잡학다식 창고
Pi network (파이 네트워크) - 지갑 해킹 방지 가이드 part 1. 지갑의 올바른 이해 본문
2023년 9월 15일 현재 파이코인은 더딘 속도지만 지속적으로 KYC 추가 통과 및 마이그레이션 완료자가 늘어나고 있습니다. 파이코인에 있어서 마이그레이션이란, 그동안 채굴하고 있었던 파이의 소유권을 KYC를 통해 인정받았다면 그 소유권이 확정된 자신의 파이를 미리 개설해둔 본인의 지갑으로 이체받는 것을 뜻합니다.
또한 파이코인의 마이그레이션 정책은 현재 1차가 진행중으로, 어닝팀의 영향으로 받는 보너스 수량을 제외한 순수 본인이 채굴한 수량 및 보안서클(방패)로 인한 수량만을 우선 지급받도록 하고 있습니다. 2차는 언제 진행될지 아직 예정되어 있지 않으며, 아직 1차 진행 상황이 그리 빠르지 않기 때문에 아마도 상당한 시일이 걸리지 않을까 예측해 봅니다.
아무튼 여기서 진짜 문제는 1차 마이그레이션이 완료되고 락업까지 모두 끝나서 당장 코인 전송이 가능한 지갑들 중 일부가 원인이 불분명한 해킹으로 인해 마이그레이션 된 전액을 탈취당하는 피해를 당하고 있다는 점입니다. 이 현상은 이 포스트 작성일 기준 수개월 전부터 발생되어온 문제로, 그 중 일부는 아직 코어팀이 금지하고 있는 현금거래를 몰래 진행한 후 계정 동결처리를 막기 위해 해킹 피해를 당했다는 식으로 자작극을 벌인 것으로도 추정하고 있으나 분명 진짜 해킹 피해를 당한 케이스도 섞여 있는 것으로 파악되고 있습니다.
따라서 본 포스팅을 시작으로 파이코인을 채굴하고 계신 분들을 상대로 최대한 해킹 피해를 입을 가능성을 줄일 수 있도록 하기 위한 방법들을 작성하면서 그 시작으로 파이를 비롯한 모든 가상화폐에 있어서의 지갑의 기초적인 개념을 숙지할 수 있도록 할 것입니다.
[ 1. 지갑의 종류 ]
파이코인을 사용하는 분들이 아니라 해도 가상화폐를 거래한다면 언젠가는 반드시 지갑의 사용에 익숙해져야 하기 때문에 지갑의 종류를 아는 것이 아주 중요합니다.
■ 핫월렛 (Hot Wallet)
우리 눈에 보이는 전용 단말기(=오직 코인의 보관, 전송만을 위해 제조된 단말기) 형태의 실물이 아닌, 휴대폰이나 pc를 가동하여 접근해야 하는 모든 종류의 가상화폐 지갑은 전부 핫월렛으로 분류됩니다. 파이코인 지갑의 경우 휴대폰의 파이 브라우저를 이용하여 접근하기 때문에 핫월렛에 해당하며, 각종 가상화폐 거래소에서의 모든 코인 각각의 지갑도 핫월렛에 해당합니다.
또한 메타마스크, 트러스트월렛과 같이 거래소에 연결되어있지 않고 단순히 코인들을 보관, 전송하기 위한 목적을 가진 지갑도 있으나 이들 또한 결국 pc나 휴대폰을 이용하여 접근해야 하고 인터넷이 살아있어야 하기 때문에 결국 모두 핫월렛으로 분류됩니다. 이해가 잘 되지 않는다면 이들 지갑이 우리 눈에 보이는 실물 제품화 되어 존재하는지를 생각해보면 쉽습니다.
■ 콜드월렛 (Cold Wallet)
콜드월렛은 현실에서의 금고에 비유할 수 있는데, 우리가 금고에 각종 귀중품을 넣어 보관하듯이 콜드월렛은 각종 가상화폐를 보관하기 위한 실물 형태의 금고인 셈입니다. 결국 안에 무엇을 보관하느냐의 차이만 있을 뿐 역할은 금고와 정확히 같습니다.
