$230만 잃어본 사람의 이야기부터
2022년 11월 FTX가 터졌을 때, 내 주변에서 거래소에 넣어둔 돈을 잃은 사람이 세 명 있었다. 가장 큰 피해자는 약 $230만 상당의 BTC와 ETH를 FTX에 보관하고 있었다. 그 사람의 말이 아직도 기억난다. “거래소가 망할 줄은 진짜 몰랐다.” 그 돈은 결국 파산 절차를 거쳐서 일부만 돌려받았다.
솔직히 나도 2021년까지는 거래소에 대부분의 자산을 넣어뒀다. 편하니까. 트레이딩도 바로 할 수 있고, 출금 기다릴 필요도 없고. 그런데 FTX 사태 이후 진지하게 보안을 공부하기 시작했고, 지금은 트레이딩에 필요한 자금 외에는 전부 콜드월렛에 보관한다. “Not your keys, not your coins(열쇠가 네 것이 아니면, 코인도 네 것이 아니다)”라는 말의 무게를 FTX 때 뼈저리게 느꼈다.
핫월렛 vs 콜드월렛: 핵심 차이 정리
복잡하게 설명하는 글이 많은데, 핵심만 정리하면 이렇다.
핫월렛 (Hot Wallet): 인터넷에 연결된 지갑. 메타마스크, 거래소 지갑, 모바일 지갑, 브라우저 확장 지갑 등이 여기 해당한다. 편리하지만, 인터넷에 연결되어 있다는 건 곧 해킹 대상이 될 수 있다는 뜻이다. 개인키가 온라인 환경에 노출되어 있으므로, 악성코드나 피싱 공격에 취약하다.
콜드월렛 (Cold Wallet): 인터넷에 연결되지 않은 지갑. 렛저(Ledger), 트레저(Trezor) 같은 하드웨어 지갑이 대표적이다. 트랜잭션 서명 시에만 잠깐 연결하고, 나머지 시간에는 완전히 오프라인이다. 개인키가 기기 내부의 보안 칩에 저장되어 절대 외부로 노출되지 않는다.
비유하자면, 핫월렛은 지갑에 현금을 넣고 다니는 것, 콜드월렛은 금고에 넣어두는 것이다. 일상 지출을 위해 지갑에 10만 원은 넣고 다니지만, 전 재산을 지갑에 넣고 다니진 않는다. 크립토 자산도 마찬가지다. 일상적인 DeFi 인터랙션에 쓸 소액만 핫월렛에 두고, 나머지는 콜드월렛에 보관해야 한다.
해킹 사례로 보는 현실적 위험
이론적인 위험이 아니라, 실제로 일어난 일들이다.
2023년 Atomic Wallet 해킹: 약 $35M 규모의 자산이 도난당했다. 핫월렛 앱의 취약점이 원인이었다. 사용자들은 아무것도 하지 않았는데 자산이 사라졌다. 앱을 설치하고 정상적으로 사용하고 있었을 뿐인데, 앱 자체의 보안 결함으로 개인키가 유출된 것이다.
2022년 Slope 지갑 사태: 솔라나 생태계 핫월렛인 Slope가 사용자의 시드 구문을 서버에 평문으로 저장하고 있었다. 약 $8M 상당의 SOL이 탈취됐다. 직접 겪어보니, 지갑 앱을 “신뢰”한다는 건 그 앱의 보안 아키텍처를 신뢰한다는 뜻인데, 대부분의 사용자는 그걸 검증할 능력이 없다.
2024년 피싱 공격 통계: Scam Sniffer 보고서에 따르면, 2024년 한 해 동안 피싱으로 인한 크립토 피해액이 $295M을 넘겼다. 대부분이 핫월렛 사용자였다. 가짜 에어드롭 사이트, 가짜 NFT 민팅 사이트, 가짜 DEX 사이트에서 트랜잭션 승인을 유도하는 방식이 가장 흔했다.
2024년 LastPass 해킹 여파: 2022년에 해킹당한 LastPass의 데이터로 2024년까지도 크립토 자산 탈취가 이어졌다. 비밀번호 관리자에 시드 구문을 저장했던 사용자들이 피해를 입었다. 총 피해액은 $35M 이상으로 추정된다.
반면 하드웨어 월렛에서 자산이 원격으로 탈취된 사례는 역사상 단 한 건도 없다. 물리적으로 기기를 탈취당하고 PIN까지 알아내야 하니까. 이 한 문장이 핫월렛과 콜드월렛의 보안 차이를 가장 명확하게 보여준다.
내가 사용하는 보안 구조 (실제 세팅)
내 개인적인 세팅을 공개한다. 이게 정답은 아니지만, 3년간 한 번도 보안 사고가 없었던 구조다.
