암호화폐 보안: 디지털 자산을 보호하는 방법

by


Alex Mercer

Alex Mercer
크립토 애널리스트 · 5년+ 경력


·
14분 읽기

초급

암호화폐 보안은 그 어느 때보다 중요해졌습니다. 2022년에 암호화폐 사용자와 플랫폼에서 38억 달러 이상이 도난당했으며 — 이 숫자는 알려진 해킹만 포함합니다. 저는 2019년부터 크립토에 참여해 왔으며, 그동안 친구들이 피싱 이메일로 자금을 잃는 것을 보았고, 거래소가 하룻밤에 붕괴하는 것을 목격했으며, 저 자신도 가짜 지갑 앱에 거의 속을 뻔했습니다. 크립토를 안전하게 지키는 것과 모든 것을 잃는 것의 차이는 종종 몇 가지 기본 습관에 달려 있습니다.

이 가이드는 모든 크립토 사용자가 직면하는 보안 위협, 자신을 보호하기 위한 실질적인 단계, 그리고 개인 경험을 통해 피하는 법을 배운 실수를 다룹니다. 크립토에 100달러든 100,000달러든 보유하고 있든, 이 원칙들은 동일하게 적용됩니다.

보안 위협과 보호 조치로 암호화폐를 보호하는 디지털 방패
크립토 보안은 위협 인식과 강력한 보호 습관의 균형을 의미합니다.

암호화폐 보안이 다른 이유

전통적인 은행에는 안전망이 있습니다. 누군가 신용카드 번호를 훔치면, 은행에 전화하고, 청구를 취소하고, 새 카드를 받습니다. 암호화폐는 그렇게 작동하지 않습니다.

크립토에서는 당신이 자신의 은행입니다. 전화할 사기 부서도, 거래 취소 버튼도, 대부분의 플랫폼에 보험도 없습니다. 블록체인에서 거래가 확인되면 영구적입니다. 이것이 탈중앙 금융의 힘이자 위험입니다.

세 가지 특성이 크립토 보안을 독특하게 도전적으로 만듭니다:

  • 비가역성: 블록체인 거래는 취소할 수 없습니다. 잘못된 주소나 사기꾼에게 크립토를 보내면 영원히 사라집니다.
  • 익명성: 도둑은 익명 지갑 뒤에서 활동할 수 있어 복구가 거의 불가능합니다.
  • 자기 보관 책임: 자신의 키를 제어한다면 (그래야 합니다), 안전하게 보관할 책임은 당신에게 있습니다 — 다른 누구도 대신 복구할 수 없습니다.

제 경험상, 대부분의 크립토 손실은 정교한 해킹에서 오지 않습니다. 간단한 실수에서 옵니다: 비밀번호 재사용, 피싱 링크 클릭, 또는 시드 구문을 휴대폰에 저장. 좋은 소식은 기본적인 보안 위생이 대다수의 위협을 예방한다는 것입니다. 기본 보안 가이드는 Bitcoin.org의 지갑 보안 가이드를 참조하세요.

소셜 엔지니어링, 기술적 공격, 물리적 위협으로 분류된 암호화폐 보안 위협
카테고리별로 정리된 일반적인 암호화폐 보안 위협.

가장 흔한 크립토 보안 위협

피싱 공격

피싱은 사람들이 크립토를 잃는 가장 흔한 방법입니다. 공격자는 합법적인 서비스와 동일하게 보이는 가짜 웹사이트, 이메일 또는 소셜 미디어 메시지를 만듭니다. 거래소, 지갑 제공업체 또는 친구를 사칭할 수 있습니다.

저는 개인적으로 Binance나 MetaMask 알림과 정확히 같아 보이는 피싱 이메일을 수십 통 받았습니다. URL은 종종 한 글자만 다릅니다 — metamask.io vs metamaask.io. 서두르면 놓치기 쉽습니다.

자신을 보호하는 방법:

  • 사용하는 모든 거래소와 지갑의 공식 URL을 북마크하세요 — 이메일이나 메시지의 링크를 절대 클릭하지 마세요
  • 지원하는 거래소에서 안티피싱 코드를 활성화하세요 (대부분의 주요 거래소가 이 기능을 제공합니다)
  • 자격 증명을 입력하기 전에 브라우저 주소 표시줄의 URL을 확인하세요
  • “고객지원”이라고 주장하는 사람에게 절대 시드 구문이나 개인 키를 공유하지 마세요
피싱 가짜 웹사이트와 합법적인 크립토 웹사이트 비교
항상 URL을 주의 깊게 확인하세요. 피싱 사이트는 종종 한 글자만 다릅니다.

SIM 스왑 공격

SIM 스왑 공격에서 범죄자는 통신사를 설득하여 전화번호를 그들이 제어하는 SIM 카드로 이전시킵니다. 번호를 확보하면 SMS 기반 이중 인증 코드를 가로채고 거래소 계정에 접근할 수 있습니다.

자신을 보호하는 방법:

  • 크립토 계정에 SMS 기반 2FA를 절대 사용하지 마세요 — 대신 인증 앱 (Google Authenticator, Authy) 또는 하드웨어 보안 키를 사용하세요
  • 무단 변경을 방지하기 위해 통신사에 PIN 또는 암호를 설정하세요
  • 전화번호와 연결되지 않은 별도의 이메일 주소를 크립토 계정에 사용하세요

멀웨어와 클립보드 하이재킹

클립보드 하이재킹 멀웨어는 컴퓨터의 클립보드를 조용히 모니터링합니다. 자금을 보내기 위해 크립토 주소를 복사하면 멀웨어가 공격자의 주소로 교체합니다. 올바른 주소라고 생각한 것을 붙여넣고, 거래를 확인하면 크립토가 도둑에게 갑니다.

자신을 보호하는 방법:

  • 붙여넣는 주소의 처음과 마지막 4-6자를 항상 다시 확인하세요
  • 가능한 거래소에서 주소 화이트리스트 기능을 사용하세요
  • 운영체제와 안티바이러스 소프트웨어를 최신 상태로 유지하세요
  • 비공식 출처에서 소프트웨어를 다운로드하지 마세요

가짜 앱과 웹사이트

가짜 지갑 앱이 앱 스토어에 정기적으로 등장합니다. 일부는 제거되기 전에 수천 개의 리뷰를 모으기도 합니다. 이 앱들은 실제 지갑처럼 보이고 작동하지만, “새 지갑”을 만들 때 시드 구문을 공격자에게 직접 보냅니다.

자신을 보호하는 방법:

  • 프로젝트 웹사이트의 공식 링크에서만 지갑 앱을 다운로드하세요
  • 개발자 이름과 게시 날짜를 주의 깊게 확인하세요
  • 최근 리뷰를 읽으세요 — 의심스러운 행동 보고를 찾으세요
  • 인기 있는 지갑이라고 주장하면서 다운로드가 매우 적은 앱을 의심하세요

소셜 엔지니어링과 사칭

사기꾼은 다이렉트 메시지에서 고객 지원 에이전트, 인플루언서, 심지어 친구를 사칭합니다. 문제를 “도와주겠다”고 제안하거나 크립토를 보내거나 키를 공유해야 하는 “한정 기회”를 제시합니다.

“저는 [거래소] 지원팀입니다, 계정에서 비정상적인 활동을 감지했습니다. [악성 URL]에서 지갑을 연결하여 본인 확인을 해주세요”라는 Telegram 또는 Discord 메시지가 일반적인 패턴입니다.

황금 규칙: 합법적인 지원팀은 절대 시드 구문, 개인 키를 요청하거나 계정 확인을 위해 크립토를 보내라고 요청하지 않습니다.

지역별 사기 패턴

사기 전술은 지역마다 다릅니다. 지역 패턴을 인식하면 경계를 유지하는 데 도움이 됩니다:

  • 베트남: Zalo 기반 피싱이 만연합니다 — 사기꾼이 베트남의 지배적인 메시징 앱을 사용하여 거래소를 사칭하고 가짜 “인증” 링크를 보냅니다
  • 한국: 보이스 피싱 (전화사기, “jeonhwa sagi”)이 주요 벡터입니다 — 발신자가 FSC 관리 또는 거래소 지원을 사칭하여 즉각적인 조치를 요구합니다
  • 일본: LINE과 X/Twitter에서 가짜 유명인 추천으로 피해자를 사기 거래 플랫폼으로 유인하는 SNS 투자 사기가 급증했습니다
  • 터키: CEO가 약 20억 달러의 사용자 자금과 함께 도주한 Thodex 사건(2021) 이후 가짜 거래소가 지속적인 위협으로 남아 있습니다. 터키의 CMB를 통해 항상 거래소 라이선스를 확인하세요
  • 인도네시아: 암호화폐 투자에 대한 “보장된 수익”을 제공하는 Telegram 그룹 사기가 소셜 미디어와 WhatsApp 그룹을 통해 신규 사용자를 대상으로 합니다
  • UAE: 자유무역지대에서 운영되는 가짜 크립토 투자 회사가 높은 수익을 약속하며 외국인 근로자를 대상으로 합니다 — 항상 VARA 라이선스를 확인하세요
비밀번호부터 멀티시그 모니터링까지 암호화폐 보안의 다섯 가지 레이어
계층적 보안 구축 — 각 수준이 디지털 자산에 보호를 추가합니다.

필수 보안 관행

강력하고 고유한 비밀번호 사용

모든 크립토 계정은 다른 곳에서 사용하지 않는 고유한 비밀번호를 가져야 합니다. 한 서비스가 침해되고 비밀번호를 재사용하면, 공격자는 찾을 수 있는 모든 거래소와 지갑 서비스에서 해당 자격 증명을 시도합니다. 이것을 크리덴셜 스터핑이라고 합니다.

Bitwarden, 1Password 또는 KeePass 같은 비밀번호 관리자를 사용하세요. 최소 16자의 랜덤 비밀번호를 생성하세요. 비밀번호 관리자가 기억해줍니다 — 하나의 마스터 비밀번호만 기억하면 됩니다.

이중 인증(2FA) 활성화

이중 인증은 비밀번호 너머에 두 번째 보안 계층을 추가합니다. 누군가 비밀번호를 훔치더라도 두 번째 요소 없이는 계정에 접근할 수 없습니다.

2FA 방법, 가장 안전한 것부터 가장 덜 안전한 것까지:

  1. 하드웨어 보안 키 (YubiKey, Trezor) — 물리적으로 피싱이 불가능
  2. 인증 앱 (Google Authenticator, Authy) — 기기에서 시간 기반 코드 생성
  3. SMS 코드 — 없는 것보다 낫지만, SIM 스왑 공격에 취약

저는 주요 거래소 계정에는 하드웨어 키를, 나머지에는 인증 앱을 사용합니다. 제 경험상, 인증에 걸리는 30초는 보호에 충분히 가치가 있습니다.

시드 구문 보안

시드 구문 (지갑 생성 시 생성되는 12 또는 24단어)은 모든 자금의 마스터 키입니다. 누군가 시드 구문을 얻으면 크립토를 소유하게 됩니다. 시드 구문을 잃으면 크립토에 대한 접근을 영구적으로 잃습니다.

시드 구문 규칙:

  • 절대 디지털로 저장하지 마세요: 사진을 찍지 말고, 메모 앱에 저장하지 말고, 자신에게 이메일로 보내지 말고, 클라우드 저장소에 보관하지 마세요
  • 종이에 적으세요: 지갑과 함께 제공된 카드 또는 전용 금속 백업 (방화 및 방수)을 사용하세요
  • 물리적으로 안전한 장소에 보관: 가정용 금고, 은행 안전 금고 또는 여러 안전한 장소에 분산
  • 절대 웹사이트에 입력하지 마세요: 합법적인 서비스는 웹사이트에 전체 시드 구문을 입력하라고 요청하지 않습니다

상당한 자산에는 하드웨어 지갑 사용

잃어도 감당할 수 있는 것 이상을 보유하고 있다면, 크립토를 하드웨어 지갑으로 옮기세요. 하드웨어 지갑은 Ledger 또는 Trezor처럼 개인 키를 오프라인으로 유지하여 인터넷 연결 장치와 완전히 격리합니다. 컴퓨터가 침해되더라도 키가 하드웨어 장치를 떠나지 않으므로 크립토는 안전합니다.

저는 개인적으로 활발한 거래에 필요하지 않은 모든 자산을 하드웨어 지갑에 보관합니다. 거래를 위해 장치를 꽂는 작은 불편함은 제공하는 보안에 비하면 미미합니다.

소프트웨어 업데이트 유지

오래된 소프트웨어는 가장 쉬운 공격 벡터 중 하나입니다. 이는 다음에 적용됩니다:

  • 운영체제 (Windows, macOS, Linux)
  • 브라우저 (Chrome, Firefox, Brave)
  • 지갑 소프트웨어와 앱
  • 하드웨어 지갑 펌웨어

업데이트는 보안 취약점을 자주 패치합니다. 업데이트를 지연하면 알려진 익스플로잇에 노출됩니다.

거래소 보안: 확인할 사항

모든 거래소가 동등하게 안전한 것은 아닙니다. 플랫폼에 자금을 입금하기 전에 다음 보안 기능을 확인하세요:

보안 기능 왜 중요한가 무엇을 찾아야 하는가
준비금 증명 거래소가 실제로 주장하는 자산을 보유하고 있는지 확인 정기적인 제3자 감사, 온체인 증명
콜드 스토리지 대부분의 사용자 자금이 해커로부터 떨어진 오프라인에 저장 자산의 90% 이상이 콜드 스토리지에
보험 기금 보안 침해 시 손실을 보상 공개된 기금 규모와 보장 조건
출금 화이트리스트 사전 승인된 주소로만 출금 허용 새 주소 추가 시 24시간 지연
안티피싱 코드 이메일이 실제로 거래소에서 온 것인지 확인 모든 공식 이메일에 표시되는 맞춤 코드
버그 바운티 프로그램 보안 연구자들이 취약점을 찾고 보고하도록 인센티브 제공 의미 있는 보상이 있는 공개 프로그램

2022년 FTX의 붕괴는 크고 유명한 거래소도 실패할 수 있음을 증명했습니다. 교훈: 활발한 거래에 필요한 것 이상을 거래소에 보관하지 마세요. 나머지는 직접 제어하는 지갑으로 옮기세요.

고급 보안 조치

다중 서명 지갑

다중 서명 (멀티시그) 지갑은 거래를 승인하기 위해 여러 개인 키가 필요합니다 — 예를 들어, 3개 중 2개의 키가 서명해야 합니다. 이는 하나의 키가 침해되더라도 자금이 안전하다는 것을 의미합니다. 멀티시그는 특히 다음에 유용합니다:

  • 비즈니스 파트너 간 공유 자금
  • 개인 보안 — 다른 물리적 위치에 키 보관
  • 상속 계획 — 필요 시 가족이 자금에 접근 가능

거래 시뮬레이션

DeFi에서 거래를 확인하기 전에 거래 결과를 시뮬레이션하는 도구를 사용하세요. Tenderly 또는 내장 지갑 시뮬레이터와 같은 서비스가 정확히 무슨 일이 일어날지 보여줍니다 — 어떤 토큰이 이동하고, 어디로 가며, 어떤 권한을 부여하는지. 이것은 서명하기 전에 악성 스마트 계약 승인을 잡아냅니다.

토큰 승인 취소

DeFi 프로토콜과 상호작용할 때 스마트 계약에 토큰을 사용할 수 있는 권한을 부여하는 토큰 승인을 자주 합니다. 해당 계약이 나중에 침해되면 공격자가 승인된 토큰을 빼낼 수 있습니다. 다음과 같은 도구를 사용하여 미사용 승인을 정기적으로 검토하고 취소하세요 Revoke.cash.

침해당했을 때 해야 할 일

계정이나 지갑이 침해된 것으로 의심되면 빠르게 행동하세요:

  1. 남은 자금을 즉시 이동 — 노출되지 않은 안전한 지갑으로 이전
  2. 비밀번호 변경 모든 크립토 관련 계정에서
  3. 모든 토큰 승인 취소 침해된 지갑에서
  4. 거래소에 연락 — 자금이 아직 플랫폼에 있으면 출금을 동결할 수 있습니다
  5. 모든 것을 기록 — 거래 해시, 타임스탬프, 관련 지갑 주소
  6. 당국에 신고 — 현지 사이버 범죄 부서에 신고하세요. 국가별 주요 기관:

    국가 / 지역 기관 Contact
    USA FBI IC3 ic3.gov
    영국 Action Fraud actionfraud.police.uk
    EU (국경간) Europol EC3 europol.europa.eu
    France PHAROS internet-signalement.gouv.fr
    Germany BKA (Bundeskriminalamt) bka.de
    Japan National Police Agency Cyber Crime npa.go.jp
    한국 KISA (Korea Internet & Security Agency) kisa.or.kr
    Indonesia Bareskrim (Criminal Investigation Agency) bareskrim.polri.go.id
    Thailand Royal Thai Police Cyber Crime Division tcsd.go.th
    Turkey EGM Cyber Crime Department egm.gov.tr
    Vietnam Ministry of Public Security (A05) Report via local police
    UAE Dubai Police eCrime dubaipolice.gov.ae
    Ukraine Cyber Police of Ukraine cyberpolice.gov.ua
    Nigeria EFCC (Economic & Financial Crimes Commission) efcc.gov.ng
    Brazil Brazilian Federal Police gov.br/pf

    빠르게 행동하면 복구 가능성이 높아집니다

복구는 어렵지만 항상 불가능한 것은 아닙니다. 일부 블록체인 분석 회사는 도둑의 신원을 연결할 수 있는 중앙화 거래소로 거래를 추적하여 도난 자금 복구를 도왔습니다.

보안 체크리스트

이 체크리스트를 사용하여 자신의 크립토 보안을 점검하세요:

카테고리 조치 우선순위
비밀번호 모든 크립토 계정에 고유한 비밀번호 필수
비밀번호 비밀번호 관리자 사용 필수
2FA 모든 계정에 인증 앱 또는 하드웨어 키 필수
2FA SMS 2FA 비활성화 또는 교체 높음
시드 구문 종이/금속에 작성, 안전하게 오프라인 보관 필수
시드 구문 디지털 복사본 없음 (사진, 메모, 클라우드) 필수
지갑 $500 이상 자산에 하드웨어 지갑 높음
거래소 출금 화이트리스트 활성화 높음
거래소 안티피싱 코드 설정 보통
소프트웨어 OS, 브라우저 및 지갑 앱 최신 상태 높음
DeFi 미사용 토큰 승인 취소 보통
이메일 크립토 계정용 별도 이메일 보통

자주 묻는 질문

도난된 암호화폐를 복구할 수 있나요?

일부 경우 가능합니다 — 하지만 어렵습니다. 도난 자금이 중앙화 거래소로 보내지면 법 집행 기관이 계정을 동결하고 자산을 복구할 수 있는 경우도 있습니다. 블록체인 분석 회사인 Chainalysis 은 도난된 크립토 추적을 전문으로 합니다. 그러나 자금이 믹서나 탈중앙화 프로토콜을 통해 이동하면 복구 가능성이 극히 낮아집니다. 예방은 항상 복구보다 효과적입니다.

