코인 지갑 보안, 콜드월렛과 핫월렛
- 핫월렛은 편하지만 인터넷에 연결돼 있어 노출 위험이 크고, 콜드월렛은 불편한 대신 키를 오프라인에 둔다.
- 거래소 잔고는 내 개인키가 아니다. "Not your keys, not your coins"는 비유가 아니라 사실이다.
- 시드 구문이 곧 자산이다. 사진·클라우드·메신저에 절대 남기지 않는다.
- 금액과 용도에 따라 지갑을 나누면 한 번의 실수가 전부로 번지지 않는다.
핫월렛, 콜드월렛, 하드웨어 지갑
핫월렛은 휴대폰 앱이나 브라우저 확장처럼 늘 인터넷에 연결된 지갑이다. 스왑이나 송금이 빠르지만, 기기가 감염되면 키도 함께 노출될 수 있다. 콜드월렛은 개인키를 오프라인에 보관하는 방식을 통칭한다. 그 가운데 가장 흔한 형태가 하드웨어 지갑이다. 트랜잭션 서명을 기기 안에서 처리하고 키 자체는 밖으로 나오지 않게 설계돼 있다. 정리하면 핫월렛은 자주 쓰는 소액, 콜드월렛은 오래 묵힐 금액에 어울린다.
거래소에 그냥 두면 생기는 일
거래소 계정의 숫자는 출금 약속에 가깝다. 키는 거래소가 들고 있다. 거래소가 해킹당하거나 출금을 막거나 파산하면, 내 의지와 무관하게 자산이 묶일 수 있다. 과거 사례들이 이를 반복해서 보여줬다. 거래는 거래소에서 하더라도, 장기 보유분은 내 지갑으로 옮겨두는 편이 안전하다. 거래소 활용 자체는 나쁘지 않다. 수수료와 이벤트를 따져 쓰는 방법은 거래소 수수료·이벤트 200% 활용에서 따로 정리했다.
시드 구문 보관 원칙
시드 구문(복구 문구)은 지갑 전체를 복원하는 마스터 열쇠다. 이게 새면 하드웨어 지갑이 있어도 소용없다. 몇 가지 기본만 지켜도 위험은 크게 준다.
- 화면 캡처, 사진, 클라우드 메모, 카카오톡·이메일에 남기지 않는다.
- 종이나 금속판에 적어 물리적으로 분리된 장소에 보관한다.
- 누가 물어보면 거짓 없이 거절한다. 정상적인 서비스는 시드를 묻지 않는다.
실전에서 자주 당하는 수법
키 분실보다 흔한 게 속아서 내주는 경우다. 검색 상단 광고의 가짜 사이트, 앱스토어를 흉내 낸 가짜 지갑 앱, 그리고 토큰 승인(approve) 사기가 대표적이다.
지갑이 갑자기 "서명만 하면 에어드랍을 받는다"고 하면, 그 서명이 무엇을 허용하는지부터 확인한다.
한 번 준 승인은 계속 유효하다. 의심스러운 dApp에 연결했다면 토큰 승인 내역을 점검하고 필요 없는 권한은 취소(revoke)해 두는 게 좋다. 링크는 직접 입력하거나 북마크로 들어가는 습관이 효과가 크다.
금액과 용도로 지갑 나누기
한 지갑에 모든 걸 넣으면 실수 한 번의 대가가 너무 크다. 역할을 나눠 두면 피해를 가둘 수 있다.
| 용도 | 지갑 | 보관 비중 |
|---|---|---|
| 장기 보유 | 하드웨어 지갑 | 큰 비중 |
| 일상 스왑·디파이 | 핫월렛 | 소액 |
| 에어드랍·실험 | 버리는 핫월렛 | 최소 |
분산은 지갑에만 적용되는 원칙이 아니다. 자산 배분과 리스크를 함께 보려면 코인 리스크 관리와 분산을 참고하면 도움이 된다.
결론
완벽한 지갑은 없다. 편의와 안전은 어느 정도 맞바꾸는 관계다. 핫월렛으로 움직이고, 콜드월렛으로 지키고, 시드는 오프라인에 두고, 모르는 서명은 멈춘다. 이 네 가지만 몸에 익혀도 대부분의 사고는 피할 수 있다. 작은 금액으로 옮기는 연습부터 시작해 보길 권한다.