2024년 한 해만 해도 암호화폐 사용자와 프로토콜에서 $3.8억 이상이 도난당했으며, 그 손실의 상당 부분은 하나의 실패 지점으로 거슬러 올라갑니다: 지갑입니다. 스마트 계약 익스플로잇이나 오라클 조작이 아닙니다 — 개인 키를 저장, 관리, 보호하는 방식의 단순한 실수입니다. Bitcoin BTC$71,883BTC$71,88324h+1.12%7d+7.44%30d+2.75%1y-12.96%via Statility은 지금까지 만들어진 가장 견고한 화폐일 수 있고, Ethereum ETH$2,200ETH$2,20024h+0.46%7d+6.96%30d+8.02%1y+31.82%via Statility은 전체 탈중앙화 경제를 구동할 수 있지만, 누군가 Google 문서에 저장한 시드 프레이즈 때문에 지갑을 비워가면 아무것도 중요하지 않습니다.
이 가이드는 암호화폐를 보호하기 위해 알아야 할 모든 것을 다룹니다: 지갑 유형, 시드 프레이즈 관리, 실제로 사람들을 타겟하는 공격 벡터, 그리고 오늘 바로 실행할 수 있는 실용적인 체크리스트입니다.
핫 월렛 vs 콜드 월렛 vs 하드웨어 월렛
첫 번째 결정은 개인 키가 어떻게 저장되는지입니다. 모든 지갑은 편의성과 보안 사이의 스펙트럼 어딘가에 위치하며, 이러한 트레이드오프를 이해하는 것은 필수적입니다.
Wallet Types Compared
| Type | Examples | Keys Stored | Internet Connected | Best For | Risk Level |
|---|---|---|---|---|---|
| Hot Wallet | MetaMask, Phantom, Trust Wallet | On your device (browser/app) | Yes | Daily transactions, small amounts | Higher |
| Cold Wallet | Paper wallet, air-gapped computer | Offline | No | Long-term storage | Lower |
| Hardware Wallet | Ledger, Trezor, Keystone | Dedicated secure chip | Only when signing | Balancing security and usability | Lowest |
| Custodial Wallet | Coinbase, Kraken, Binance | Exchange holds keys | Yes | Beginners, fiat on-ramps | Depends on exchange |
핫 월렛은 인터넷에 연결된 기기에서 키를 보관하는 브라우저 확장 프로그램 또는 모바일 앱입니다. 같은 지갑은 DeFi 프로토콜과 상호작용하고 빠른 거래를 할 때 편리하지만, 악성 소프트웨어, 피싱 사이트, 브라우저 취약점에 노출됩니다. 핫 월렛을 주머니에 있는 현금처럼 생각하세요 — 일상적인 지출에는 유용하지만 인생의 저축금을 보관하는 곳은 아닙니다.
콜드 월렛은 키를 완전히 오프라인으로 유지합니다. 페이퍼 월렛은 가장 간단한 버전입니다: 개인 키를 종이에 적어 금고에 보관합니다. 절대 인터넷에 연결되지 않는 에어갭 컴퓨터도 또 다른 옵션입니다. 콜드 스토리지는 원격 공격에 대해 최고 수준으로 안전하지만 빈번한 거래에는 번거롭고 물리적 손실이나 손상에 취약합니다.
하드웨어 월렛은 대부분의 사람들에게 최적의 선택입니다. Ledger 및 Trezor 같은 기기는 개인 키를 컴퓨터에 절대 노출되지 않는 전용 칩에 저장합니다. 거래에 서명할 때, 하드웨어 월렛은 자체 화면에 세부 정보를 표시하여 확인하도록 한 다음 내부적으로 서명하고 서명된 거래만 컴퓨터로 전송합니다. PC가 손상되더라도 키는 기기를 떠나지 않습니다.
커스터디얼 월렛은 다른 사람(일반적으로 거래소)이 키를 보관한다는 뜻입니다. 소액이나 진입 시에는 괜찮지만 거래소의 보안, 지급 능력, 정직성을 신뢰하고 있습니다. FTX는 그 교훈을 가장 비싼 방식으로 증명했습니다.
