Potsted by Blofin Ventures

리서치 페이지: BloFin Academy Research

원본출처: Crypto Safety Essentials: A Beginner’s Guide

이 기사에서는 암호화폐에서 흔히 발생하는 위협, 안전한 플랫폼을 선택하는 방법, 그리고 지갑을 보호하기 위한 최상의 실천 방법을 설명합니다.

소개

2025년 2월, 암호화폐 거래소 바이빗(Bybit)은 북한 해커들의 공격으로 14억 달러(약 1.9조 원) 규모의 해킹 피해를 입으며, 역사상 최대 규모의 암호화폐 탈취 사건이 발생했다. 안타깝게도, 바이빗의 사례가 유일한 사건은 아니었다.

2024년에는 암호화폐 관련 해킹과 사기가 급증하며, 총 23억 달러(약 3.1조 원) 이상의 암호화폐가 해킹, 사기, 도난으로 유실되었다. 이는 2023년 대비 42% 증가한 수치로, 전 세계 수십만 명의 개인 투자자들이 피해를 입었다.

사이버 범죄자들은 대형 거래소부터 개인 지갑까지 공격 대상으로 삼고 있으며, 암호화폐 투자자들에게 가해지는 보안 위협은 그 어느 때보다 심각한 상황이다.

이 글에서는 소매 투자자들이 증가하는 보안 위협 속에서 자산을 보호하는 방법을 다룬다.
우리는 다음과 같은 내용을 설명할 것이다:

- 흔히 발생하는 보안 위협

- 안전한 거래소 및 플랫폼을 선택하는 방법

- 지갑을 보호하기 위한 최상의 보안 실천법

보안 위협을 이해하고 올바른 보안 습관을 실천하면, 피해를 입을 가능성을 현저히 줄이고 안전하게 암호화폐 시장을 탐색할 수 있다.

위험 요소 이해하기

암호화폐 투자자들은 다양한 보안 위협에 직면하며, 이는 순식간에 돌이킬 수 없는 손실로 이어질 수 있다. 특히 전통 금융과 달리 암호화폐에는 복구 옵션이 거의 없다는 점을 인식하는 것이 중요하다. 은행에 전화할 수도, 보험이 자동으로 손실을 보상해 주지도 않는다. 따라서 보안 위협을 이해하고 대비하는 것이 가장 중요한 방어 수단이다.

다음은 대표적인 보안 위협과 그 위험성에 대한 설명이다.

1. 거래소 해킹

중앙화 암호화폐 거래소는 사용자들의 자금을 보관하고 있으며, 프라이빗 키를 관리하는 구조이기 때문에 해커들에게 매력적인 표적이 된다. 과거에도 많은 거래소가 해킹을 당했으며, 2024년에는 이러한 대형 해킹 사건으로 수십억 달러 규모의 손실이 발생했다.

이러한 공격은 일반적으로 해커들이 거래소의 핫 월렛을 해킹하여 대량의 암호화폐를 탈취하는 방식으로 이루어진다. 거래소가 프라이빗 키를 관리하고 있기 때문에, 사용자들은 플랫폼이 해킹당한 후에는 자금을 보호할 방법이 거의 없다.

2. 피싱(Phishing) 사기

피싱은 사회공학적 공격(Social Engineering Attack)의 일종으로, 해커가 사용자를 속여 로그인 정보나 시드 문구(Seed Phrase)를 유출하게 만들거나 악성 거래를 승인하도록 유도하는 방식이다.

피싱 공격은 가짜 웹사이트, 이메일, 메시지를 통해 이루어지며, 정상적인 서비스로 위장하는 경우가 많다. 예를 들어:

- 해킹 사이트가 사용자의 거래소 로그인 페이지를 그대로 복제하여 유사한 도메인으로 운영될 수 있다.

- "긴급한 보안 문제"를 알리는 가짜 이메일을 보내, 사용자가 암호화폐 지갑 정보를 입력하도록 유도할 수 있다.

3. 스마트 컨트랙트 취약점

디파이(DeFi, 탈중앙화 금융)의 발전과 함께 스마트 컨트랙트(Smart Contract) 취약점을 악용한 공격이 증가하고 있다.

