2019.04.22

암호화폐 지갑이란? 작동 방법은?

Lucas Mearian | Computerworld
암호화폐 지갑은 분산 원장을 위해 암호화폐 거래를 디지털 서명하는 데 사용되는 비밀 키를 추적하는 소프트웨어다. 비밀 키는 디지털 자산의 소유권을 증명하고 자산을 양도하거나 변경하는 거래를 실행하는 유일한 수단이므로 암호화폐 생태계에서 핵심적인 요소다.

블록체인이 자동차라면 “암호화폐 지갑” 소프트웨어는 이 자동차의 키라고 할 수 있다. 키가 없으면 자동차도 움직이지 않는다. 또한 암호화폐 지갑이 없으면 비트코인부터 자산을 나타내는 토큰에 이르기까지 디지털 자산의 소유권을 입증할 방법도 없다.
 
ⓒ Getty Images Bank
 

암호화폐 지갑의 역할

암호화폐 지갑(더 일반적으로는 디지털 지갑)은 거래에 디지털 서명하는 데 사용되는 암호화 키를 추적할 뿐만 아니라, 특정 자산이 위치하는 블록체인의 주소도 저장한다. 리눅스 재단의 하이퍼레저 프로젝트에서 보안 전문가로 활동하는 데이비드 휴즈비에 따르면 소유자는 이 주소를 분실할 경우 기본적으로 자신의 디지털 화폐 또는 다른 자산에 대한 통제력을 잃게 된다.
 
코인베이스의 암호화폐 지갑 인터페이스 ⓒ COINBASE

암호화폐 지갑에는 크게 하드웨어와 소프트웨어의 두 가지 유형이 있다(각각 콜드 스토리지 지갑, 핫 스토리지 지갑이라고도 함). 핫 스토리지 지갑은 온라인 지갑을 제공하는 가장 큰 암호화폐 거래소 중 하나인 코인베이스(Coinbase)와 같은 인터넷 서비스를 통해 액세스할 수 있으며, 사용자의 컴퓨터 또는 모바일 디바이스에서 관리되는 클라이언트 측 지갑과 온라인 지갑으로 더 세분화된다.

인쇄하거나 QR 코드로 렌더링할 수 있는 키를 생성하는 종이 지갑 생성기도 있다.

콜드 스토리지 지갑은 다운로드를 거쳐 USB 드라이브 또는 스마트폰과 같은 하드웨어에 오프라인 상태로 존재한다. 예를 들어 Exodus.io, 대시 QT(Dash QT)가 콜드 스토리지 지갑 소프트웨어에 속한다. 콜드 스토리지 지갑은 소프트웨어가 이미 설치된 상태의 디바이스 형태로도 구할 수 있다. 트레저(Trezor), 레저(Ledger)와 같은 업체에서 이러한 종류의 디바이스를 판매한다.

하드웨어 지갑은 단순히 임의 데이터의 서명과 키를 처리하는 암호화폐 지원형 지갑과 하드웨어 보안 모듈(hardware security modules, HSM)로 세분화된다. 휴즈비는 “분산 원장 네트워크로 전송되는 완전한 거래의 생성과 서명을 처리하는 하드웨어 지갑도 있다”고 말했다.
 
트레저(Trazor)의 USB 기반 콜드 스토리지 동글 ⓒ TRAZOR

사용자가 블록체인과 통신할 때 하드웨어는 디바이스의 코드를 통해 통신한다. 그러나 가트너 연구 부사장 아비바 리탄에 따르면 사용자 인터페이스는 그다지 편리하지 않다.
 

핫 지갑과 콜드 지갑, 무엇이 더 안전한가?

콜드 스토리지 지갑은 인터넷에 연결되지 않는다는 면에서 본질적으로 핫 지갑보다 더 안전하다. 리탄에 따르면 대부분의 암호화폐 공격은 해커가 온라인 지갑 서비스를 공격해 비밀 키를 자신의 지갑으로 옮기는 방법으로 이뤄진다. 이때 비밀 키와 연결된 자금도 함께 이동된다.