시드 프레이즈 관리: 규칙
시드 프레이즈(보통 12개 또는 24개 단어)는 지갑의 모든 자산에 대한 마스터 키입니다. 이를 소유한 누구나 자금을 통제할 수 있습니다. 복구도, 고객 지원도, 거래를 되돌릴 방법도 없습니다. 규칙은 간단하고 절대적입니다.
할 일
- 물리적 매체에 기록하세요. 종이도 괜찮습니다. 금속 백업 플레이트(Cryptosteel이나 Billfodl 같은)는 불과 물을 견뎌냅니다. 금액이 정당화되면 둘 다 사용하세요.
- 최소 두 개의 별도 물리적 위치에 사본을 보관하세요. 집의 내화 금고와 은행 안전 금고실은 일반적인 설정입니다.
- 시드 프레이즈가 작동하는지 확인하세요 상당한 자금을 보내기 전에 별도의 기기에서 복원하여.
- Shamir의 비밀 공유(SSS)를 사용하여 프레이즈를 분할하는 것을 고려하세요. 시드를 재구성하기 위해 임계값이 필요한 여러 부분으로 나눕니다(예: 3-of-5). Trezor는 이를 기본 지원합니다.
- 이를 지원하는 하드웨어 월렛에 비밀번호를 추가하세요(때때로 25번째 단어라고 함). 이는 누군가 24개 단어를 찾았더라도 액세스할 수 없는 숨겨진 월렛을 만듭니다.
절대 하지 말아야 할 일
- 절대 디지털로 저장하지 마세요. 노트 앱에도, 클라우드 스토리지에도, 이메일 초안에도, 비밀번호 관리자에도, 스크린샷으로도 저장하지 마세요. 인터넷을 건드리면 원칙상 손상됩니다.
- 절대 어떤 웹사이트에도 입력하지 마세요. 정당한 서비스는 절대 전체 시드 프레이즈를 요청하지 않습니다. 그렇게 하는 사이트는 피싱 사기입니다. 절대로.
- 절대 누구와도 공유하지 마세요. 지원 직원과도, "월렛 검증" 봇과도, "무언가 확인해야 한다"는 암호화폐 친구와도.
- 절대 손상될 가능성이 있는 기기에서 생성하지 마세요. 깨끗한 환경에서 새로운 하드웨어 월렛을 설정하고 제조업체에서 직접 다운로드한 펌웨어를 사용하세요.
일반적인 공격 벡터
사람들이 실제로 암호화폐를 어떻게 잃는지 아는 것이 추상적인 보안 이론보다 더 중요합니다. 이들은 지속적으로 작동하는 공격입니다.
피싱. 가장 효과적인 단일 공격입니다. MetaMask, Uniswap UNI$3.15UNI$3.1524h+0.96%7d-0.72%30d-18.00%1y-41.74%via Statility, 또는 다른 인기 있는 dApp과 동일한 가짜 웹사이트. "Ledger 지원"에서의 가짜 이메일. 에어드롭을 제안하는 가짜 Discord DM. 목표는 항상 같습니다: 시드 프레이즈를 입력하거나 악의적인 거래에 서명하도록 속이기. 가장 자주 사용하는 사이트를 북마크하고 이메일, DM, 또는 소셜 미디어 게시물의 링크를 절대 클릭하지 마세요.
클립보드 악성 소프트웨어. 클립보드를 조용히 모니터링하고 복사된 지갑 주소를 공격자의 주소로 바꾸는 악성 소프트웨어. 자신의 주소를 복사하고 붙여넣으면 — 붙여넣은 주소가 다른 사람의 것입니다. 거래를 확인하기 전에 항상 주소의 처음 몇 글자와 마지막 몇 글자를 확인하세요.
소셜 엔지니어링. 지원 직원, 프로젝트 팀원, 심지어 친구로 가장하는 공격자. 긴박함("지갑이 손상되었으므로 지금 행동하세요")이나 기회("독점 화이트리스트, 지갑을 연결하세요")를 만듭니다. 정당한 프로젝트는 절대 먼저 DM을 보내 지갑 연결 또는 자금 전송을 요청하지 않습니다.