스마트 컨트랙트는 블록체인에서 자동 실행되는 코드인데, 만약 코드에 버그나 보안 허점이 있다면 해커가 이를 악용해 디파이 프로토콜의 자금을 탈취할 수 있다.
이러한 공격은 사용자의 실수 없이도 발생할 수 있다. 즉, 단순히 정상적인 프로토콜을 이용하는 중에도 해커가 코드의 취약점을 악용해 자금을 빼돌릴 수 있다.

이런 위험을 줄이려면 보안 감사를 거친 신뢰할 수 있는 DeFi 프로젝트를 선택하는 것이 중요하다.

4. 프라이빗 키 관리 부주의

프라이빗 키(Private Key) 또는 시드 문구(Seed Phrase)는 암호화폐 자산에 접근할 수 있는 핵심 정보이다. 이 정보가 유출되면, 자산에 대한 완전한 통제권이 해커에게 넘어가게 된다.

2024년 암호화폐 도난 사고 중 가장 큰 비율(43.8%)을 차지한 원인은 프라이빗 키 유출이었다. (출처: Chainalysis)

따라서 프라이빗 키를 안전하게 보관하는 것이 무엇보다 중요하며, 보안 실천법을 철저히 따르는 것이 필수적이다.

프라이빗 키 유출은 여러 방식으로 발생할 수 있다.

- 키로거(Keylogger) 악성코드가 컴퓨터에 설치되어 키 입력을 기록하는 경우

- 보안이 취약한 저장소에 보관한 시드 문구(Seed Phrase) 백업을 해커가 발견하는 경우

- 커스터디얼 플랫폼(중앙화 서비스) 내부자의 유출

프라이빗 키는 은행 비밀번호나 PIN 코드와 다르게 한 번 유출되면 변경할 수 없다.
즉, 키가 유출되면 유일한 해결책은 남아 있는 자금을 빠르게 새로운 지갑으로 옮기는 것뿐이다. 하지만 이를 인지하지 못하면 자산을 그대로 잃게 된다.

사실상, 많은 거래소 해킹 사건도 프라이빗 키 도난이 원인이었다. 예를 들어, 2024년 대규모 DMM Bitcoin 거래소 해킹 사건도 프라이빗 키 관리 부실로 인해 발생한 것으로 추정된다.

개인 투자자의 경우, 프라이빗 키 또는 시드 문구를 분실하면 영구적으로 지갑 접근 권한을 잃게 된다.
탈중앙화 암호화폐 시스템에서는 "비밀번호 찾기" 옵션이 없기 때문이다.
따라서 프라이빗 키를 안전하게 관리하는 것이 필수적이며, 이에 대한 자세한 내용은 지갑 보안 섹션에서 다룰 것이다.

이러한 모든 보안 위협이 더욱 심각한 이유는 암호화폐에는 안전망이 없기 때문이다.
만약 은행 계좌가 해킹되거나 신용카드가 도난당하면,

- 은행에 신고하여 거래를 취소하거나

- 피해 보상을 받을 수 있는 제도가 마련되어 있다.

하지만 암호화폐에서는 보안 책임이 100% 사용자에게 있다.
한 번 도난당하면 복구할 방법이 없으므로, 사전 예방이 절대적으로 중요하다.

안전한 플랫폼 선택하기

암호화폐를 보호하는 가장 기본적인 단계 중 하나는 안전한 거래 및 투자 플랫폼을 선택하는 것이다.  중앙화 거래소(CEX)를 사용할지, 디파이(DeFi) 프로토콜을 이용할지에 관계없이, 해당 서비스의 보안 조치와 신뢰성을 평가하는 것이 필수적이다. 다음은 플랫폼을 검증할 때 고려해야 할 핵심 기준과 팁이다.

중앙화 거래소(CEX)의 보안 평가

중앙화 거래소(CEX)를 이용해 암호화폐를 매매하거나 보관할 경우, 해당 거래소의 보안 이력과 투명성을 조사하는 것이 중요하다. 다음은 안전한 거래소를 선택할 때 고려해야 할 주요 요소들이다.

1. 준비금 증명(Proof of Reserves, PoR) 감사

거래소가 고객의 자산을 1:1로 보유하고 있음을 입증하는 PoR(Proof of Reserves) 보고서를 공개하는지 확인해야 한다.

PoR(준비금 증명)이란 독립적인 감사를 통해 거래소가 실제로 고객의 예치 자산을 온전히 보유하고 있음을 검증하는 과정이다.

