200만 달러어치 비트코인이 잠긴 하드드라이브
Stefan Thomas는 2011년에 비트코인 7,002개를 받았다. 당시 가치로 몇 달러였지만, 2021년엔 2억 달러 이상이었다.
그의 비트코인은 암호화된 하드드라이브 IronKey에 있었다. 비밀번호를 8번 틀리면 영구 삭제되는 방식이었다. 그는 비밀번호를 기록해둔 종이를 잃어버렸다.
그에게 남은 시도 기회는 2번이었다.
이것은 극단적인 사례지만, 매년 수십만 개의 비트코인이 이런 식으로 영구적으로 회수 불가능한 상태가 된다고 추정된다.
개인키란 무엇인가
암호화폐 지갑을 생성하면 두 가지가 만들어진다.
- 공개키(주소): 다른 사람이 나에게 송금할 때 알려주는 주소. 누구에게나 공개해도 된다.
- 개인키: 지갑에서 자산을 꺼내거나 거래에 서명할 때 필요한 비밀 코드. 절대 공유하면 안 된다.
비트코인의 개인키는 256비트 숫자 하나다. 16진수로 쓰면 64자리:
E9873D79C6D87DC0FB6A5778633389F4453213303DA61F20BD67FC233AA33262
이 숫자를 잃어버리거나, 누군가에게 알려주면 해당 지갑의 자산에 영영 접근할 수 없게 되거나, 모두 도난당한다.
시드 구문(니모닉)의 등장
개인키는 64자리 16진수라 기억하거나 적어두기 불편하다. 그래서 BIP-39 표준이 만들어졌다.
시드 구문(Seed Phrase, 니모닉, 복구 구문)은 개인키를 12~24개의 영어 단어로 변환한 것이다:
witch collapse practice feed shame open despair creek road again ice least
이 12단어가 지갑 전체를 복구하는 마스터 키다. 하드웨어 지갑이 고장나도, 앱을 지워도, 이 12단어만 있으면 다른 기기에서 동일한 지갑을 복구할 수 있다.
하나의 시드 구문에서 수천 개의 주소와 개인키를 파생할 수 있다. 코인 종류별로 다른 주소를 쓰는 이유가 여기 있다.
잃어버리면 정말 복구가 불가능한가
짧은 답: 대부분의 경우 불가능하다.
블록체인은 중앙 서버가 없다. "비밀번호 찾기" 버튼이 없다. 개인키를 보관하는 회사가 없으니 고객센터에 연락할 수도 없다.
암호화폐의 보안은 수학적 불가능성에 기반한다. 개인키 없이 지갑에 접근하려면 256비트 숫자를 무작위로 맞춰야 한다. 가능한 조합은 2²⁵⁶가지 — 관측 가능한 우주의 원자 수보다 훨씬 많다. 지구의 모든 컴퓨터를 동원해도 우주의 나이보다 긴 시간이 걸린다.
다만 예외적으로 복구 가능한 경우들이 있다.
케이스 1: 일부 단어를 기억하는 경우
12개 시드 구문 중 11개를 알고 있다면, 마지막 한 단어를 2,048가지 BIP-39 단어 목록에서 브루트포스로 찾을 수 있다. 이는 충분히 현실적이다.
8개를 기억하고 순서도 불확실하다면? 계산이 급격히 복잡해지지만, 전문 복구 서비스를 통해 시도해볼 수 있다.
케이스 2: 부분적으로 기억하는 비밀번호
지갑 파일(.dat)이 있고 비밀번호 일부를 기억한다면, hashcat 같은 패스워드 크래킹 도구로 시도해볼 수 있다. 비밀번호가 짧거나 패턴이 있다면 성공 확률이 있다.
케이스 3: 뇌지갑(Brain Wallet)의 취약한 구문
"나의비밀번호123" 같은 약한 구문으로 만든 뇌지갑은 이미 공격자들이 모두 시도해봤을 가능성이 높다. 이 경우 남은 자산이 없을 것이다.
실제 복구 성공 사례
Dave Bitcoin: 전문 비트코인 지갑 복구 서비스. 비밀번호를 잊어버린 wallet.dat 파일을 가진 사람들을 돕는다. 복구 성공 시 비트코인 일부를 수수료로 받는다. 100건 이상의 성공 사례가 있다.
Stefan Thomas 케이스 (2023 업데이트): 실리콘밸리 스타트업 Unciphered가 IronKey의 펌웨어 취약점을 발견했다고 주장했다. Thomas에게 복구를 제안했지만, 분쟁 중인 소유권 문제로 Thomas는 제안을 거절했다. 기술적으로는 복구 가능성이 생긴 셈이다.
잃지 않기 위한 백업 전략
황금 법칙: 3-2-1 백업
- 3개 복사본 보관
- 2가지 다른 매체 사용 (종이 + 금속판, 또는 종이 + 암호화 USB)
- 1개는 오프사이트 보관 (집 밖, 예: 은행 대여금고)
종이 백업의 주의사항
종이는 간단하지만 취약하다:
- 불에 탄다 → 내화 금고 사용
- 물에 젖는다 → 방수 파우치
- 시간이 지나면 잉크가 바랜다 → 레이저 프린터 사용 또는 연필 대신 방수 잉크
- 누군가 발견할 수 있다 → 눈에 띄지 않는 장소에 보관
금속 백업
CryptoSteel, Bilodl 같은 제품은 스테인리스 스틸 판에 시드 구문을 새긴다. 불, 물, 압력에 강하다. 가격은 5~10만 원대.
분리 보관
12단어를 두 곳에 6단어씩 나눠 보관하는 방법도 있다. 단 하나의 위치가 손상돼도 복구가 불가능해질 수 있으니, Shamir's Secret Sharing 같은 더 안전한 방법을 쓰는 것이 낫다.
클라우드 저장 금지
시드 구문을 구글 드라이브, 아이클라우드, 이메일에 저장하는 것은 매우 위험하다. 계정이 해킹당하면 지갑도 털린다. 스크린샷도 금지다 — 사진 앱이 자동으로 클라우드에 동기화된다.
거래소 보관 vs 개인 지갑
"내 열쇠가 아니면 내 코인도 아니다(Not your keys, not your coins)"는 암호화폐 커뮤니티의 격언이다.
거래소에 코인을 보관하면 개인키를 거래소가 관리한다. 거래소가 해킹당하거나(Mt. Gox: $4억 7천만 증발), 파산하거나(FTX), 출금을 막으면(셀시우스 네트워크) 자산을 잃을 수 있다.
하지만 직접 지갑을 관리하면 개인키 분실 리스크를 온전히 본인이 진다.
방법은 목적에 따라 나누는 것이다:
- 자주 거래하는 소액 → 거래소 보관
- 장기 보유 자산 → 하드웨어 지갑 + 안전한 오프라인 백업
개인키와 디지털 서명의 작동 원리가 궁금하다면 디지털 서명 인터랙티브 모듈에서 실제로 키 쌍을 생성하고 서명하는 과정을 직접 체험해볼 수 있습니다.