SIM 스왑 공격. 공격자가 휴대폰 통신사를 설득하여 휴대폰 번호를 자신의 SIM 카드로 이전합니다. 그런 다음 SMS 기반 이중 인증을 우회하고 거래소 비밀번호를 재설정하며 계정을 비우는 데 사용합니다. SMS 2FA는 암호화폐에는 안전하지 않습니다. 하드웨어 보안 키(YubiKey) 또는 인증자 앱(휴대폰 번호와 연결되지 않음)을 대신 사용하세요.
승인 익스플로잇. DeFi 프로토콜과 상호작용할 때 토큰을 지출하도록 승인하는 경우가 많으며, 때때로 무제한 한도가 있습니다. 그 프로토콜이 손상되었거나 처음부터 악의적이었다면 이러한 승인을 통해 공격자가 언제든지 지갑에서 승인된 토큰을 비워갈 수 있습니다. 이로 인해 수억 달러의 손실이 발생했습니다.
토큰 승인을 취소하는 방법
모든 활성 토큰 승인은 스마트 계약이 자금을 이동할 수 있도록 하는 상시 권한입니다. 불필요한 승인을 취소하는 것은 실행할 수 있는 가장 큰 영향의 보안 작업 중 하나이며 약 5분이 걸립니다.
- Revoke.cash 또는 Etherscan의 Token Approval Checker(etherscan.io/tokenapprovalchecker)로 이동하세요.
- 지갑을 연결하세요.
- 모든 활성 승인을 검토하세요. 무제한 한도, 인식하지 못하는 계약에 대한 승인, 더 이상 사용하지 않는 프로토콜에 대한 승인을 찾으세요.
- 적극적으로 필요하지 않은 모든 승인을 취소하세요. 각 취소에는 작은 가스비가 듭니다.
- 이를 월별 습관으로 만드세요.
향후에는 프로토콜이 무제한 토큰 승인을 요청할 때 사용자 정의 지출 한도를 설정하세요 — 해당 거래에 실제로 필요한 금액만 승인하세요.
멀티시그 월렛: 중대한 자산 보유를 위한 보안
멀티시그(다중 서명) 월렛은 거래를 승인하기 위해 여러 개인 키가 필요합니다. 하나의 키가 모든 것을 통제하는 대신 2-of-3 또는 3-of-5 서명이 필요할 수 있습니다. 이는 단일 실패 지점을 제거하며 DAO, 프로토콜 재무, 상당한 금액을 보유하는 모든 사람의 표준입니다.
Safe(이전의 Gnosis Safe)는 Ethereum 및 EVM 체인에서 가장 널리 사용되는 멀티시그이며 $1억 이상의 자산을 보안합니다. 설정하는 것은 간단합니다: Safe를 만들고 공동 서명자의 주소를 추가하며(하드웨어 월렛이 될 수 있음) 임계값을 설정하세요. 그 후 모든 거래는 실행되기 전에 지정된 수의 승인이 필요합니다.
개인의 경우 2-of-3 설정이 잘 작동합니다: 하드웨어 월렛의 한 키, 다른 위치의 두 번째 하드웨어 월렛의 한 키, 신뢰할 수 있는 가족 구성원이 보유하거나 안전 금고실에 있는 한 키. 아무 둘로나 거래할 수 있으며 한 키를 잃어도 잠기지 않습니다.
가장 큰 월렛 관련 해킹
역사는 이론보다 더 잘 가르칩니다. 이들은 가장 중요한 월렛 및 키 관리 실패 중 일부이며 각 경우에 잘못된 점입니다.
