Anacademy

2. 암호화폐 지갑

2.1 암호화폐 지갑의 기본 사항

학습 목표: 암호화폐 지갑의 핵심 기능과 공개 키, 개인 키, 지갑 주소, 니모닉 문구 등의 마스터 키 개념과 상호 관계를 이해합니다.

지갑의 기능과 역할

암호화폐 지갑은 암호화폐와 기타 디지털 자산을 관리하고 사용하는 데 필수적인 도구입니다. 기존 지갑과 달리 디지털 자산은 블록체인에 기록되므로 물리적인 의미에서 자산을 '저장'하는 것이 아니라, 온체인 자산에 액세스하고 제어하는 데 필요한 암호화 정보, 즉 개인 키를 안전하게 보관합니다. 주요 기능은 다음과 같습니다:

  • 키 쌍 생성 및 관리
  • 디지털 자산 수신 및 전송
  • 잔액 및 거래 내역 확인
  • 탈중앙화 애플리케이션(DApp)과 상호 작용하기

공개 키, 개인 키 및 지갑 주소

이는 비대칭 암호화의 핵심 구성 요소이자 암호화폐 지갑 운영의 기반입니다.

  • 개인 키: 무작위로 생성된 기밀성이 높은 영숫자로 이루어진 긴 문자열입니다. 금고의 열쇠처럼 지갑의 자산을 완벽하게 제어할 수 있는 유일한 자격증명입니다. 개인키를 가진 사람은 누구나 해당 주소의 자산에 액세스할 수 있으므로 절대 공유해서는 안 되며 안전하게 백업해야 합니다. 거래에 서명할 때(즉, 자산 전송을 승인할 때) 필요합니다.
  • 공개 키: 단방향 암호화 알고리즘을 통해 개인 키에서 생성됩니다. 공개 키는 은행 계좌 번호처럼 다른 사람과 안전하게 공유하여 디지털 자산을 받을 수 있습니다. 공개 키는 공개되어 있지만 리버스 엔지니어링을 통해 개인 키를 추론할 수 없으므로 보안이 보장됩니다.
  • 지갑 주소: 일반적으로 공개 키에서 추가 해싱 및 인코딩(예: Base58Check 인코딩)을 통해 생성된 더 짧고 사용자 친화적인 문자열입니다. 전송을 위해 다른 사람에게 제공하는 '수신 주소'입니다. 하나의 개인키에서 하나의 공개키를 도출할 수 있고, 하나의 공개키에서 다양한 형식의 지갑 주소를 하나 이상 도출할 수 있습니다.
  • 니모닉 문구(시드 문구): 일반적으로 12개, 18개 또는 24개의 일반적인 단어가 특정 순서로 배열된 시퀀스입니다. 이 문구는 표준화된 알고리즘(예: BIP-39)을 사용해 엔트로피가 높은 난수(개인키의 시드)로 생성되므로, 사람이 개인키를 쉽게 기록하고 백업할 수 있습니다. 니모닉 문구는 지갑의 모든 개인 키, 공개 키, 주소를 복원하고 도출할 수 있습니다. 따라서 그 중요성은 개인 키와 동일하며, 노출을 방지하기 위해 종이에 필기하거나 여러 안전한 장소에 보관하는 등 안전하게 백업해야 합니다.

2.2 암호화폐 지갑의 유형

학습 목표: 수탁 지갑과 비수탁 지갑을 명확하게 구분하고 핫월렛과 콜드월렛의 보안과 편의성의 차이와 적용 가능한 시나리오를 이해합니다.