예를 들어 2014년 일본 온라인 암호화폐 거래소인 마운트곡스(Mt. Gox)에서는 85aks 비트코인(4억 5,000만 달러 상당)이 담긴 핫 지갑 도난 사건이 발생했다. 2018년에는 비트코인 교환 서비스인 코인체크(Coincheck)의 핫 지갑 서비스에서 거의 10억 달러 가치의 암호화폐가 도난되는 사건이 발생했다. 이 외에도 지난 5년 동안 많은 도난이 발생했으며 공격자가 사용한 수법은 대부분 온라인 지갑 해킹이었다.

리탄은 올해초 발행한 연구 자료에서 “블록체인 암호화폐 계정에서 돈을 훔치는 데 사용되는 가장 일반적인 공격 벡터 중 하나는 고객 계정 탈취다. 이것이 암호화폐 잔고를 온라인 지갑에 저장하지 말 것을 권장하는 주된 이유”라고 말했다.
 

암호화폐 지갑 보안을 강화하는 방법

가트너는 암호화폐를 안전하게 보관하려면 달러화, 유로화, 엔화를 비롯한 명목 화폐, 즉 확실한 현금으로 변환하거나 암호화폐 키를 콜드 지갑에 저장할 것을 권장한다. 후자의 경우 키의 종이 복사본을 만들어서 이 종이를 은행 안전 금고와 같은 안전한 곳에 저장해야 한다.

종이는 스캔해서 블록체인 거래를 활성화할 수 있는 QR 코드를 생성하는 소프트웨어를 통해 일종의 지갑으로 사용할 수 있다. 그 외의 경우 가트너가 권장하는 방법은 푸시 기술을 통해 이중 인증을 강제하는 지갑 서비스를 제공하는 온라인 교환소를 사용하는 것이다. 푸시 기술은 두 번째 요소를 등록된 휴대폰에 연계하므로 교환소 지갑의 인증 서비스에 의해 푸시되는 액세스 요청은 소유자의 휴대폰으로만 승인할 수 있다.

중앙 지갑 서비스는 해커에게 먹음직스러운 공격 목표물이다. 단 몇 분 이내에 수백만 달러 상당의 암호화폐를 훔칠 수 있기 때문이다. 그러나 휴즈비에 따르면 암호화폐 해커들은 전화기 기반 지갑이 설치된 휴대폰의 SIM ID도 곧잘 훔쳐왔다.

가트너는 의지가 확고한 범죄자는 다양한 방법을 사용해서 대부분의 폰 인증 기법을 우회할 수 있음을 알아야 한다고 강조한다. 우회 방법 중 하나인 “SIM 스왑”은 도둑이 기존 번호를 자신의 폰에 등록해서 푸시 알림이나 메시지가 정당한 소유자가 아닌 자신의 폰으로 오도록 하는 방법이다. 가트너 보고서에 따르면 일반적으로 해커는 이를 위해 휴대폰 고객 서비스 담당자 소셜 엔지니어링을 사용한다.

또한 암호화폐 소유자의 디바이스에 침입해서 비밀 키를 훔치는 악성코드를 통한 암호화폐 절도 방법도 있다.

휴즈비는 “이러한 모든 공격을 완화할 수 있는 여러 방법이 있지만 지금까지 최선의 방법은 하드웨어 지갑을 사용하는 것과 비밀 키의 인쇄본을 안전한 곳에 보관해 두는 방법이다. 지갑에서 가장 어려운 부분은 작고 매우 민감한 데이터의 안전한 저장을 책임져야 한다는 것이다. 대부분의 사람들은 키를 훔치고자 작정한 사람들을 막으려면 상당한 수준의 보안과 편집증적 주의가 필요하다는 점을 잘 모른다”고 말했다.
 