- FTX 사태 이후, 많은 주요 거래소들이 정기적으로 PoR 감사를 받거나 머클 트리(Merkle Tree) 증명을 제공하고 있다.

- 외부 감사기관을 통한 검증이 이루어지는 거래소는 그렇지 않은 거래소보다 신뢰성이 높다.

2. 보험 기금 및 비상 안전망

대형 거래소들은 해킹 발생 시 사용자 피해를 보상하기 위한 보험 기금을 운영하는 경우가 많다.

- 예를 들어, 바이낸스(Binance)는 SAFU(Secure Asset Fund for Users)라는 비상 준비금을 운영하며, 플랫폼이 해킹될 경우 사용자를 보상할 수 있도록 한다.

- 코인베이스(Coinbase) 역시 커스터디 중인 디지털 자산에 대해 범죄 보험을 보유하고 있다.

거래소가 비상 기금이나 보험에 대해 명시적으로 언급하는지 확인하는 것이 중요하다.
단, 보험이 모든 손실을 보장하는 것은 아니며, 일부 중소 거래소는 보험이 전혀 없을 수도 있으므로 주의해야 한다.

3. 보안 이력 및 신뢰도

거래소의 보안 역사를 조사해야 한다.

- 운영 기간이 길고, 과거에 해킹을 당한 적이 없는 거래소가 더 신뢰도가 높다.

- 만약 해킹된 적이 있다면, 사용자들에게 보상을 제공했는지 확인하는 것도 중요하다.

또한, 거래소의 규제 준수 여부 및 사이버 보안 감사 여부도 검토해야 한다.

- 예를 들어, 일부 데이터 분석 플랫폼(예: CoinGecko)에서는 거래소의 보안 등급을 평가하는 사이버 보안 점수(Security Score)를 제공한다.

- Hacken과 같은 보안 기업이 제공하는 평가 기준에는 서버 보안, 버그 바운티 프로그램 운영 여부, 과거 해킹 이력 등이 포함된다.

보안 등급이 높고, 적극적인 보안 취약점 보상 프로그램(버그 바운티)을 운영하며, 과거에 대형 해킹 사건이 없었던 거래소가 자금을 보관하기에 더 안전한 선택이다.

디파이(DeFi) 플랫폼의 보안 평가

디파이 프로토콜(DEX, 대출 플랫폼, 이자 농사 등)을 이용할 때는 중앙화 거래소와는 다른 방식의 보안 점검이 필요하다. 디파이 플랫폼은 블록체인에서 실행되는 코드에 의존하기 때문에, 스마트 컨트랙트의 보안성과 개발팀의 신뢰성을 평가하는 것이 중요하다.

스마트 컨트랙트 감사는 필수적인 보안 기준이다. CertiK, OpenZeppelin, Trail of Bits 같은 보안 기업이 코드 감사를 진행하며, 이 과정에서 발견된 취약점을 수정할 수 있다. 물론 감사가 절대적인 보안 보증은 아니지만, 개발팀이 보안을 신경 쓰고 있다는 강력한 신호가 된다. 만약 감사를 거치지 않은 프로젝트가 수백만 달러의 사용자 자금을 관리하고 있다면, 이는 매우 위험한 신호다.

개발팀의 신뢰도도 중요한 요소다. 과거에 성공적으로 보안이 입증된 프로젝트를 개발한 경험이 있는 팀은 신뢰도가 높지만, 익명 개발팀이 운영하는 프로젝트는 상대적으로 위험성이 크다. 러그풀(자금 먹튀) 사기가 익명 팀에서 자주 발생하는 이유도 여기에 있다.

디파이 플랫폼의 운영 이력과 커뮤니티의 신뢰도를 확인하는 것도 필요하다. 변동성이 큰 시장에서 1년 이상 운영된 플랫폼은 신뢰성이 더 높고, 출시된 지 얼마 안 된 프로젝트는 검증되지 않은 리스크가 많을 수 있다. 트위터(X), 레딧(Reddit), 디스코드(Discord) 등의 커뮤니티에서 프로젝트에 대한 논의를 살펴보면, 개발팀이 갑자기 코드를 변경하거나 대규모 자금이 빠져나가는 등의 이상 징후를 파악할 수도 있다.