암호화폐 지갑의 유형

지갑 보관 지갑비수탁 지갑
정의 사용자의 개인 키를 보관하고 관리하는 타사 서비스 제공업체(예: 암호화폐 거래소, 일부 온라인 지갑 서비스)에서 관리합니다. 사용자는 일반적으로 계정 비밀번호를 통해 로그인하여 자산에 액세스합니다.사용자는 자신의 개인 키와 니모닉 문구를 완전히 제어할 수 있습니다. 지갑 소프트웨어는 이러한 키를 관리하고 사용하기 위한 도구 역할을 할 뿐입니다.
장점기존 온라인 뱅킹과 비슷하게 비교적 사용하기 쉽습니다. 사용자가 로그인 비밀번호를 잊어버린 경우 고객 지원을 통해 계정 액세스 권한을 복구할 수 있습니다.사용자는 제3자에 의존하지 않고 자신의 자산에 대한 절대적인 통제권과 소유권을 가지며, 이는 블록체인의 탈중앙화 및 자율성 정신에 부합합니다.
단점사용자는 자신의 개인 키를 실제로 제어할 수 없으므로 자산에 대한 완전한 통제권을 갖지 못합니다. "키가 아니라 코인이 아닙니다." 자산의 보안은 수탁자의 보안 조치와 평판에 따라 달라집니다. 수탁기관이 해킹을 당하거나 파산하거나 규제에 직면하면 사용자의 자산이 위험에 처할 수 있습니다.사용자는 자신의 개인 키와 니모닉 문구를 보호할 전적인 책임을 집니다. 분실하거나 노출될 경우 자산이 영구적으로 복구되지 않을 수 있으며 고객 지원을 받을 수 없습니다. 높은 보안 인식과 운영 기술이 요구됨

핫월렛과 콜드월렛 비교

유형설명
핫월렛개인 키는 항상 또는 자주 인터넷에 연결되는 장치에 저장됩니다. 일반적으로 데스크톱 애플리케이션(데스크톱 지갑), 모바일 앱 지갑(모바일 지갑) 또는 브라우저 확장 지갑(브라우저 확장 지갑)과 같은 소프트웨어 형태로 저장됩니다.
장점편리하고 빠르며, 잦은 거래나 디앱과의 상호작용에 적합합니다.
단점지속적인 인터넷 연결로 인해 개인 키는 온라인 위협(예: 멀웨어, 피싱 사이트, 원격 해킹)에 노출됩니다.
콜드 월렛개인 키는 완전히 오프라인으로 생성 및 저장되거나 인터넷에 거의 연결되지 않습니다. 주요 목표는 온라인 위험을 최소화하기 위해 개인 키를 격리하는 것입니다.
하드웨어 지갑가장 일반적인 유형의 콜드월렛입니다. USB 드라이브와 같은 전용 물리적 장치로, 개인키가 생성되어 장치 내부의 보안 칩에 저장됩니다. 트랜잭션은 장치 내부에서 서명되며, 개인 키는 장치 외부로 유출되지 않습니다(예: Ledger, Trezor).
종이 지갑개인 키와 해당 주소를 QR코드 또는 텍스트 형식으로 인쇄합니다. 완전히 오프라인 상태이지만 물리적 손상(화재, 물) 및 분실 위험으로부터 보호되어야 합니다.
기타 냉장 보관 방법오프라인 컴퓨터나 USB 드라이브에 개인 키를 백업하는 것과 같은 경우입니다.
장점매우 높은 보안으로 다양한 온라인 위협으로부터 효과적으로 보호합니다. 중요한 디지털 자산의 장기 보관에 적합합니다.
단점상대적으로 조작이 불편하고 고빈도 거래에는 적합하지 않습니다. 하드웨어 지갑은 구매 비용이 발생합니다.

다중 서명(다중 서명) 지갑

이러한 지갑에는 지정된 수의 서명이 필요합니다(예: 거래를 승인하려면 개인 키 3개 중 최소 2개가 공동으로 서명해야 하는 '2 of 3' 구성). 이렇게 하면 개인 키 하나가 노출되거나 승인자 한 명이 실수를 하더라도 자산의 보안이 유지되므로 보안이 크게 강화됩니다. 다중 서명 지갑은 기업 자금 관리, 공동 자산 관리 또는 개인 보안을 강화하기 위한 수단으로 특히 적합합니다.