분실된 키의 위험

그러나 콜드 지갑의 가장 큰 문제는 정보를 백업하거나 안전한 곳에 인쇄본을 보관해 두지 않은 상태에서 디바이스를 분실하는 경우 디지털 자산을 영원히 잃게 된다는 점이다. 간단히 말해, 블록체인에서 자신의 암호화폐가 어디에 있는지 더 이상 알 수 없고 자신이 소유자입을 입증할 키도 없는 상태가 된다.

반면 핫 스토리지 지갑은 서비스 제공업체의 지원이라는 이점이 있다. 지갑 액세스 코드를 분실한 경우 보안 질문-답변을 통해 코드를 복구할 수 있다.

반대로, 분실한 콜드 스토리지 지갑의 개인 키를 복구하기 위한 방법은 제한적이며 일반적으로 사용하기도 쉽지 않다. 예를 들어 코인베이스가 제공하는 복원 메커니즘을 사용하려면 지갑을 만들 때 24개의 무작위 단어로 구성된 복구 구문을 따로 보관해 두어야 한다.

블록체인 원장은 무신뢰 합의 메커니즘을 기반으로 작동한다. 이는 원장에서 거래 상대방이 누구인지 알 필요가 없음을 의미한다. 분산 원장은 유효한 비밀 키로 적절히 서명된 모든 거래를 신뢰한다. 즉, 키를 보호하는 것이 그만큼 중요하다.

휴즈비는 “지급은 이러한 키를 안전하게 저장하고 분산 원장에서 거래를 수락하는 데 필요한 디지털 서명을 수행하는 역할을 한다”고 말했다.
 

디지털 화폐를 넘어: 암호화폐 지갑의 다른 용도

암호화폐 지갑 애플리케이션의 대다수는 비트코인, 이더리움, 리플, 라이트코인과 같은 암호화폐를 저장하는 데 사용되지만 상품, 금융 자산, 증권 및 서비스를 나타내는 대체 가능 또는 대체 불능 디지털 토큰을 위한 키를 저장할 수도 있다.

예를 들어 암호화폐 지갑에 저장된 토큰은 콘서트 또는 항공기 티켓, 고유한 예술 작품이나 공급망의 상품 등 디지털 가치가 매겨진 거의 모든 것을 나타낼 수 있다.

분산된 합의 메커니즘이 있는 모든 분산 원장은 “역량 보안 모델”에 의존한다. 이는 거래에 대한 디지털 서명을 통해 입증되는 암호화 키의 소유권으로 그 거래가 나타내는 행위가 승인됨을 의미한다.

휴즈비는 “따라서 분산 원장을 기반으로 모델링되는 모든 애플리케이션은 사용자가 그 애플리케이션에서 작동하는 거래에 서명하는 데 사용되는 지갑을 갖고 있을 것을 요구한다”고 말했다. 비트코인의 경우 거래는 다른 암호화 키, 즉 다른 소유자에게 비트코인을 전송할 뿐이다. 공급망의 경우 관리 대상 자산(예를 들어 전자 부품 원자재 등)을 추적하는 거래에 서명한다.

미래의 새로운 “무신뢰” 글로벌 경제는 개인 금융 또는 직업 이력, 세금 정보, 의료 정보 또는 소비자 기호부터 기업의 직원 또는 파트너 디지털 신원 관리 및 애플리케이션 통제에 이르기까지 모든 것을 실현하는 블록체인과 암호화폐 지갑을 기반으로 할 수도 있다.

운전면허증, 여권, 출생증명서, 주민등록번호/의료보험 카드, 유권자 등록 정보, 투표 기록과 같은 전통적인 신분 증명 서류를 디지털화해서 암호 지갑에 저장하고 소유자에게 액세스 권한에 대한 통제권을 부여할 수 있다.

이러한 암호화폐 지갑의 가치가 높아질수록 암호화폐 지갑을 안전하게 보호하는 것도 더욱 
중요해진다. editor@itworld.co.kr
 



2019.04.22

암호화폐 지갑이란? 작동 방법은?