자산 배분:
– 거래소 (바이낸스/업비트): 전체 자산의 15% — 트레이딩용으로만 사용. 트레이딩이 끝나면 수익분은 콜드월렛으로 이동
– 핫월렛 (메타마스크): 전체 자산의 5% — DeFi 인터랙션, 가스비 용도. 이 지갑은 “잃어도 괜찮은 금액”만 넣어둔다
– 콜드월렛 (Ledger Nano X): 전체 자산의 80% — 장기 보유분 전부. BTC, ETH, 스테이킹 자산 등
시드 구문 관리:
– 종이 2장에 수기로 작성 (절대 디지털 저장 안 함). 사진 촬영 금지, 클라우드 동기화 금지, 스크린샷 금지
– 각각 다른 물리적 장소에 보관 (집 + 은행 대여금고). 한 곳이 화재나 도난을 당해도 복구 가능
– 금속 시드 백업 플레이트(Cryptosteel 등) 사용 검토 중. 종이는 화재에 취약하니까
거래소 보안:
– 구글 OTP 사용 (SMS 인증은 SIM 스와핑 위험이 있어서 사용하지 않음). SIM 스와핑은 통신사 직원을 속이거나 매수해서 내 전화번호를 탈취하는 방법인데, 미국에서 수백만 달러 피해 사례가 다수 있다
– 출금 화이트리스트 설정 — 미리 등록한 주소로만 출금 가능. 새 주소 추가 시 24시간 대기
– 출금 시 24시간 대기 기간 활성화. 즉 해커가 계정을 탈취해도 출금까지 24시간이 걸리니까 대응할 시간이 생긴다
콜드월렛 추천: 2024-2025년 기준
직접 사용하거나 주변에서 사용하는 것들 기준으로 정리했다.
Ledger Nano X ($149): 내가 메인으로 사용하는 기기. 블루투스 지원이라 모바일에서도 연결 가능하다. 5,500개 이상의 코인 지원. Ledger Live 앱으로 포트폴리오 관리가 편하다. 단점은 2023년에 Ledger Recover 논란이 있었다는 것. 시드 구문을 암호화해서 서버에 백업하는 기능인데, “오프라인 보안”이라는 하드웨어 지갑의 핵심 원칙에 모순된다는 비판을 받았다. 선택적 기능이라 비활성화 가능하지만, 신뢰도에 금이 간 건 사실이다.
Trezor Model T ($219): 오픈소스라는 게 가장 큰 장점. 코드가 공개되어 있어서 백도어를 숨길 수가 없다. 전 세계 개발자들이 코드를 검증하고 있다. 터치스크린으로 PIN 입력하니까 키로거 공격도 불가능하다. 단점은 지원 코인 수가 Ledger보다 적고, 블루투스가 없어서 모바일 연결이 안 된다는 것.
Keystone Pro ($169): 완전 에어갭(Air-gapped) 방식. USB 포트가 아예 없고, QR코드로만 통신한다. 보안적으로 가장 극단적인 선택. 내 경험상 일상적인 사용에는 불편하지만, 대량 자산 보관에는 최고다. 지문 인식도 지원해서 물리적 보안도 강하다.
실수하기 쉬운 보안 함정 5가지
직접 겪었거나 주변에서 목격한 실수들이다.
1. 시드 구문을 폰 메모장에 저장: 이거 하는 사람이 생각보다 엄청 많다. 폰을 분실하거나 악성 앱에 감염되면 끝이다. iCloud 자동 백업이 켜져 있으면 클라우드에도 올라간다. 한 번 올라간 데이터는 삭제해도 완전히 지워지지 않을 수 있다.
2. 하드웨어 지갑을 중고로 구매: 절대 하면 안 된다. 펌웨어가 조작되어 있을 수 있다. 반드시 공식 홈페이지에서 구매해야 한다. 아마존이나 쿠팡 같은 마켓플레이스도 피하는 게 좋다. 중간에 누가 개봉했다 다시 포장했을 수 있으니까.
3. 블라인드 사이닝(Blind Signing): 메타마스크에서 트랜잭션 내용을 확인하지 않고 승인 버튼을 누르는 것. 피싱 사이트에서 전 자산 전송 권한을 요구하는 트랜잭션일 수 있다. “이 트랜잭션이 뭘 하는 건지”를 이해하지 못하면 절대 서명하지 마라.
4. 모든 자산을 하나의 지갑에: 지갑을 용도별로 분리해야 한다. DeFi용, NFT 민팅용, 장기 보관용을 따로 만드는 게 기본이다. DeFi 지갑이 해킹당해도 장기 보관 지갑은 안전하도록.
5. 백업 없이 하드웨어 지갑 하나만 사용: 기기가 고장나거나 분실되면? 시드 구문 백업이 없으면 자산에 영영 접근할 수 없다. 하드웨어 지갑을 사면 가장 먼저 시드 구문을 안전하게 백업하는 것부터 해야 한다.
보안은 투자의 일부다
수익률 계산할 때 보안 비용을 빼는 사람이 많다. Ledger 하나 사는 데 $149. 연간 +50% 수익을 낸다 해도, 보안 사고 한 번이면 -100%다. 내 경험상, 크립토에서 돈을 잃는 가장 흔한 원인은 잘못된 투자 판단이 아니라 보안 실수다.
콜드월렛은 보험이다. 사고가 나기 전에 들어야 의미가 있다. 지금 보관하고 있는 자산이 $1,000 이상이라면, 오늘 당장 하드웨어 지갑을 주문하는 걸 추천한다. $149~$219 투자로 전 재산을 지킬 수 있다면, 이보다 좋은 투자가 어디 있겠나.