으로 3억 500만 달러(USD)의 손실이 발생했으며, 터키 거래소 BtcTurk는 5천 5백만 달러(USD)를 잃었습니다. 또한, 인도 거래소 WazirX는 해커들이 2억 3천만 달러(USD)를 탈취한 연중 가장 큰 해킹 사건 중 하나를 겪었습니다.

 

두 번째로, 모든 암호화폐 자산은 익명으로 운영되기 때문에 암호화폐 소유권은 이름이나 기타 정보가 아닌 오직 개인 키에 의해 인증됩니다. 따라서 개인 키 정보(또는 시드 문구)를 잃거나 해킹당하면 자산의 소유권을 잃게 됩니다. 블록체인 네트워크에 있는 디지털 자산의 소유권을 유일하게 증명할 수 있는 개인키는 숫자와 문자의 조합으로 이루어진 해시 값으로 표현됩니다. 이 해시 값은 사람이 기억하기에는 불가능한 정보이기 때문에 이를 관리 가능하게 하기 위해 BIP39라는 산업 표준이 만들어졌고 이 표준에 의해 해시 값은 사람이 읽을 수 있는 단어 세트로 변환합니다. 거의 모든 블록체인 지갑은 12개 또는 24개의 시드 문구 (복구단어)를 표시하는데 이 단어들은 온라인에서 쉽게 찾을 수 있는 2,054개의 단어 목록에서 무작위로 선택되어 표시가 되게 됩니다.

 

모든 블록체인 지갑이 시드 문구 (복구단어)를 이용하여 개인키를 나타내주고 있지만 가장 큰 차이점은 사용자의 개인키가 인터넷에 연결되지 않은 별도의 장치에 개인 키를 저장되는 것을 하드웨어 지갑 (콜드월렛) 이라고 명칭하고 인터넷과 연결이 된 디바이스에 개인키가 저장이 되는 것을 소프트웨어 지갑 (핫 월렛) 이라고 정의할 수 있습니다. 물론 지갑의 종류에 따라 장단점이 있겠지만 (예. 핫 월렛은 무료, 하드웨어 지갑은 유료 등) 보안 관점에서 볼 때 인터넷과 연결이 되지 않은 하드웨어 지갑이 해킹에 안전하고 이 글에서는 하드웨어 지갑이 어떻게 개인 키를 안전하게 보호하는지 살펴보도록 하겠습니다.

 

🔐 하드웨어 지갑의 작동 방식

 

 

하드웨어 지갑은 아래 그림과 같이 인터넷에 연결된 별도의 장치와 함께 작동합니다. 이 장치는 PC, 노트북 또는 모바일 기기가 될 수 있으며, 이를 통해 하드웨어 지갑은 블록체인 네트워크와 상호작용합니다. 인터넷에 연결된 장치는 트랜잭션 데이터를 관리하는 데 중요한 역할을 하며 하드웨어 지갑은 보안을 유지하기 위해 인터넷에 직접 노출되지 않습니다.

 

트랜잭션의 궁극적인 목표는 암호화폐와 같은 디지털 자산을 이동하기 위해 트랜잭션 데이터를 블록체인 네트워크에 전송하는 것입니다. 하지만 이 과정이 안전하게 수행되려면 하드웨어 지갑에 저장된 개인 키를 사용하여 생성된 전자 서명이 필요합니다. 트랜잭션을 시작하려면 먼저 인터넷에 연결된 장치가 블록체인 네트워크에서 관련 데이터를 가져옵니다. 여기에는 수신자 주소, 트랜잭션 금액 등 트랜잭션을 구성하는 데 필요한 정보가 포함됩니다. 그림에서 보듯이 트랜잭션 데이터가 구성되면 하드웨어 지갑으로 전송되어 서명 과정을 거칩니다. 