Lucas Mearian | Computerworld
암호화폐 지갑은 분산 원장을 위해 암호화폐 거래를 디지털 서명하는 데 사용되는 비밀 키를 추적하는 소프트웨어다. 비밀 키는 디지털 자산의 소유권을 증명하고 자산을 양도하거나 변경하는 거래를 실행하는 유일한 수단이므로 암호화폐 생태계에서 핵심적인 요소다.

블록체인이 자동차라면 “암호화폐 지갑” 소프트웨어는 이 자동차의 키라고 할 수 있다. 키가 없으면 자동차도 움직이지 않는다. 또한 암호화폐 지갑이 없으면 비트코인부터 자산을 나타내는 토큰에 이르기까지 디지털 자산의 소유권을 입증할 방법도 없다.
 
ⓒ Getty Images Bank
 

암호화폐 지갑의 역할

암호화폐 지갑(더 일반적으로는 디지털 지갑)은 거래에 디지털 서명하는 데 사용되는 암호화 키를 추적할 뿐만 아니라, 특정 자산이 위치하는 블록체인의 주소도 저장한다. 리눅스 재단의 하이퍼레저 프로젝트에서 보안 전문가로 활동하는 데이비드 휴즈비에 따르면 소유자는 이 주소를 분실할 경우 기본적으로 자신의 디지털 화폐 또는 다른 자산에 대한 통제력을 잃게 된다.
 
코인베이스의 암호화폐 지갑 인터페이스 ⓒ COINBASE

암호화폐 지갑에는 크게 하드웨어와 소프트웨어의 두 가지 유형이 있다(각각 콜드 스토리지 지갑, 핫 스토리지 지갑이라고도 함). 핫 스토리지 지갑은 온라인 지갑을 제공하는 가장 큰 암호화폐 거래소 중 하나인 코인베이스(Coinbase)와 같은 인터넷 서비스를 통해 액세스할 수 있으며, 사용자의 컴퓨터 또는 모바일 디바이스에서 관리되는 클라이언트 측 지갑과 온라인 지갑으로 더 세분화된다.

인쇄하거나 QR 코드로 렌더링할 수 있는 키를 생성하는 종이 지갑 생성기도 있다.

콜드 스토리지 지갑은 다운로드를 거쳐 USB 드라이브 또는 스마트폰과 같은 하드웨어에 오프라인 상태로 존재한다. 예를 들어 Exodus.io, 대시 QT(Dash QT)가 콜드 스토리지 지갑 소프트웨어에 속한다. 콜드 스토리지 지갑은 소프트웨어가 이미 설치된 상태의 디바이스 형태로도 구할 수 있다. 트레저(Trezor), 레저(Ledger)와 같은 업체에서 이러한 종류의 디바이스를 판매한다.

하드웨어 지갑은 단순히 임의 데이터의 서명과 키를 처리하는 암호화폐 지원형 지갑과 하드웨어 보안 모듈(hardware security modules, HSM)로 세분화된다. 휴즈비는 “분산 원장 네트워크로 전송되는 완전한 거래의 생성과 서명을 처리하는 하드웨어 지갑도 있다”고 말했다.
 
트레저(Trazor)의 USB 기반 콜드 스토리지 동글 ⓒ TRAZOR

사용자가 블록체인과 통신할 때 하드웨어는 디바이스의 코드를 통해 통신한다. 그러나 가트너 연구 부사장 아비바 리탄에 따르면 사용자 인터페이스는 그다지 편리하지 않다.
 

핫 지갑과 콜드 지갑, 무엇이 더 안전한가?

콜드 스토리지 지갑은 인터넷에 연결되지 않는다는 면에서 본질적으로 핫 지갑보다 더 안전하다. 리탄에 따르면 대부분의 암호화폐 공격은 해커가 온라인 지갑 서비스를 공격해 비밀 키를 자신의 지갑으로 옮기는 방법으로 이뤄진다. 이때 비밀 키와 연결된 자금도 함께 이동된다.

