비트코인 하드웨어 지갑 보안 취약점과 시드 구문 탈취 방지 보안 가이드

영국 비트코인 도난 사건으로 본 하드웨어 지갑의 숨겨진 틈새

 

 

최근 영국에서 발생한 약 1억 7,200만 달러 규모의 비트코인 탈취 사건은 많은 사람에게 큰 충격을 주었어요. 하드웨어 지갑만 믿고 있던 자산가들이 어떻게 허망하게 자산을 뺏겼는지 분석해 보면 결국 물리적인 보안과 심리적인 허점이 문제였어요. 범죄자들은 고가의 하드웨어를 해킹하기보다 사용자를 직접 위협하거나 종이에 적힌 24개의 복구 단어를 찾아내는 방식을 사용했어요.

 

제가 느낀 점은 아무리 비싼 금고라도 열쇠를 문 앞에 두면 의미가 없다는 사실이에요. 하드웨어 지갑은 개인 키를 인터넷과 분리된 칩 안에 보관하지만 사용자가 이 키를 복구하기 위해 만든 시드 구문은 결국 물리적인 세상에 존재하게 돼요. 공격자들은 가짜 기술 지원팀을 사칭하거나 지갑 제조사에서 보낸 것처럼 꾸민 이메일로 사용자가 직접 시드 구문을 입력하게 유도하는 치밀함을 보여요.

 

기기 자체에 대한 물리적 공격도 무시할 수 없는 수준까지 발전했어요. 지갑을 분실했을 때 공격자가 기기를 분해하여 칩에 흐르는 미세한 전압 변화를 측정하면 핀 번호를 알아낼 수도 있다는 보고가 계속 나오고 있어요. 하드웨어 지갑이 무조건 안전하다는 믿음보다는 언제든 물리적으로 털릴 수 있다는 경각심을 가지는 태도가 훨씬 중요해요.

반응형

내 소중한 비트코인을 지키기 위한 현실적인 보안 수칙

 

• 종이 대신 금속판에 시드 구문을 각인해서 불이나 물에 대비하기
• 지갑을 사용할 때만 컴퓨터에 연결하고 평소에는 안전한 곳에 숨기기
• 지갑 제조사 홈페이지를 수시로 확인해서 최신 보안 패치 설치하기
• 지갑에 핀 번호 외에 본인만 아는 단어를 추가하는 패스프레이즈 설정하기
• 모르는 사람이 보낸 메일이나 문자 메시지에 포함된 링크 절대 누르지 않기

 

저는 개인적으로 시드 구문을 적은 종이를 코팅해서 보관하는 분들을 보면 가슴이 철렁해요. 종이는 시간이 지나면 글씨가 날아가거나 쉽게 타버릴 수 있기 때문이에요. 그래서 스테인리스 소재의 백업 도구를 사용해 망치로 글자를 새겨두는 방식을 추천해요. 이렇게 하면 물리적인 재해로부터 자산을 지킬 수 있고 해커가 디지털 방식으로 접근하는 것을 원천적으로 차단할 수 있어요.

 

또한 컴퓨터에 설치된 스파이웨어는 우리가 키보드로 입력하는 모든 내용을 가로챌 수 있어요. 하지만 하드웨어 지갑을 쓰면 모든 승인이 기기 본체의 물리 버튼으로 이루어지기 때문에 훨씬 안전해요. 다만 화면에 뜨는 주소가 내가 보내려는 주소와 일치하는지 눈으로 직접 확인하는 꼼꼼함이 필요해요.

 

 

사고를 미리 막는 다중 서명 지갑의 작동 원리와 설정 방법

 

다중 서명 지갑은 쉽게 말해 은행 금고의 열쇠를 여러 사람이 나눠 갖는 것과 비슷해요. 혼자서 열쇠 하나로 여는 것이 아니라 두 개 혹은 세 개의 열쇠가 동시에 있어야 금고가 열리는 방식이에요. 예를 들어 제가 지갑 세 개를 준비하고 그중 두 개의 승인이 있어야 송금이 되도록 설정하면 훨씬 마음이 놓일 거예요.

 

1. 서로 다른 제조사의 하드웨어 지갑 세 개를 준비해요.
2. 다중 서명을 지원하는 소프트웨어 지갑을 설치한 뒤 각 기기의 공개 키를 연결해요.
3. 3개 중 2개 승인 방식을 선택하여 새로운 지갑 주소를 생성해요.
4. 테스트로 아주 적은 금액을 보내보고 실제로 두 기기에서 승인이 필요한지 확인해요.
5. 각 기기의 시드 구문은 서로 다른 장소에 분리해서 보관해요.

 

이 방식의 가장 큰 장점은 지갑 하나를 잃어버리거나 시드 구문 하나가 유출되어도 내 돈이 안전하다는 거예요. 해커가 제 자산을 훔치려면 서로 다른 곳에 숨겨진 두 개의 보안 정보를 동시에 알아내야 하니까요. 관리가 조금 번거로울 수는 있지만 자산 규모가 커질수록 이보다 더 확실한 방어 수단은 없다고 생각해요.

 

 

고액 자산가가 반드시 지켜야 할 디지털 자산 관리 프로토콜

 

자산이 많아질수록 기술적인 방어벽만큼이나 사람의 심리를 이용한 공격에 대비해야 해요. 해커들은 SNS를 통해 재력을 과시하는 사람들을 표적으로 삼아 아주 긴 시간 동안 정보를 수집해요. 제가 아는 한 자산가는 절대 외부에서 지갑 기기를 꺼내지 않고 가족들에게도 구체적인 액수를 말하지 않는 철칙을 가지고 있어요.

 

예상치 못한 위협에 대비해 더미 계좌를 만들어 두는 것도 좋은 방법이에요. 진짜 자산은 패스프레이즈로 숨겨두고 핀 번호만 입력했을 때는 아주 적은 금액만 보이게 설정하는 거예요. 이렇게 하면 누군가 물리적으로 협박을 하더라도 피해를 최소화하며 위기를 모면할 수 있는 시간을 벌어줄 거예요.