위 이미지에서 보듯 핫월렛과 달리 콜드월렛은 실물 제품화 되어 현실에 그 단말기가 존재합니다. 제조사 및 브랜드 종류도 어느정도 되는 편이고 각 제품마다의 장단점도 각각 다르지만 결국 하는 기능은 가상화폐의 보관이라는 점에서 모두 같습니다.
※ 주의사항: 콜드월렛 구매를 고려하시는 분들께 ※
"어라 그럼 파이코인도 콜드월렛에 보관하면 되는거 아니야?" 하는 분들이 생길 수 있기 때문에 콜드월렛의 주의사항도 함께 적어드리니 구입을 고려중이신 분들은 아래 내용을 반드시 참조하시기 바랍니다.
1. 각 제품마다 보관할 수 있도록 지원하는 코인의 종류가 제한적입니다.
비트코인, 이더리움 등 메이저 10여가지의 코인들은 거의 모든 제품이 기본적으로 지원하며, 기본 목록에 없는 코인이라 하더라도 수동으로 추가할 수 있도록 하고는 있으나 그렇다 해도 모든 코인을 다 보관할 수 있는 것이 아닙니다. 파이코인의 경우 아직 보관할 수 있도록 지원하는 콜드월렛은 아마 없을 것입니다. 본인이 가진 코인의 종류가 시장에서 주류로 자리잡고 있지 않다면 제품 구매 전에 그 제품이 본인의 코인 보관을 지원하는지 여부를 먼저 파악하십시오.
2. 사용 난이도가 높은 편입니다.
콜드월렛의 이용은 코인 전송에 어느정도 익숙한 분들이 사용하기에 적합합니다. 코인전송을 해본 적 없는데 구매를 고려하신다면 우선 거래소에서 소액의 코인을 직접 전송하면서 연습해 보는 것을 권합니다.
3. 절대로 중고제품을 구입하지 마십시오.
본인이 사용하기 전 누군가가 한번이라도 개봉한 제품은 이미 그 단계에서 니모닉이 먼저 생성되었을 수 있으므로 해킹피해 확률이 압도적으로 높아지게 됩니다. 반드시 새제품을 구입하여야 하며, 대부분의 제품들은 최초 개봉 당시 박스 겉면 씰 부착, 본사 사이트 연동 새 제품 증명 등 '이것이 새 제품이 확실하다' 라는 검증을 진행하도록 돕습니다.
[ 2. 지갑의 구성 ]
어떤 형태의 지갑인가와 상관없이 모든 형태의 가상화폐 지갑은 크게 다음과 같이 공통적인 요소를 가지고 있습니다. 이 부분은 파이코인 및 각종 가상화폐 거래를 위해 반드시 알고있어야 할 중요한 내용입니다.
■ 공개키 (Public Key)
흔히 말하는 "지갑 주소" 가 공개키에 해당합니다. 지갑의 주소는 은행으로 비유하면 계좌번호와 같은 역할을 합니다. 은행에서 현금을 이체할 때 상대방의 계좌번호를 알아야 이체해줄 수 있듯이, 가상화폐 에서도 상대방의 지갑 주소를 알아야 코인을 전송해줄 수 있기 때문에 이 항목은 외부에 공개되어도 문제가 되지 않으며 오히려 거래를 위해서는 반드시 상대방에게 알려줘야만 하는 항목입니다.
가상화폐에서의 공개키 형식은 은행의 숫자 조합과 달리 알파벳과 숫자를 혼용하고 그 길이도 매우 길기 때문에 사실상 암기가 불가능할 수준입니다. 위 이미지는 파이코인 지갑에서 거래가 발생했을 때 확인할 수 있는 이체 상세 내역 화면이며 적색 박스표시한 부분이 이체 상대방의 공개키(지갑주소) 입니다. 한눈에 봐도 은행계좌번호에 비해 암기가 힘들다고 느껴질 것입니다.