암호화폐에서는 신중하게 플랫폼을 선택하는 것만으로도 보안 위협의 상당 부분을 줄일 수 있다. 의심이 든다면 한 번 더 조사하고, 안전하다고 확신이 들 때만 투자하는 것이 중요하다. 다음으로, 개인 지갑과 계정을 보호하는 방법을 알아보겠다.

자산 보호하기

아무리 안전한 플랫폼을 사용하더라도, 개인의 보안 습관이 암호화폐를 안전하게 지키는 핵심 요소다. 이 섹션에서는 지갑과 계정을 도난이나 분실로부터 보호하는 방법을 다룬다. 암호화폐 투자자는 자신의 자산을 직접 관리해야 하기 때문에, 보안 습관을 익히고 실천하는 것이 필수적이다.

안전한 지갑 선택하기 (하드웨어 vs. 핫월렛)

어떤 지갑을 사용하느냐에 따라 보안 수준이 크게 달라진다. 하드웨어 지갑(콜드월렛)은 장기 보관용으로 추천되며, 소프트웨어 지갑(핫월렛)은 일상적인 소액 거래에 적합하다.

하드웨어 지갑은 USB 장치처럼 생긴 물리적 기기로, 프라이빗 키를 오프라인에서 안전하게 보관한다. 인터넷에 연결되지 않기 때문에 해킹 위험이 현저히 낮다.

Source: Bitcoin Magazine

하드웨어 지갑 사용하기

하드웨어 지갑을 올바르게 사용하면, 설령 컴퓨터가 악성코드에 감염되더라도 프라이빗 키를 안전하게 보호할 수 있다. 대표적인 하드웨어 지갑으로는 Ledger, Trezor 등이 있으며, 거래를 승인하려면 기기에서 직접 물리적으로 확인해야 하므로 보안이 한층 강화된다.

반면, 핫월렛(모바일 앱 또는 데스크톱 지갑)은 인터넷에 연결된 기기에서 프라이빗 키를 저장하기 때문에 온라인 해킹에 더 취약하다. 핫월렛은 소액이나 일상적인 거래에는 적합하지만, 대량의 암호화폐를 장기간 보관하는 용도로는 부적절하다.

가장 안전한 방법은 대부분의 자산을 하드웨어 지갑(콜드 스토리지)에 보관하고, 필요한 만큼만 핫월렛으로 전송하여 사용하는 전략이다.

시드 문구와 프라이빗 키 안전하게 보관하기

지갑을 설정하면 12개 또는 24개의 단어로 구성된 시드 문구(Seed Phrase) 또는 프라이빗 키가 제공된다. 이는 은행 계좌의 PIN 번호나 금고 열쇠보다 더 중요한 정보다. 분실하거나 도난당하면 자산을 복구할 방법이 없으므로, 철저하게 보호해야 한다.

Source: Ready.io

프라이빗 키 관리 수칙

오프라인 백업하기: 시드 문구는 종이에 적거나 금속 플레이트에 새겨 안전한 장소에 보관해야 한다. 가능하면 여러 조각으로 나누어 다른 장소에 분산 보관하는 것도 방법이다. 컴퓨터 파일이나 클라우드 저장소에 저장하지 말 것, 해커가 쉽게 접근할 수 있기 때문이다. 디바이스에 접근할 수 없게 되면, 시드 문구만이 지갑을 복구할 수 있는 유일한 방법이므로 철저히 보호해야 한다.

절대 공유하거나 무작위 사이트에 입력하지 말 것

정상적인 고객 지원팀이나 소프트웨어는 시드 문구 전체를 요구하지 않는다. 만약 웹사이트나 앱이 공식 지갑 앱이 아닌 곳에서 12/24개 단어 입력을 요구한다면, 거의 확실히 피싱 사기다.

많은 사기꾼이 가짜 "지갑 업데이트" 사이트나 입력 양식을 이용해 사용자가 시드 문구를 입력하도록 속인다. 입력하는 순간 자산은 도난당한다.

추가 보안을 위한 멀티시그(Multi-Sig) 또는 패스프레이즈 고려

많은 자산을 보유하고 있다면, 다중 서명 지갑(트랜잭션 승인에 여러 키 필요)이나 시드 문구에 추가 패스프레이즈(13번째 또는 25번째 단어)를 설정하는 방법을 고려할 수 있다. 이는 단일 장애점을 줄이는 강력한 보안 조치지만, 설정이 복잡할 수 있다. 일반적인 사용자라면 하드웨어 지갑과 안전한 오프라인 백업만으로도 충분한 보안이 확보된다.