 

트랜잭션 데이터가 인터넷과 연결되지 않은 하드웨어 지갑에 도착하면 지갑은 개인 키를 사용하여 전자 서명을 생성합니다. 이 서명은 트랜잭션의 신뢰성과 유효성을 입증하는 중요한 요소로 오직 개인 키 소유자만이 자산 이동을 승인할 수 있도록 보장합니다. 

 

전자 서명이 생성되면 서명된 트랜잭션 데이터는 다시 인터넷에 연결된 장치로 반환됩니다. 이 시점에서 트랜잭션은 블록체인 네트워크에 전송될 준비가 완료됩니다. 인터넷에 연결된 장치는 서명된 트랜잭션을 블록체인으로 전송하며, 이 트랜잭션은 검증된 후 블록체인 원장에 추가됩니다. 이를 통해 트랜잭션이 확인되고, 자산이 의도한 목적지로 성공적으로 이동하게 됩니다. 이 때 블록체인에 전송되는 서명된 트랜잭션은 사용자의 개인키에 대한 어떠한 정보가 포함이 되지 않고 전자 서명이 된 데이터만 블록체인에 전송하게 됩니다. 즉 해당 정보에 대한 접근이 가능하다고 가정해도 해커는 개인키에 대한 정보는 뽑아낼 수 없게 설계되었다고 이해하시면 됩니다.

 

당연히 이 과정 전반에 걸쳐 하드웨어 지갑은 개인 키가 장치 밖으로 유출되지 않도록 하여 높은 수준의 보안을 유지합니다. 인터넷에 연결되지 않고 잠재적인 사이버 위협으로부터 안전하게 보호된 상태를 유지함으로써, 하드웨어 지갑과 인터넷에 연결된 장치를 조합하여 사용자들이 블록체인 네트워크와 안전하게 상호작용할 수 있으며 온라인 트랜잭션과 관련된 위험을 최소화할 수 있습니다.

 

🛡️ 안전한 개인키 보관

 

 

여러분의 개인 키를 인터넷에 연결된 스마트폰 또는 PC에 저장한다고 상상해 보겠습니다. 만약 해커가 스마트폰 또는 PC에 접근하게 된다면 이는 심각한 보안 문제가 될 수 있습니다. 예를 들어 해커가 스마트폰의 잠금 패턴이나 PIN을 알아낸다면 사실상 그들은 당신의 개인 키를 소유하게 된다고 이해하시면 됩니다. 이유는 개인 키가 스마트폰에 저장되어 있기 때문에 디지털 자산의 안전은 오직 스마트폰의 잠금 화면 보안에 의존하게 됩니다.

 

 

반면 콜드 월렛(개인 키가 별도의 하드웨어 장치에 저장되는 경우)을 사용하는 경우, 스마트폰을 분실하거나 도난당하더라도 자산을 잃을 걱정을 할 필요가 없습니다. 하드웨어 지갑은 독립된 장치이기 때문에 스마트폰에는 개인 키와 관련된 정보가 전혀 남아 있지 않습니다. 설령 해커가 스마트폰과 하드웨어 지갑을 동시에 훔치고 자산에 접근하려고 해도 하드웨어 지갑에는 특별한 보안 장치가 설계되어 있습니다. 그 중 하나는 일정 횟수 이상(일반적으로 10회 이상) 비밀번호 입력이 잘못되면 지갑이 스스로 초기화되는 기능으로 해커가 두 장치를 모두 가져갔다고 하더라도 자산에 접근하는 것을 방지합니다. 추가적으로 대부분의 하드웨어 지갑(몇 가지 예외를 제외하고)은 ‘보안 칩(Secure Chip)'이라는 특수 반도체 칩을 사용합니다. 이 칩은 결제 카드나 여권과 같은 다양한 애플리케이션에서 수십 년 동안 사용된 기술이고 보안 칩은 개인 키를 암호화된 형식으로 저장하며 칩이 무단 접근을 감지하면 자동으로 모든 데이터를 삭제합니다. 따라서 해커가 하드웨어 지갑을 물리적으로 소유하더라도 개인 키를 추출할 수 있는 경우는 거의 불가능하다라고 이해해도 됩니다. 그러나 보안 칩을 사용하지 않는 하드웨어 지갑은 개발 도구를 사용하여 개인 키를 추출 당할 위험이 있을 수 있고 관련 동영상은 구글에서도 쉽게 찾아볼 수 있습니다.