이것은 사실 지갑의 주소 형식에 대해 자세히 설명한 것은 아닙니다. 어디까지나 파이코인, 비트코인, 그 밖의 대부분의 코인들의 지갑주소 형식을 "공개키"로 채택한 것이므로 그런것 뿐이며, 사실은 지갑의 주소를 형성하는 방식은 공개키 형식 외에도 RSA, 디피헬먼 등 다른 방식도 존재합니다. 그러나 전문가가 아닌 이상 일반인이 이정도의 지식을 알 필요가 없으므로 이 부분은 그냥 "파이 지갑주소가 공개키구나" 라는 정도로만 이해하시면 될 것 같습니다.
■ 개인키 (Private Key)
이는 은행에서의 통장 비밀번호에 비유할 수 있는, 지갑에서 절대로 외부에 노출되어서는 안되는 가장 중요한 정보입니다. 가상화폐에서의 개인키는 다른말로 "비밀구절 (Passphrase)", "니모닉 (Mnemonic)" 등으로 불립니다. 사실상 모두 같은 말이며 구성 방식은 다음과 같습니다.
※ 개인키의 구성 형태: 12개 또는 24개의 영어 단어 조합
사전상 뜻이 있는 단어의 조합이기 때문에 해킹에 취약하다고 생각할 수 있으나 사실은 현존하는 모든 컴퓨팅 기술로 절대로 해킹할 수 없는 정도의 철통 보안 형식입니다 (향후 양자컴퓨터가 상용화 될 경우 해킹될 수 있다는 가능성은 존재합니다). 단, 거래소에 들어있는 코인을 옮길 때에는 비밀구절 입력 절차가 없습니다.
이 방식이 높은 보안력을 가질 수 있는 이유는 니모닉 형태가 "난수" 이기 때문입니다. 난수란, 정의된 범위 내에서 무작위로 추출된 수를 말하는데 이 경우에는 '영어 단어의 조합' 이라는 범위 내에서 '다음에 등장할 단어가 무작위' 입니다.
파이코인의 경우 24개의 니모닉 형태를 채택하고 있습니다. 자신의 부주의가 아닌 한 이론적으로는 절대 해킹될 수 없는 보안력을 지니고 있으므로 해킹 사건에 휘말리는 분들은 100% 어딘가 관리의 소홀이 있었다는 뜻이 됩니다. '관리가 소홀하다' 라는 범위 내에는 본인이 니모닉 관리를 허술하게 하는 것 외에도 니모닉을 저장해둔 휴대폰, pc, 이메일 등이 공격을 받는것까지 포함됩니다.
■ 기타 (태그 등)
가령 거래소에서 리플을 전송할때 요구하는 데스티네이션 태그 등을 꼽을 수 있지만 이런 부분들은 코인마다 존재하기도 하고 없기도 하므로 공통적이지는 않습니다.
[ 3. 지갑의 접근 ]
■ 거래소 지갑 (수탁형)
가상화폐 거래소에서 매수해둔 코인들은 누군가 본인의 거래소 계정 및 비밀번호 등 로그인 수단을 알고 있다면 접근할 수 있습니다. 이는 우리가 일반적으로 알고 있는 ID 및 패스워드 탈취 등으로 이루어지는 것입니다. 이 경우 꼭 내 pc나 휴대폰이 아니더라도 접근할 수 있기 때문에 각 거래소에서는 2차인증, 타 지역 접속 알림 등을 보내서 본인이 그 지역에서 접속하는게 맞느냐를 재확인 하는 등 해킹피해를 방지하도록 지원하고 있습니다.
거래소를 이용해 보신 분들은 알고 있겠지만, 거래소에서 코인을 이체할 때 니모닉을 입력해본 적이 없고 니모닉이 뭔지 제공 받아본적도 없을 것입니다. 이는 거래소에 속한 자신의 계정 내 각각의 지갑들은 얼핏 보면 그 소유권이 본인에게 있는 것 같아 보이지만 사실은 모두 거래소의 지갑일 뿐이며 관리 또한 거래소에서 하기 때문입니다. 즉, 지갑의 관리 자체는 각 고객들이 거래소에 위탁, 거래소는 고객들에게 수탁받아 운영되기 때문에 이를 "수탁형 지갑" 이라 표현합니다.