Notable Wallet Security Incidents
| Incident | Year | Loss | What Went Wrong |
|---|---|---|---|
| Ronin Bridge (Axie Infinity) | 2022 | $625M | 5-of-9 multisig compromised — 4 keys held by one entity, 1 from a stale Axie DAO approval |
| Atomic Wallet | 2023 | $100M+ | Private keys likely extracted from the app; root cause never fully disclosed |
| Slope Wallet (Solana) | 2022 | $8M+ | Seed phrases logged in plaintext to a centralized server |
| Wintermute | 2022 | $160M | Hot wallet private key compromised via Profanity vanity address vulnerability |
| Bybit | 2025 | $1.4B | Multisig signing process exploited via compromised UI during routine transfer |
| Ledger Connect Kit | 2023 | $600K+ | Supply chain attack — compromised NPM package injected malicious code into dApp front-ends |
패턴은 반복됩니다: 집중된 키 관리, 너무 많은 가치를 보유하는 핫 월렛, 숨겨진 로깅이 있는 타사 소프트웨어, 암호화 결함이 있는 허영 주소 생성기, 이름상으로만 멀티시그인 멀티시그 설정. Ronin 해킹은 특히 교훈적입니다 — 9명의 서명자는 안전해 보이지만 한 조직이 그 중 5개를 통제했다는 것을 깨달으면 안전하지 않습니다. 2025년 Bybit 해킹은 멀티시그 설정도 서명 인터페이스 자체가 손상되면 훼손될 수 있음을 보여주었으며, 공격자들이 서명자들이 승인한다고 생각하는 것을 조작했습니다.
보안 체크리스트
이를 인쇄하세요. 이번 주에 확인하세요. 각 작업은 위험을 의미 있게 줄입니다.
- 장기 보유 자산을 하드웨어 월렛으로 옮기세요. 적극적인 거래나 DeFi에 필요한 것만 핫 월렛에 유지하세요.
- 시드 프레이즈 백업을 확인하세요. 실제로 복원할 수 있습니까? 두 개의 별도 물리적 위치에 저장되어 있습니까? 종이뿐만 아니라 금속로 된 것입니까?
- Revoke.cash에서 불필요한 토큰 승인을 취소하세요 사용하는 모든 체인에서.
- 모든 거래소 계정에서 SMS 2FA를 하드웨어 키(YubiKey) 또는 인증자 앱으로 바꾸세요.
- 휴대폰 통신사에 전화하세요 SIM 스왑을 방지하기 위해 SIM 잠금 / 포트 동결 / 계정 PIN을 추가하세요.
- 사용하는 모든 dApp 및 거래소의 실제 URL을 북마크하세요. 이메일이나 DM의 링크를 절대 클릭하지 마세요.
- 암호화폐용 전용 브라우저 또는 프로필을 사용하세요. 무작위 확장 프로그램 없음, 캐주얼 브라우징 없음.
- DeFi 프로토콜과 상호작용할 때 무제한 승인 대신 지출 한도를 설정하세요.
- 단일 키 손상에서 감당할 수 없는 금액보다 많이 보유하는 경우 멀티시그(Safe 월렛)를 고려하세요.
- Pocket Universe 또는 Blowfish 같은 도구를 통해 거래 시뮬레이션을 활성화하세요. 이들은 승인 전에 거래가 정확히 무엇을 할 것인지 보여줍니다.
결론
암호화폐 보안은 편집증에 관한 것이 아닙니다 — 단일 실패 지점을 제거하는 것입니다. 대부분의 손실은 정교한 제로데이 익스플로잇으로 인한 것이 아닙니다. 디지털로 저장된 시드 프레이즈, 서두르는 와중에 클릭한 피싱 링크, 몇 달 전에 잊혀진 무제한 토큰 승인, 절대 바뀌지 않은 SMS 기반 2FA로 인한 것입니다. 위 체크리스트의 모든 항목은 실제 사람들에게 실제 돈의 비용이 든 입증된 공격 벡터를 다룹니다.
기술은 자산에 대한 완전한 주권을 제공합니다. 그것이 약속입니다. 트레이드오프는 아무도 자신의 실수에서 구해낼 수 없다는 것입니다. 기본 사항을 제대로 정렬하는 데 시간을 투자하면 치명적인 손실의 확률이 거의 0에 가까워집니다.
암호화폐에서 당신은 자신의 은행입니다. 그것은 또한 당신이 자신의 보안 부서라는 뜻입니다. 그에 따라 배치하세요.
암호화폐 플랫폼, 거래소, DeFi 앱을 찾고 있습니까? 우리의 큐레이션된 디렉토리를 탐색하세요:
