[블록미디어 정아인 기자] 하드웨어 월렛(콜드 월렛)을 사용해도 안전할까?
FTX 사태 이후 셀프 커스터디가 이목을 끌었다. 중앙화 거래소인 FTX가 파산하자 FTX에 자산을 보관한 투자자들이 피해를 봤기 때문이다.
세계 최대 가상자산 거래소 바이낸스의 CEO인 창펑 자오는 창펑자오는 평소 ‘내 코인은 내 지갑에’라는 셀프 커스터디를 권장했다. FTX 사태 이후 셀프 커스터디 훈풍에 렛저의 리커버 서비스가 장애물이 됐다.
하드월렛의 대표인 렛저(Ledger)가 희망 고객을 대상으로 리커버 서비스를 출시했다. 리커버 서비스는 개인이 외워야 하는 니모닉(시드 문구)을 월 9.9달러에 렛저를 포함 3개의 회사에 나눠 보관한다. 문제는 개인이 보관해야 할 니모닉 문구를 온라인 상에 공유하는 것 뿐 아니라 세 회사가 나눠 보관하게 됨으로써 해킹 등 보안 문제에 노출된다.
하드웨어 월렛은 복구 구문을 컴퓨터가 아닌 별도의 기기에서 보관하는 콜드 월렛이다. 개인 키가 스마트폰이나 PC가 아닌 렛저같은 하드웨어 안에서만 작동하며, 장치 밖으로 유출되지 않는다. 핫월렛은 비밀 복구 구문을 온라인에서 저장하거나 확인할 수 있다. 유출될 가능성이 높다.
그럼 개인이 자산을 스스로 보관하는 셀프 커스터디가 아니라 중앙화 거래소(CEX)가 관리하는 지갑에 자산을 보관하는게 안전할까?
코인 대출 플랫폼 에이브(Aave) 다오 관리자 마크 젤러(Marc Zeller)는 현재 지갑 상황을 다음과 같이 정리했다.
렛저(Ledger): 훌륭한 제품, 나쁜 리더십, 끔찍한 커뮤니케이션, 좋은 가격
그라인드(Gridplus): 훌륭한 제품, 나쁜 디자인(물건이 토스터기 크기), 매우 비싼 가격
엔그레이브(Ngrave): 좋은 제품, “젊은 느낌”, 약간 비싼 가격
트레저(Trezor): 나쁜 제품모든 하드웨어 월렛: 핫월렛보다 낫다.
정말 모든 하드웨어 월렛이 핫월렛보다 나을까?
# 그럼에도 불구하고 하드웨어 월렛
블록체인 개발자는 “CEX 자산보관이 편리한 측면이 있다. 개인 스스로에 대한 신뢰도가 떨어질 경우가 존재한다”라고 말했다.
블록체인 전문가는 “블록체인은 기존 금융시스템과 달리 책임 보상 체계가 없기 때문에 무조건 키는 개인이 관리해야 한다”고 설명했다. 그는 “금융시스템은 복구가 가능하지만 블록체인은 불가능하다. 그래서 기업에게 책임을 위탁할 수 없다. 기존 금융시스템은 재정비라는 목적하에 백업이 가능하다”라고 덧붙였다.
예를 들어 특정 은행에서 버그가 일어나 각 계좌에서 100만원을 인출한다고 가정했다. 중앙은행에 들어가도록 악성 코드를 짠다. 그러나 실제로 돈을 인출하기 전까지는 전산상으로는 복구가 가능하다. 하지만 블록체인의 경우 전송이 완료되면 이전으로 돌아갈 수 없다.
블록체인 전문가는 “물론 이전으로 돌아가는 하드포크를 하면 돌아갈 수 있다. 그러나 이건 블록체인의 기본 이념에 맞지 않는다. 또한 속도가 빠른 체인에선 하드포크가 쉽지 않다”라고 말했다.
결국 블록체인 업계에서 하드웨어 월렛은 필수로 귀결된다.
# 하드웨어 월렛 사용은 신뢰의 문제
블록체인 업계 전문가는 “하드웨어 월렛을 믿지 못한다면 핫월렛도 사용하지 말아야 한다”고 말했다.
그는 “렛저를 포함한 콜드월렛(하드웨어 월렛)은 와이파이 연결이 되지 않는다. 내부에서 다시 서명을 만드는 것이라 온라인에 연결되지 않는다는 증명이 됐다”라고 말했다.
그러면서 그는 “니모닉 처음 생성됐을 때 코드를 확인하면 니모닉이 깨끗한지 아닌지 알 수 있다. 와이파이로 보내는지 있는게 없는지, 웹소켓 하나라도 있으면 안 된다”라고 말했다. 웹소켓(WebSocket) 프로토콜은 HTTP와 다른 통신 프로토콜 간 실시간 메세지를 교환하는데 사용한다.
컴퓨터 자체의 보안도 문제가 된다. 니모닉 스크린샷을 저장해둔 컴퓨터가 해킹되면 니모닉은 안전하지 않다.
블록체인 개발자는 “내 컴퓨터가 네트워크로부터 독립되어 있지도 않다. 그럼 어떤 것도 믿지 못한다. 금융 기업 컴퓨터도 쓸 수 없다”라고 주장했다.
그는 “누군가 내 컴퓨터를 해킹해 훔쳐보고 있지 않다는 보장이 없다. 마찬가지로 렛저는 사실 누군가 내 렛저 아이디를 설정할 수 있는걸 볼수 있다면 안전한 건 없다. 니모닉을 설정할 때도 CCTV없이 독립된 공간이어야 한다”라고 말했다.
속보는 블록미디어 텔레그램으로(클릭)
전문 기자가 요약 정리한 핫뉴스, 블록미디어 카카오 뷰(클릭)
같이 보면 좋은 기사
렛저 CTO, “사용자 키 추출은 항상 가능했다” 삭제 이유 해명 –다른 지갑 업체, 틈새 노린 할인 마케팅