거래소에 크립토를 보관하는 것이 안전한가요?

거래소는 활발한 거래에 편리하지만 장기 보관에 가장 안전한 곳은 아닙니다. 거래소는 해킹될 수 있고, 파산할 수 있으며 (FTX가 증명했듯이), 시장 스트레스 중에 출금을 동결할 수 있습니다. 활발하게 거래하지 않는 금액에 대해서는 하드웨어 지갑이나 자기 보관 솔루션이 훨씬 나은 보안을 제공합니다.

하드웨어 지갑을 잃어버리면 어떻게 되나요?

하드웨어 지갑 장치를 잃어버려도 시드 구문이 있는 한 크립토는 잃지 않습니다. 새 하드웨어 지갑을 구매하여 (같은 브랜드든 다른 브랜드든) 시드 구문으로 지갑을 복원할 수 있습니다. 장치 자체는 크립토를 저장하지 않습니다; 블록체인의 크립토에 접근하는 키를 저장합니다. 그래서 시드 구문을 보호하는 것이 장치를 보호하는 것보다 더 중요합니다.

암호화폐를 사용하려면 VPN이 필요한가요?

기본적인 크립토 사용에 VPN이 반드시 필요하지는 않지만, 특히 공공 Wi-Fi 네트워크에서 프라이버시 계층을 추가합니다. VPN은 인터넷 트래픽을 암호화하여 네트워크 수준의 도청을 방지합니다. 그러나 VPN만으로는 익명이 되지 않습니다; 대부분의 경우 거래소는 여전히 신원 확인(KYC)을 요구합니다. VPN을 전체 보안 전략의 한 계층으로 사용하세요, 독립적인 솔루션이 아닙니다.

시드 구문을 저장하는 가장 안전한 방법은 무엇인가요?

시드 구문을 종이에 쓰거나 금속판에 새기세요 — 절대 디지털로 저장하지 마세요 (사진 없음, 클라우드 저장소 없음, 텍스트 파일 없음). 방화 및 방수 금고에 보관하세요. Shamir’s Secret Sharing을 사용하여 분할하거나 두 개의 별도 안전한 장소에 복사본을 보관하는 것을 고려하세요. 시드 구문을 절대 누구에게도 공유하지 마세요, 합법적인 서비스는 절대 요청하지 않는다는 것을 기억하세요.

마무리

암호화폐 보안은 편집증이 아닙니다 — 준비입니다. 크립토 도난의 대다수는 기본 예방 조치를 건너뛰는 사람들을 대상으로 합니다: 약한 비밀번호, SMS 기반 2FA, 휴대폰에 저장된 시드 구문, 거래소에 무기한 방치된 자금.

이 가이드에 설명된 단계는 구현에 한 시간도 걸리지 않지만, 크립토 손실의 90% 이상을 차지하는 위협으로부터 보호합니다. 위의 보안 체크리스트에서 필수 항목부터 시작한 다음, 자신의 속도로 나머지를 진행하세요.

크립토는 보안 설정에서 가장 약한 고리만큼만 안전합니다. 그 고리를 가능한 한 강하게 만드세요.

저자 소개: Alex Mercer는 암호화폐 거래 및 보안 분야에서 5년 이상의 실무 경험을 가진 ChainGain의 수석 애널리스트입니다. 초기에 정교한 피싱 공격에 거의 속을 뻔한 후, Alex는 크립토 보안 모범 사례에 깊은 관심을 갖게 되었습니다. 이 가이드의 모든 권장 사항은 실제 경험을 반영합니다 — 이론적 조언이 아닙니다. Alex에 대해 더 알아보기.

면책 조항: 이 기사는 교육 목적으로만 제공되며 재무 또는 보안 조언을 구성하지 않습니다. 암호화폐에는 상당한 위험이 수반됩니다. 항상 스스로 조사하고 적절한 경우 자격을 갖춘 전문가와 상담하세요. 전체 면책 조항은 책임 있는 거래 면책 조항을 참조하세요.