$1.4B 바이빗 해킹: 남의 일이 아니다
2025년 2월 바이빗에서 $1.4B 규모의 ETH가 털렸다. 라자루스 그룹 소행으로 추정되는데, 콜드월렛에서 핫월렛으로 이동하는 과정에서 멀티시그 서명이 탈취됐다. 거래소도 이 정도로 털리는데 개인은 얼마나 취약할까? 이 사건 이후로 지갑 보안에 대한 관심이 폭발적으로 늘었다. 제가 직접 겪은 건 아니지만 주변에서 피싱으로 시드구문 털린 케이스를 두 번이나 봤다. 한번은 300만 원, 한번은 2,000만 원이었다.
해커들이 노리는 5가지 공격 벡터
1. 피싱 사이트
가장 흔하고 가장 효과적인 방법이다. MetaMask, Uniswap 등 유명 디앱의 가짜 사이트를 만들어서 지갑 연결을 유도한다. URL이 “metamask.io”가 아니라 “rnetamask.io”처럼 미세하게 다르다. 구글 광고에 가짜 사이트가 뜨는 경우도 많아서 검색으로 접속하는 건 위험하다. 반드시 북마크를 사용하자.
2. 클립보드 하이재킹
주소를 복사하면 클립보드의 내용을 해커 주소로 바꿔치기하는 악성코드다. 반드시 전송 전에 주소 앞 4자리, 뒤 4자리를 확인하는 습관을 들여야 한다.
3. 가짜 앱
구글 플레이에 가짜 트러스트월렛, 가짜 메타마스크가 버젓이 올라온다. 리뷰도 조작해놔서 구분이 어렵다. 공식 사이트에서 링크를 타고 다운받는 게 유일한 안전한 방법이다.
4. 소셜 엔지니어링
텔레그램이나 디스코드에서 “고객센터”를 사칭하며 DM을 보내온다. “지갑에 문제가 있어서 시드구문을 입력해야 합니다”라는 식인데, 절대로 어떤 서비스도 시드구문을 요구하지 않는다. 누가 시드구문을 물어보면 100% 사기다.
5. 악성 토큰 승인(Approval)
디파이에서 토큰 스왑할 때 “이 컨트랙트에 무제한 접근 허용”을 누르면 나중에 그 컨트랙트가 해킹당했을 때 내 토큰이 다 빠져나간다. 사용 후에는 반드시 revoke.cash에서 승인을 취소해야 한다.
하드웨어 월렛 비교: 2026년 기준
Ledger Nano X Plus
가장 많이 팔리는 하드웨어 월렛이다. 블루투스 지원, 5,500개 이상 토큰 호환, Ledger Live 앱의 편의성이 좋다. 가격은 약 $149. 2023년에 Ledger Recover 논란이 있었는데, 선택 사항이니 활성화하지 않으면 된다. 보안 칩(Secure Element)이 들어있어서 물리적 해킹에도 강하다.
Trezor Safe 5
완전 오픈소스라는 게 가장 큰 장점이다. 코드를 누구나 감사할 수 있으니 백도어 걱정이 없다. 터치스크린이 커서 사용감이 좋고, 패스프레이즈(25번째 단어) 기능으로 추가 보안층을 만들 수 있다. 가격 약 $169.
Keystone 3 Pro
에어갭(완전 오프라인) 방식이라 USB나 블루투스 연결 자체가 없다. QR 코드로만 통신하니까 하드웨어 레벨의 해킹이 불가능하다. 가격 약 $149. 메타마스크와 QR 연동이 되니 디파이도 쓸 수 있다. 개인적으로 큰 금액 보관용으로 가장 추천하는 제품이다.
시드구문 보관: 종이는 이제 그만
시드구문을 종이에 적어서 서랍에 넣어두는 건 2020년대 초반 방식이다. 화재, 수해, 분실 리스크가 있다. 2026년 기준 권장 방법은 메탈 백업이다. Cryptosteel Capsule이나 Billfodl 같은 제품은 스테인리스 스틸에 시드구문을 각인한다. 1,200도까지 견디고 녹슬지 않는다. 가격이 $50-80 정도인데 자산 규모를 생각하면 당연히 투자해야 할 금액이다.
보관 장소도 중요한데, 자택 금고 + 은행 대여금고에 분산하는 게 좋다. 시드구문을 둘로 나눠서(샤미르 시크릿 셰어링 방식) 각각 다른 장소에 보관하면 한쪽이 유출돼도 안전하다. Trezor는 이 기능을 기본 지원한다.
멀티시그: 큰 자산의 필수
1억 원 이상의 크립토 자산이 있다면 멀티시그를 진지하게 고려해야 한다. Safe(구 Gnosis Safe)는 이더리움 생태계 멀티시그 표준이다. 2/3 멀티시그를 설정하면 세 개의 키 중 두 개가 서명해야 출금이 된다. 하나가 털려도 자산은 안전하다.
Casa는 비트코인 전용 멀티시그 서비스인데, 3/5 설정에서 Casa가 하나의 키를 보유하고 있어서 키 분실 시 복구를 도와준다. 월 $21부터 시작하는데, 보험이라 생각하면 싼 편이다.
일상 보안 체크리스트
매일 실천해야 할 것들이다. 디앱 접속은 반드시 북마크로. 전송 전 주소 앞뒤 4자리 확인. 사용하지 않는 토큰 승인 주기적으로 revoke. 거래소 2FA는 SMS 말고 Google Authenticator나 YubiKey 사용. 텔레그램/디스코드 DM은 기본적으로 무시. 브라우저 확장 프로그램 최소화.
보안은 한 번 설정하고 끝나는 게 아니라 습관이다. DeFi를 적극 활용할수록 공격 표면도 넓어지니까 보안 의식도 비례해서 높여야 한다. “귀찮다”는 이유로 보안을 타협하면 언젠가 반드시 대가를 치른다. 적극적 트레이딩을 하면서 보안에 소홀했다가 큰 돈을 잃은 케이스를 직접 봤다.