예를 들어 2014년 일본 온라인 암호화폐 거래소인 마운트곡스(Mt. Gox)에서는 85aks 비트코인(4억 5,000만 달러 상당)이 담긴 핫 지갑 도난 사건이 발생했다. 2018년에는 비트코인 교환 서비스인 코인체크(Coincheck)의 핫 지갑 서비스에서 거의 10억 달러 가치의 암호화폐가 도난되는 사건이 발생했다. 이 외에도 지난 5년 동안 많은 도난이 발생했으며 공격자가 사용한 수법은 대부분 온라인 지갑 해킹이었다.

리탄은 올해초 발행한 연구 자료에서 “블록체인 암호화폐 계정에서 돈을 훔치는 데 사용되는 가장 일반적인 공격 벡터 중 하나는 고객 계정 탈취다. 이것이 암호화폐 잔고를 온라인 지갑에 저장하지 말 것을 권장하는 주된 이유”라고 말했다.
 

암호화폐 지갑 보안을 강화하는 방법

가트너는 암호화폐를 안전하게 보관하려면 달러화, 유로화, 엔화를 비롯한 명목 화폐, 즉 확실한 현금으로 변환하거나 암호화폐 키를 콜드 지갑에 저장할 것을 권장한다. 후자의 경우 키의 종이 복사본을 만들어서 이 종이를 은행 안전 금고와 같은 안전한 곳에 저장해야 한다.

종이는 스캔해서 블록체인 거래를 활성화할 수 있는 QR 코드를 생성하는 소프트웨어를 통해 일종의 지갑으로 사용할 수 있다. 그 외의 경우 가트너가 권장하는 방법은 푸시 기술을 통해 이중 인증을 강제하는 지갑 서비스를 제공하는 온라인 교환소를 사용하는 것이다. 푸시 기술은 두 번째 요소를 등록된 휴대폰에 연계하므로 교환소 지갑의 인증 서비스에 의해 푸시되는 액세스 요청은 소유자의 휴대폰으로만 승인할 수 있다.

중앙 지갑 서비스는 해커에게 먹음직스러운 공격 목표물이다. 단 몇 분 이내에 수백만 달러 상당의 암호화폐를 훔칠 수 있기 때문이다. 그러나 휴즈비에 따르면 암호화폐 해커들은 전화기 기반 지갑이 설치된 휴대폰의 SIM ID도 곧잘 훔쳐왔다.

가트너는 의지가 확고한 범죄자는 다양한 방법을 사용해서 대부분의 폰 인증 기법을 우회할 수 있음을 알아야 한다고 강조한다. 우회 방법 중 하나인 “SIM 스왑”은 도둑이 기존 번호를 자신의 폰에 등록해서 푸시 알림이나 메시지가 정당한 소유자가 아닌 자신의 폰으로 오도록 하는 방법이다. 가트너 보고서에 따르면 일반적으로 해커는 이를 위해 휴대폰 고객 서비스 담당자 소셜 엔지니어링을 사용한다.

또한 암호화폐 소유자의 디바이스에 침입해서 비밀 키를 훔치는 악성코드를 통한 암호화폐 절도 방법도 있다.

휴즈비는 “이러한 모든 공격을 완화할 수 있는 여러 방법이 있지만 지금까지 최선의 방법은 하드웨어 지갑을 사용하는 것과 비밀 키의 인쇄본을 안전한 곳에 보관해 두는 방법이다. 지갑에서 가장 어려운 부분은 작고 매우 민감한 데이터의 안전한 저장을 책임져야 한다는 것이다. 대부분의 사람들은 키를 훔치고자 작정한 사람들을 막으려면 상당한 수준의 보안과 편집증적 주의가 필요하다는 점을 잘 모른다”고 말했다.
 