■ 거래소 외 지갑 (비수탁형)
파이지갑, 메타마스크, 콜드월렛 등 거래소와 무관한 지갑들은 니모닉도 본인이 직접 관리해야 하기 때문에 이 니모닉을 누군가 알고 있다면 거래소 지갑과 마찬가지로 꼭 본인의 pc 또는 휴대폰이 아니더라도 접근이 가능합니다.
즉, 파이 네트워크를 처음 가입할 때 생성한 계정 정보를 탈취당하는 것 만으로는 공격자는 그사람의 파이 앱 메인 화면까지는 들어올 수 있을지 몰라도, 이 계정 사용자의 지갑에는 접근할 수 없기 때문에 이런 경우 가장 핵심은 역시 니모닉이 됩니다. 오래전에 필자가 포스팅한 글들 중 "비밀구절을 탈취당하면 끝장이다" 라는 제목을 쓴 적이 있는데 거기에는 이런 이유가 있었던 것입니다.
메타마스크 또는 각종 콜드월렛의 경우에는 로그인 과정에서 이미 니모닉 정보를 요구하기 때문에 이 경우에서도 니모닉을 절대 탈취당하면 안됩니다. 이처럼 비밀구절의 관리 등을 본인이 모두 직접 해야하고 누구에게도 위탁하지 않는 형태의 지갑을 "비수탁형 지갑" 이라 표현합니다. 파이지갑 역시 비수탁형에 해당하는 것입니다.
[ 4. 장단점 ]
각 지갑 형태의 장단점을 아는 것은 생각보다 중요합니다. 내가 어떤 부분을 조심해야 하고 관리를 잘해야 되는지 정확하게 알 수 있기 때문에 다음 장단점을 참고하셔서 관리에 도움이 되길 바랍니다.
■ 수탁형 지갑 (=거래소 지갑)
장점 1. 간편한 관리
니모닉관리에 무관하므로 크게 신경쓸 일이 하나 줄어듭니다.
장점 2. 사측의 실수로 인한 피해보상
"이건 회사 실수니까 당연히 보상해줘야 하는거 아니야?" 라고 하실지 모르지만 현실은 그렇지 않습니다. 거래소 해킹 등으로 피해가 발생할 경우, 원칙적으로는 상법상 예금자 보호와 같은 법적 보호장치가 아직 없기 때문에 거래소에서는 고객에게 피해보상 책임 의무가 없습니다 (국내 은행 고객피해에 대해서는 최대 5천만원까지 보상 한도가 존재합니다). 그러나 바이낸스, 업비트와 같은 국내외 메이저 거래소들은 기업 이미지, 도의적 차원에서 피해 복구 노력을 기울여 줍니다. 실제로 바이낸스는 세계 1위답게 현재까지 거래소 해킹피해 금액의 대부분을 보상해 주고 있으며, 복구에 들어가는 금액을 별도의 준비 기금형태로 운용하고 있다고 합니다.
장점 3. 본인의 이체실수로 인한 피해보상
은행과 달리 가상화폐는 그 특성상 이체할 때 본인의 부주의로 오입금 등의 사고가 발생할 경우에는 거의 모든 경우 그 전송금액을 전액 잃게 됩니다. 그러나 메이저 거래소들은 이에 대해 고객의 부주의로 인한 사고라 하더라도 어느정도 복구 노력을 기울여주고 있습니다. 다만 기술상 100% 복구되는 것은 아닙니다.
단점 1. 거래소 해킹 피해 가능성
본인의 계정 보안 관리 상태와 무관하게 거래소 측의 관리 부실로 인하여 해킹 피해를 입을 수 있습니다. 즉, 특정 거래소에서 특정한 코인을 장기간 보유한다면 그 보유기간에 비례하여 거래소를 믿어야 하는 것입니다. 때문에 이것을 불신하여 콜드월렛으로 이동시켜 보관하는 사람들이 점점 늘어나고 있습니다.