2.3 암호화폐 지갑의 보안 및 위험성

학습 목표: 암호화폐 지갑 사용과 관련된 주요 위험을 파악하고 해당 예방 원칙을 이해합니다.

위험

  • 거래의 비가역성: 일단 확인되고 블록체인에 기록된 거래는 일반적으로 되돌릴 수 없거나 변경할 수 없습니다. 사용자가 실수로 잘못된 주소로 자산을 보내거나 사기에 속아 자금을 이체하는 경우, 해당 자산은 영구적으로 손실되어 복구하기 어려울 수 있습니다.
  • 개인 키/니모닉 문구 유출 및 해킹 위험: 개인 키와 니모닉 문구는 지갑 자산을 제어하는 유일한 자격증명입니다. 맬웨어, 키로거, 피싱 사이트, 안전하지 않은 네트워크 환경, 소셜 엔지니어링 공격 등을 통해 권한이 없는 제3자에게 노출되면 공격자는 지갑의 모든 자산을 완전히 제어하고 탈취할 수 있습니다. 핫월렛은 온라인이라는 특성 때문에 이러한 측면에서 더 높은 위험에 노출되어 있습니다.
  • 피싱 및 소셜 엔지니어링 위험: 공격자는 위조된 공식 웹사이트, 사칭된 고객 서비스 이메일 또는 메시지, 악성 앱 또는 브라우저 확장 프로그램을 사용하여 사용자를 속여 개인 키, 니모닉 문구, 로그인 비밀번호를 입력하거나 악성 스마트 계약을 승인하도록 유도하여 자산을 탈취할 수 있습니다.
  • 지갑 애플리케이션의 취약점: 소프트웨어 지갑과 하드웨어 지갑의 펌웨어 모두 기술적으로 숙련된 공격자가 악용할 수 있는 발견되지 않은 보안 취약점이 있을 수 있습니다. 따라서 평판이 좋고 감사가 잘 이루어지며 정기적으로 업데이트되는 지갑 제품을 선택하는 것이 중요합니다.
  • 물리적 보안 위험: 하드웨어 지갑의 경우 장치 자체의 분실, 손상 또는 도난으로 인해 위험이 발생할 수 있습니다. 종이 지갑이나 손으로 쓴 니모닉 문구 백업의 경우 화재, 물, 도난, 변색에 대한 보호 기능을 고려해야 합니다.
  • 수탁 위험(수탁 지갑의 경우): 거래소 계정과 같은 수탁 지갑을 사용할 때 사용자 자산의 보안은 전적으로 수탁업체의 보안 조치와 운영 평판에 달려 있습니다. 과거에 거래소가 해킹을 당해 사용자 자산이 손실되거나 거래소의 잘못된 관리 또는 규제 문제로 인해 사용자가 출금할 수 없는 사건이 발생했습니다.
  • 운영 실수 위험: 잘못된 수신 주소 복사, 잘못된 송금액 입력, 안전하지 않은 기기에서 지갑을 작동하는 등의 사용자 오류는 자산 손실로 이어질 수 있습니다.
  • 멀웨어 및 바이러스 위험: 바이러스나 트로이 목마에 감염된 컴퓨터나 모바일 기기는 개인 키 도용 또는 거래 가로채기로 이어질 수 있습니다.

2.4 지갑 보안을 위한 모범 사례

학습 목표: 니모닉 문구, 개인 키, 지갑 애플리케이션을 보호하기 위한 구체적이고 실행 가능한 단계와 전략을 체계적으로 학습하세요.

모범 사례

  • 니모닉 문구/비공개 키의 강력한 보호: 이는 지갑 보안을 위해 가장 중요한 부분입니다.
    • 안전한 생성 및 녹화: 안전한 오프라인 환경에서 니모닉 문구를 생성해야 합니다. 니모닉 문구를 정확하게 적고 가급적 여러 번 복사해 두세요.
    • 오프라인 물리적 스토리지: 손으로 쓴 니모닉 문구를 매우 안전하고 은폐되어 있으며 물리적으로 보호되는 장소(예: 내화 및 방수 금고, 은행 금고)에 백업하세요. 단일 지점 장애 위험을 줄이기 위해 분산 스토리지를 고려하세요.
    • 디지털 저장 금지: 인터넷에 연결된 디바이스에 니모닉 문구를 스크린샷, 사진, 텍스트 파일, 이메일, 클라우드 저장소, 채팅 로그 등 디지털 형태로 저장하는 것은 절대 피하세요. 이러한 방법은 해커의 도용에 매우 취약합니다.
    • 누구와도 공유하지 마세요: 자칭 공식 고객 서비스 담당자, 친구 또는 가족을 포함하여 누구에게도 니모닉 문구 또는 개인 키를 공개하지 마세요. 이 정보를 요구하는 사람은 사기꾼입니다.
    • 물리적 보호 강화: 니모닉 문구를 새길 때 금속 니모닉 문구 플레이트(내화성, 방수성, 부식 방지)와 같이 내구성이 뛰어난 백업 방법을 사용하는 것이 좋습니다.
  • 강력한 비밀번호를 사용하고 2단계 인증(2FA)을 사용하세요:
    • 지갑 애플리케이션(특히 소프트웨어 지갑)에 복잡하고 고유하며 추측하기 어려운 로그인 비밀번호 또는 PIN을 설정하세요.
    • 지갑 또는 관련 서비스(예: 거래소)에서 지원하는 경우 항상 Google Authenticator, Authy와 같은 OTP 앱 또는 YubiKey와 같은 하드웨어 보안 키를 사용해 2단계 인증(2FA)을 사용하도록 설정하세요. 보안 수준이 낮은 SMS 인증 코드는 사용하지 마세요.
  • 운영 체제 보안 기능을 활용하세요: 일부 모바일 지갑(예: KryptoGO 지갑)은 운영 체제에서 제공하는 보안 영역(iOS의 보안 인클레이브/키체인, Android의 키스토어/TEE 등)을 활용하여 니모닉 문구 또는 개인 키의 암호화된 버전을 암호화하고 저장하여 멀웨어로부터 추가적인 하드웨어 수준의 보안을 제공합니다.
  • 평판이 좋고 감사를 받은 지갑을 선택합니다: 보안 기록이 양호하고 널리 사용되는 잘 알려진 지갑, 가급적 오픈 소스이거나 제3자가 독립적으로 감사하는 지갑을 우선적으로 선택합니다. 사용자 리뷰와 전문가 평가를 확인하세요.
  • 소프트웨어와 시스템을 최신 상태로 유지하세요: 지갑 소프트웨어, 운영 체제, 브라우저, 백신 소프트웨어를 최신 버전으로 정기적으로 업데이트하여 알려진 보안 취약점을 패치하세요.
  • 피싱 공격과 악성 링크에 주의하세요:
    • 웹사이트 도메인 이름, 이메일 발신자 주소, 앱 출처를 주의 깊게 확인합니다. 출처를 알 수 없는 링크, 첨부 파일 또는 앱 다운로드 요청은 절대 신뢰하지 마세요.
    • 공식 팀에서는 비공식 채널을 통해 사용자의 개인 키나 니모닉 문구를 사전에 요청하거나 특정 주소로 자금을 이체하도록 요청하지 않습니다.
  • 깨끗하고 전용 디바이스를 사용하세요: 가능하면 암호화폐 작업 전용 컴퓨터나 모바일 기기를 사용해 시스템을 깨끗하게 유지하여 멀웨어 감염의 위험을 줄이는 것이 좋습니다.
  • 소규모 테스트 및 신중한 승인을 수행합니다: 대규모 트랜잭션을 수행하거나 새로운 DApp(특히 스마트 컨트랙트 승인과 관련된 트랜잭션)과 상호작용하기 전에 먼저 테스트용으로 소규모 트랜잭션을 수행하고 요청된 권한을 신중하게 검토하세요. 불필요한 DApp 권한은 정기적으로 확인하고 취소하세요.
  • 정기적으로 유효성을 확인하고 백업하세요: 백업이 손상되지 않고 명확하게 읽을 수 있으며 제대로 작동하는지 주기적으로 확인합니다. 가끔씩 소규모 복구 테스트를 수행하여 백업의 효율성을 확인합니다.

2.5 고급 지갑 보안 문제

학습 목표: 다중 서명 지갑의 운영 원칙과 적용 가능한 시나리오에 대해 더 깊이 이해하고, 장치 보안 유지의 중요성을 인식하며, 지갑 제공업체의 보안 관행을 고려하세요.

다중 서명 지갑

운영 및 적용 가능한 시나리오:

  • 원칙: 다중 서명 지갑에서는 거래 또는 작업을 실행하기 위해 공동으로 서명하기 위해 최소 N(N ≤ M, 예: "2/3" 또는 "3/5"와 같은 일반적인 구성)의 지정된 수의 승인된 키(M 개인 키)가 필요합니다. 즉, 거래를 완료하기 위해 추가 서명이 필요하기 때문에 개인 키 하나가 유출, 분실 또는 오류(또는 악의적인 행동)가 발생해도 자산 손실로 이어지지 않습니다. 제어를 분산하여 보안을 강화합니다.
  • 적용 가능한 시나리오:
    • 기업 자금 관리: 내부 부정 행위 또는 운영 실수를 방지하여 여러 부서장 또는 지정된 담당자의 승인이 필요한 대규모 기업 자산의 보안을 보장합니다.
    • 공동 계정: 가족 구성원, 비즈니스 파트너 또는 자산을 공동으로 관리하는 프로젝트 팀에 적합하며, 모든 작업에 여러 당사자의 동의가 필요합니다.
    • 개인 보안 강화: 개별 사용자는 서로 다른 개인 키를 별도의 보안 장치 또는 위치(예: 하나는 하드웨어 지갑에, 하나는 보안 컴퓨터에, 하나는 신뢰할 수 있는 사람이 보관)에 저장할 수 있습니다. 어느 하나가 손상되더라도 자산은 안전하게 유지됩니다.
    • 수탁 및 중재 서비스: 제3자 신뢰가 필요한 거래에서 다중 서명은 구매 및 판매 당사자가 각각 하나의 서명을, 중재자가 하나의 서명을 보유하는 중재 메커니즘을 설정할 수 있습니다.
    • DAO 재무 관리: 탈중앙화 자율 조직(DAO)은 종종 다중 서명 지갑을 사용해 커뮤니티 자금을 관리하며, 자금 사용이 커뮤니티의 결의에 부합하도록 합니다.

디바이스 보안 검사

바이러스 백신, 방화벽, 루트/탈옥 위험:

  • 바이러스 백신 소프트웨어 및 방화벽: 디바이스에 평판이 좋은 최신 버전의 바이러스 백신 소프트웨어와 방화벽이 설치되어 있는지 확인하고, 정의를 최신 상태로 유지하고 정기적으로 전체 검사를 수행하세요.
  • 루팅 또는 탈옥된 기기를 사용하지 마세요: 루팅(Android) 또는 탈옥(iOS)은 운영 체제의 기본 보안 제한 및 샌드박스 메커니즘을 우회하여 디바이스를 멀웨어 공격 및 권한 상승에 더 취약하게 만들어 개인 키 도난의 위험을 크게 증가시킵니다. 특히 중요한 자산이 저장된 루팅 또는 탈옥된 디바이스에서는 암호화폐 지갑을 사용하지 않는 것이 좋습니다.
  • 운영 체제 및 애플리케이션 업데이트: 운영 체제 및 모든 애플리케이션(특히 지갑 앱과 브라우저)에 대한 보안 업데이트와 패치를 적시에 설치합니다.
  • 애플리케이션 권한에 대한 신중한 권한 부여: 특히 스토리지 액세스, 네트워크 연결, 카메라, 마이크, 위치 정보와 관련하여 애플리케이션에서 요청하는 권한을 주의 깊게 검토하세요. 필요한 최소한의 권한만 부여하세요.
  • 공용 Wi-Fi 사용 시 주의하세요: 이러한 네트워크는 감시당하거나 중간자 공격을 받을 수 있으므로 안전하지 않은 공용 Wi-Fi 네트워크에서 민감한 지갑 작업을 수행하거나 비밀번호를 입력하지 마세요. 필요한 경우 VPN을 사용하세요.

코드 검토, 모의 침투 테스트 및 보안 인증

업계 관행(예: KryptoGO):

평판이 좋은 지갑 제공업체는 제품 보안을 위해 상당한 리소스를 투자합니다. 업계의 일반적인 보안 관행은 다음과 같습니다:

  • 코드 감사: 내부 보안팀 및/또는 독립적인 제3자 보안업체에서 지갑의 소스 코드를 종합적으로 검토하여 잠재적인 취약점과 논리적 결함을 파악합니다.
  • 침투 테스트: 해커 공격을 시뮬레이션하여 외부(블랙박스 테스트) 또는 내부(그레이박스/화이트박스 테스트) 관점에서 지갑 시스템의 방어 기능을 테스트합니다.
  • 보안 소프트웨어 개발 수명 주기(SSDLC): 소프트웨어 개발의 모든 단계(설계, 코딩, 테스트, 배포, 유지 관리)에서 보안 고려 사항과 관행을 통합합니다.
  • 보안 인증 및 규정 준수: ISO 27001(정보 보안 관리 시스템) 및 ISO 27701(개인 정보 관리 시스템)과 같은 국제 표준 인증을 획득하면 정보 보안 및 개인 정보 보호 수준이 인정된다는 것을 증명할 수 있습니다. KryptoGO에 대해 언급된 인증은 지갑 공급자의 보안 약속을 평가하는 데 중요한 참고 자료입니다.
  • 버그 바운티 프로그램: 보안 연구원과 화이트햇 해커가 제품 취약점을 발견하고 신고하도록 장려하고, 성공적인 발견에 대한 보상을 제공합니다.
  • 개발 환경 보호: 공급망 공격이나 소셜 엔지니어링 공격으로부터 개발자의 디바이스와 작업 환경을 보호하려면 엄격한 보안 조치가 필요합니다.

오픈 소스 지갑에 대한 고려 사항

  • 장점: 오픈 코드 투명성을 통해 전 세계 개발자와 보안 전문가가 공동으로 검토하고 잠재적인 취약점을 더 빨리 식별하고 수정할 수 있어 이론적으로는 사용자 신뢰를 높이고 커뮤니티 참여와 혁신을 촉진할 수 있습니다.
  • 단점: 공격자는 오픈 소스 코드를 연구하여 악용 가능한 취약점을 찾을 수도 있습니다. 따라서 오픈소스라고 해서 보안과 직결되는 것은 아니며, 강력한 개발팀의 유지보수, 활발한 커뮤니티 감독, 정기적인 전문 보안 감사에 의존해야 합니다. 일부 지갑은 공격자의 분석을 복잡하게 하기 위해 핵심 보안 모듈을 완전히 오픈소스로 공개하지 않을 수도 있지만, 더 자주 제3자 감사와 침투 테스트를 통해 투명성 감소를 보완할 것입니다.

지금 공유하세요:

콜 투 액션

비즈니스 효율성을 높일 수 있는 솔루션에 관심이 있으신가요?

목표 달성을 도와드리겠습니다! IT 제품/솔루션을 사용하면 프로세스를 간소화하고 생산성을 높이며 디지털 경쟁에서 우위를 점할 수 있습니다.

지금 바로 문의하여 무한한 가능성을 발견하세요
링크드인 X-트위터 Facebook-f 인스타그램

제품

서비스

문의하기

서비스 관련 문의 사항이 있으시면 언제든지 문의해 주세요.

문의하기

저작권 © 2025 TheExChain. 모든 권리 보유.