거래소에 비트코인을 두는 게 정말 '안전한' 걸까요? 가상자산을 6년 넘게 다뤄오면서 저도 한동안 그렇게 믿었습니다. 그런데 주기적으로 터지는 거래소 해킹 소식을 접할 때마다, 그리고 전쟁으로 자국 자산이 통째로 국고에 귀속되는 뉴스를 볼 때마다 그 믿음이 조금씩 흔들리기 시작했습니다.
거래소는 '안전한 곳'이 아니라 '편한 곳'이다, 해킹사고
처음 업비트를 쓰기 시작했을 때 저는 아무 의심 없이 자산을 거래소에 뒀습니다. 은행에 돈을 넣어두는 것처럼 당연한 일이라고 생각했으니까요. 그런데 직접 겪어보니 거래소는 편의성과 보안을 맞바꾸는 구조라는 걸 알게 됐습니다.
거래소는 많은 사람이 동시에 이용하는 대중 친화적 서비스이기 때문에, 보안 수준을 극한까지 높이는 데 구조적 한계가 있습니다. 이를 노리는 게 바로 라자루스(Lazarus)와 같은 국가 지원 해킹 그룹입니다. 라자루스는 북한과 연계된 것으로 알려진 사이버 공격 조직으로, 국내외 가상자산 거래소를 반복적으로 공격해 수천억 원 규모의 자산을 탈취한 전력이 있습니다.
거래소에 비트코인을 보관한다는 건 사실 비트코인을 '소유'하는 게 아닙니다. 정확히는 청구권(Claim)을 갖는 것입니다. 여기서 청구권이란, 거래소가 내 요청에 따라 비트코인을 돌려줄 의무를 진다는 약속일 뿐, 내가 그 비트코인을 실제로 보유한다는 의미가 아닙니다. 거래소가 해킹당하거나 파산하면 그 약속은 한순간에 사라집니다. 실제로 해외에서는 거래소 파산 후 10년이 지나도록 자산을 돌려받지 못한 사례가 존재합니다.
지금까지 국내 거래소들이 해킹 피해를 자체적으로 보전해준 건 수익이 충분히 뒷받침됐기 때문입니다. 하지만 그게 영원히 반복될 것이라는 보장은 어디에도 없고, 법적 보호 장치도 아직 미흡합니다. 제가 가상자산에 관심을 가진 6년 동안, 거래소가 도의적으로 피해를 물어준 경우만큼이나 그렇지 못한 경우도 봐왔습니다.
셀프커스터디를 모르면 생기는 일들, 보관법
셀프커스터디(Self-Custody)란 제3자 기관 없이 본인이 직접 개인키(Private Key)를 관리하며 비트코인을 보관하는 방식입니다. 여기서 개인키란 비트코인 지갑에 접근할 수 있는 유일한 암호로, 이것을 잃으면 지갑 안의 자산에는 영원히 접근할 수 없습니다.
셀프커스터디를 제대로 이해하지 못했을 때 어떤 일이 벌어지는지, 실제 사례들이 잘 보여줍니다. 미국의 뮤지션 G. Love(본명 개럿 더튼)는 맥북을 교체하는 과정에서 앱스토어에서 Ledger Live와 이름, 아이콘이 동일한 가짜 앱을 설치했습니다. 앱이 시드 구문(Seed Phrase) 입력을 요청했고, 그는 의심 없이 입력했습니다. 그 결과 5.92 BTC, 당시 시세 기준 수억 원이 순식간에 사라졌습니다.
여기서 시드 구문이란 지갑을 복구할 수 있는 12~24개의 영단어 조합입니다. 쉽게 말해 지갑의 마스터 열쇠인데, 이걸 외부에 노출하면 누구든 내 지갑에 접근할 수 있습니다. 공식 지갑 앱은 절대 시드 구문을 앱 화면에 입력하도록 요구하지 않습니다.
국내에서도 비슷한 사고가 있었습니다. 조세 범칙 행위를 단속한 국세청이 압수한 하드웨어 지갑과 시드 구문을 적은 종이를 함께 찍어 보도자료에 공개했고, 이를 본 누군가가 해당 지갑의 비트코인을 전부 인출했습니다. 수십억 원 규모가 증발한 이 사건은 단순 실수가 아니라 셀프커스터디 개념 자체에 대한 무지에서 비롯된 것입니다.