분실된 키의 위험

그러나 콜드 지갑의 가장 큰 문제는 정보를 백업하거나 안전한 곳에 인쇄본을 보관해 두지 않은 상태에서 디바이스를 분실하는 경우 디지털 자산을 영원히 잃게 된다는 점이다. 간단히 말해, 블록체인에서 자신의 암호화폐가 어디에 있는지 더 이상 알 수 없고 자신이 소유자입을 입증할 키도 없는 상태가 된다.

반면 핫 스토리지 지갑은 서비스 제공업체의 지원이라는 이점이 있다. 지갑 액세스 코드를 분실한 경우 보안 질문-답변을 통해 코드를 복구할 수 있다.

반대로, 분실한 콜드 스토리지 지갑의 개인 키를 복구하기 위한 방법은 제한적이며 일반적으로 사용하기도 쉽지 않다. 예를 들어 코인베이스가 제공하는 복원 메커니즘을 사용하려면 지갑을 만들 때 24개의 무작위 단어로 구성된 복구 구문을 따로 보관해 두어야 한다.

블록체인 원장은 무신뢰 합의 메커니즘을 기반으로 작동한다. 이는 원장에서 거래 상대방이 누구인지 알 필요가 없음을 의미한다. 분산 원장은 유효한 비밀 키로 적절히 서명된 모든 거래를 신뢰한다. 즉, 키를 보호하는 것이 그만큼 중요하다.

휴즈비는 “지급은 이러한 키를 안전하게 저장하고 분산 원장에서 거래를 수락하는 데 필요한 디지털 서명을 수행하는 역할을 한다”고 말했다.
 

디지털 화폐를 넘어: 암호화폐 지갑의 다른 용도

암호화폐 지갑 애플리케이션의 대다수는 비트코인, 이더리움, 리플, 라이트코인과 같은 암호화폐를 저장하는 데 사용되지만 상품, 금융 자산, 증권 및 서비스를 나타내는 대체 가능 또는 대체 불능 디지털 토큰을 위한 키를 저장할 수도 있다.

예를 들어 암호화폐 지갑에 저장된 토큰은 콘서트 또는 항공기 티켓, 고유한 예술 작품이나 공급망의 상품 등 디지털 가치가 매겨진 거의 모든 것을 나타낼 수 있다.

분산된 합의 메커니즘이 있는 모든 분산 원장은 “역량 보안 모델”에 의존한다. 이는 거래에 대한 디지털 서명을 통해 입증되는 암호화 키의 소유권으로 그 거래가 나타내는 행위가 승인됨을 의미한다.

휴즈비는 “따라서 분산 원장을 기반으로 모델링되는 모든 애플리케이션은 사용자가 그 애플리케이션에서 작동하는 거래에 서명하는 데 사용되는 지갑을 갖고 있을 것을 요구한다”고 말했다. 비트코인의 경우 거래는 다른 암호화 키, 즉 다른 소유자에게 비트코인을 전송할 뿐이다. 공급망의 경우 관리 대상 자산(예를 들어 전자 부품 원자재 등)을 추적하는 거래에 서명한다.

미래의 새로운 “무신뢰” 글로벌 경제는 개인 금융 또는 직업 이력, 세금 정보, 의료 정보 또는 소비자 기호부터 기업의 직원 또는 파트너 디지털 신원 관리 및 애플리케이션 통제에 이르기까지 모든 것을 실현하는 블록체인과 암호화폐 지갑을 기반으로 할 수도 있다.

운전면허증, 여권, 출생증명서, 주민등록번호/의료보험 카드, 유권자 등록 정보, 투표 기록과 같은 전통적인 신분 증명 서류를 디지털화해서 암호 지갑에 저장하고 소유자에게 액세스 권한에 대한 통제권을 부여할 수 있다.

이러한 암호화폐 지갑의 가치가 높아질수록 암호화폐 지갑을 안전하게 보호하는 것도 더욱 
중요해진다. editor@itworld.co.kr
 

X