 

만에 하나 하드웨어 지갑을 분실하거나 파손되었을 때 지갑 설정 때 적어 놓은 12개 또는 24개의 복구단어를 새 기기에 입력을 하면 검증 과정을 거친 후 개인키가 새로운 기기에 복구가 됩니다. 이 때 복구 단어의 조합이 틀리거나 순서가 맞지 않을 경우 원래의 개인키가 아닌 다른 개인키가 생성될 수 있으니 지갑 설정 때 적어 놓은 복구단어 (시드문구)를 정확히 잘 적어 놓았는지, 이 문구가 타인이나 해커에 노출되지 않게 보관 및 관리하는 것이 하드웨어 지갑을 관리하는 것보다 더 중요합니다. 간혹 하드웨어 지갑의 복구 단어를 인터넷과 연결된 스마트폰 또는 PC 에 저장할 경우 해당 디바이스가 해킹이 되었을 때 해커는 다른 지갑에 이 복구 단어를 입력하여 개인키를 복제한 후 사용자의 승인없이 본인의 승인 방법으로 자산을 탈취할 수 있으니 항상 복구 단어의 관리 및 보관을 안전하게 오프라인에서만 해야 된다는 것이 중요합니다.

 

 

🚨 중간자 공격 방어

 

해커가 하드웨어 지갑을 물리적으로 훔치지 않더라도 다른 방법을 통해 자산에 접근할 수 있습니다. 흔한 방법 중 하나는 주소 스와핑과 같은 중간자 공격으로 이는 하드웨어 지갑과 인터넷에 연결된 장치 사이에서 발생합니다. 예를 들면, 하드웨어 지갑에서 거래소로 자산을 전송할 때 사용자는 거래소의 수신자 주소가 정확한지 반드시 확인해야 합니다. 그러나 주소 문자열은 영어와 숫자로 나열되어 있기 때문에 대부분의 사람들이 익숙하지 않고 알아보기 어렵습니다. 이를 빌미로 인터넷에 연결된 장치에 침투한 악성 소프트웨어가 수신자 주소를 공격자의 주소로 바꿔버릴 수 있기 때문에 트랜잭션 세부 정보를 꼼꼼하게 확인하지 않으면 자산을 잘못된 주소로 보내는 실수를 하게 되어 자산을 잃을 수 있습니다.

 

이 때문에 하드웨어 지갑이 인터넷에 연결된 장치에 의존하지 않고 기기 자체에서 전체 트랜잭션 세부 정보를 확인할 수 있는지 확인하는 것이 중요합니다. 수신자 주소와 같은 중요한 정보를 하드웨어 지갑에서 직접 확인한 후에만 트랜잭션을 승인하고 서명해야 합니다. 여기에 추가로 추가적인 보안과 편리성을 위해 #D’CENT와 같은 하드웨어 지갑은 지문 인식과 같은 추가 인증 방법을 제공할 뿐만 아니라 거래 내역을 하드웨어 지갑에 표시를 해줌으로 보안을 더욱 강화하고 있습니다.

 

 

오늘날 해커들은 사용자의 개인 키를 탈취하기 위해 다양한 방법으로 자산 탈취를 시도하고 있고 빠르게 진화하고 있습니다. 또한 예상하지 못한 거래소 보안 사고 및 폐쇠 등으로부터 사용자 자산의 디지털 자산을 보호하고 관리할 수 있는 하드웨어 지갑은 궁극적인 해결책이 될 수 있을 것으로 생각합니다. 물론 "당신의 키가 아니면 당신의 암호화폐도 아니다"라는 문구는 다시 언급할 필요도 없을 것입니다.