셀프커스터디를 배울 때 놓치지 말아야 할 핵심 포인트는 다음과 같습니다.
- 시드 구문은 절대 디지털 기기에 저장하거나 앱에 입력하지 않는다
- 하드웨어 지갑 앱은 반드시 공식 홈페이지나 공인된 경로로만 내려받는다
- 지갑 껍데기보다 시드 구문 보관이 더 중요하다는 것을 이해한다
- 거래소에서 개인 지갑으로 이체하기 전 소액으로 먼저 테스트한다
전쟁 나면 비트코인도 못 쓰는 것 아닌가요?, 자산보호
저도 처음에는 이런 의문을 가졌습니다. 그런데 직접 겪어보니 오히려 반대더군요. 전쟁이 나면 가장 먼저 통제되는 것이 은행과 거래소입니다. 자국 화폐는 초인플레이션으로 가치가 무너지고, 금이나 달러는 실물이 없으면 소용이 없으며, 있더라도 들고 국경을 넘기가 어렵습니다.
실제로 러시아-우크라이나 전쟁 발발 이후 우크라이나 정부는 비트코인 기부를 공식 수용했고, 피란민들이 비트코인으로 국경을 넘는 사례가 보고됐습니다(출처: 코인데스크). 셀프커스터디를 해둔 사람이라면 시드 구문 24개 단어만 암기하고 있으면 전 재산을 몸에 지닌 채 이동할 수 있습니다. 거래소에 맡겨둔 사람은 그 거래소가 영업을 멈추는 순간 손도 쓸 수 없습니다.
어릴 때 어른들이 "주식하면 집안 망한다"고 했던 것처럼, 지금 우리 사회도 가상자산을 도박과 같은 시선으로 바라보는 분위기가 있습니다. 그런데 제 경험상 이건 자산 자체의 문제가 아니라 그 자산을 어떻게 다루느냐의 문제입니다. 2021년 저도 자산이 99% 사라지는 걸 경험했습니다. 그때 뼈저리게 느낀 건 투자 판단보다 자산 보호에 대한 공부가 훨씬 더 부족했다는 점이었습니다.
하드웨어 지갑 중 입문자에게 많이 권장되는 블록스트림 제이드(Blockstream Jade)는 오픈소스 기반 지갑으로, 코드 공개를 통해 보안 취약점을 외부에서도 검증할 수 있는 구조를 갖추고 있습니다. 가상자산 보안 전문 매체 비트코인 매거진은 하드웨어 지갑 사용이 소프트웨어 지갑 대비 피싱 및 멀웨어 공격에 훨씬 강한 방어력을 제공한다고 설명합니다(출처: Bitcoin Magazine).
지금 당장 비트코인이 없더라도 셀프커스터디 개념을 익혀두는 것이 의미 있는 이유입니다. 자산이 커진 다음에 배우려 하면 오히려 무서워서 더 미루게 됩니다. 저 역시 그랬습니다. 처음 인터넷 뱅킹을 배울 때처럼, 한 번 익히고 나면 왜 이걸 이제야 했나 싶어지는 것이 셀프커스터디입니다.
비트코인을 거래소에 두는 것은 투자하는 것이고, 셀프커스터디로 보관하는 것은 소유하는 것입니다. 이 두 가지는 비슷해 보이지만 본질이 다릅니다. 지금이 공부를 시작하기에 가장 이른 시점이고, 동시에 가장 적절한 시점이기도 합니다. 셀프커스터디를 알게 되는 순간, 비로소 내 비트코인이 온전히 내 것이 됩니다.
이 글은 개인적인 경험과 의견을 공유한 것이며, 전문적인 금융 투자 조언이 아닙니다. 가상자산 투자는 원금 손실 위험이 있으며, 구체적인 투자 판단은 전문가와 상담하시길 권합니다.
참고: https://www.youtube.com/@백훈종/videos
https://www.coindesk.com
https://bitcoinmagazine.com