단점 2. 해킹사례 0인 거래소가 없음
세계 1위인 바이낸스는 물론이고 지금까지 5년 이상 운영되어 온 메이저 거래소들 중 해킹을 완벽 방어하거나 피해사례가 1건도 없었던 거래소는 없습니다. 내가 어느 거래소를 이용하든 "무조건 언젠가 해킹사건이 터진다" 라고 마음의 준비를 하고 있어야 하며 그 피해 규모가 적고 자신의 코인이 탈취당하지 않는 범위 내에서의 해킹이길 바라는 수밖에 없을 정도입니다. 바이낸스가 현재 세계 1위를 석권하기 전인 2014년 당시에는 '마운트곡스' 라는 거래소가 세계 1위를 차지하고 있었으나 해킹피해로 아예 회사가 파산하기도 했습니다.
■ 비수탁형 지갑 (=파이지갑, 메타마스크, 콜드월렛 등)
장점. 탈중앙성
엄밀히 말하면 장점이자 단점이 될 수 있는 부분입니다. 거래소를 통하지 않고 오직 본인이 모든 것을 책임지고 관리하는 형태이므로 가상화폐가 목표로 하는 탈중앙성에 부합하며, 본인의 관리 능력이 우수하다면 거래소 지갑에 자산을 맡겨두는 것보다 훨씬 안전한 형태의 지갑이라 할 수 있습니다. 다만 파이코인은 지갑의 형태에 있어서만 탈중앙성이 갖춰진 것일 뿐, 이 포스트를 작성하는 아직은 전체적으로는 니콜라스의 관리 하에 있으므로 프로젝트 자체는 아직 파이 코어팀에 중앙화 되어 있다고 할 수 있습니다.
단점. 모든 것이 본인의 책임
앞서 말한 탈중앙성의 양날의 칼이라 할 수 있습니다. 지갑에서 모든 자산이 어떤 이유로든 탈취 당하더라도 그 책임을 물을 곳이 없으며 100% 본인의 책임이 됩니다. 애초 가상화폐가 탄생한 주된 목적 중 하나가 '수수료를 좀먹고 고객정보를 모두 가지고 있는 은행 등의 중간 기관을 거치지 않는 직접적 거래' 를 추구하는 것이기 때문에 사고 시에도 책임을 물을 곳이 없어지는 것입니다. 기존 금융기관을 비판하고 거기에 의존하지 않는 만큼 이면의 책임도 본인이 짊어지겠다는 정신이 필요합니다.
part 2 에서는 니모닉의 관리 방법 및 각 관리 방법마다의 장단점 등에 대해 다룹니다 ↓
https://novaframe.tistory.com/151
Pi network (파이 네트워크) - 지갑 해킹 방지 가이드 part 2. 비밀 구절 관리 방법
[ 이전 포스트 ] https://novaframe.tistory.com/150 - Part 1. 지갑의 올바른 이해 지난 포스트를 읽어오셨다면 이제 파이코인 뿐 아니라 모든 비수탁형 가상화폐 지갑에 있어서 비밀구절(니모닉) 이 얼마나
novaframe.tistory.com
'금융 > 파이코인' 카테고리의 다른 글
| Pi network (파이 네트워크) - 지갑 해킹 방지 가이드 part 3. 주요 해킹 원인 및 예방 (1) | 2023.09.18 |
|---|---|
| Pi network (파이 네트워크) - 지갑 해킹 방지 가이드 part 2. 비밀 구절 관리 방법 (2) | 2023.09.17 |
| Pi network (파이 네트워크) - KYC 방법 안내 PART.2 "인증절차" (2) | 2022.07.11 |
| Pi network (파이 네트워크) - KYC 방법 안내 PART.1 "인증 전 알아야 할 사항" (0) | 2022.07.10 |
| Pi network (파이 네트워크) 파이 데이 - 2022.03.14. 락업 보너스 적용 및 달라진 사항들 (0) | 2022.03.16 |