비밀번호 외에 2FA(이중 인증) 활성화하기

거래소, 지갑 앱, 기타 암호화폐 서비스에서 지원하는 경우 2단계 인증(2FA)을 반드시 활성화해야 한다. 비밀번호가 유출되더라도, 추가 인증 코드가 필요하기 때문에 해커가 계정에 접근하기 어렵다.

그러나 모든 2FA 방식이 동일한 보안을 제공하는 것은 아니다.

- 가능하면 SMS 기반 2FA 대신 인증 앱(Authenticator App) 또는 하드웨어 2FA 키를 사용해야 한다.

- Google Authenticator, Authy, Microsoft Authenticator 같은 앱은 30초마다 변경되는 일회성 코드를 생성하며, SIM 스와핑 공격에 안전하다.

- SIM 스와핑 공격은 해커가 이동통신사 직원을 속이거나 매수해 사용자의 전화번호를 자신의 SIM 카드로 이전시키는 방식이다. 이를 통해 해커는 SMS 인증 코드를 가로채 계정에 침입할 수 있다.

최근 몇 년간 SIM 스와핑 공격이 급증하면서 수천만 달러의 피해가 발생했다. 이를 방지하려면 모바일 인증 앱을 사용하거나, YubiKey 같은 하드웨어 보안 키를 활용하는 것이 가장 안전한 방법이다.

“Not Your Keys, Not Your Coins(너의 키가 아니면, 너의 코인이 아니다)”

암호화폐에서 가장 중요한 원칙 중 하나는 자기 관리(Self-Custody)다.
즉, 가능하다면 암호화폐를 중앙화 거래소에 장기간 보관하지 않고, 프라이빗 키를 직접 관리하는 지갑에 보관해야 한다.

"Not your keys, not your coins"(네가 키를 갖고 있지 않다면, 그 코인은 네 것이 아니다)라는 유명한 문구는 이 원칙을 잘 설명한다.
프라이빗 키를 직접 보유하지 않는다면, 본질적으로 제3자(거래소)가 사용자의 자산을 통제하는 것과 같다.

거래소를 이용하는 것은 거래할 때 필요하지만, 거래 후에는 주요 자산을 개인 지갑으로 출금하는 것이 안전하다.
자신의 키를 직접 관리하는 것은 책임이 따르지만(앞서 언급한 보안 조치 필요), 이는 진정한 소유권을 의미하며, 해킹과 거래소 파산으로부터 자산을 보호하는 가장 확실한 방법이다.

결론

암호화폐 투자가 지뢰밭을 걷는 것처럼 느껴질 필요는 없다.
이번 글에서 다룬 보안 원칙—플랫폼 검증, 지갑 및 프라이빗 키 보호, 리스크 관리, 지속적인 정보 업데이트—을 실천하면 자산에 대한 위협을 크게 줄일 수 있다.

핵심 요점 정리

- 사전 조사 필수: 거래소나 디파이 프로젝트에 자금을 맡기기 전에 반드시 보안 조치, 감사 내역, 평판을 조사하라. 준비금 감사, 보험 기금 등 보안이 입증된 플랫폼을 우선 선택하고, 의심스러운 플랫폼은 피해야 한다.

- 키와 계정 보호: 자산 보관은 하드웨어 지갑을 사용, 시드 문구는 오프라인에서 안전하게 보관, 2FA(인증 앱 또는 하드웨어 키) 활성화, 피싱 및 사기 수법에 대한 경계를 늦추지 말 것.

- 항상 경계 유지: 암호화폐는 끊임없이 변화하는 시장이며, 새로운 보안 위협이 계속 등장한다. 신뢰할 만한 뉴스와 커뮤니티 경고를 주기적으로 확인하고, 보안 사고 발생 시 침착하게 공식 지침을 따르며 신속한 대응이 필요하다.

리테일 투자자로서 보안 지식을 익히고 좋은 습관을 유지하는 것이 최고의 방어책이다.
리스크를 완전히 제거할 수는 없지만, 이제 암호화폐 시장을 보다 현명하게 탐색할 수 있는 도구를 갖추게 되었다.
결국, 두려운 투자자와 자신감 있는 투자자의 차이는 ‘준비된 정도’에서 결정된다.