Week 7: 디지털 지갑 - 자주 묻는 질문

니모닉을 잃어버리고 지갑 앱에도 접근할 수 없다면, 자산을 영구적으로 잃게 됩니다. 블록체인에는 "비밀번호 재설정" 기능이 없습니다. 이것이 탈중앙화의 대가입니다.

대처 방법:

• 지갑 앱에 아직 접근 가능하다면, 즉시 새 지갑을 생성하고 모든 자산을 이전하세요
• 니모닉은 2부 이상 만들어 서로 다른 물리적 장소에 보관하세요
• 금속 니모닉 보관 제품(Cryptosteel 등)도 고려하세요 (화재/수해 방지)

보안 강도의 차이입니다:

• 12단어: 128비트 엔트로피. 2^128 가지 조합. 실용적으로 충분한 보안
• 24단어: 256비트 엔트로피. 2^256 가지 조합. 양자 컴퓨팅 시대를 대비한 보안

MetaMask는 12단어, Ledger 하드웨어 지갑은 24단어가 기본입니다. 일반적인 용도에서는 12단어로도 충분합니다.

MetaMask에서 가능합니다: 계정 메뉴 -> 계정 세부정보 -> "개인 키 내보내기". 비밀번호 입력 후 64자리 16진수 문자열이 표시됩니다. 하지만 개인키를 내보내는 것은 매우 위험하며, 일반적으로 권장하지 않습니다. 다른 지갑으로 이전이 필요하면 니모닉을 사용하세요.

동일한 니모닉으로 복원하면 MetaMask, Trust Wallet, Exodus 등 어떤 지갑에서든 동일한 주소와 자산이 표시됩니다. BIP-39/44 표준을 따르는 모든 지갑은 호환됩니다. 하지만 니모닉을 여러 곳에 입력하는 것은 보안 위험이 증가하므로 주의가 필요합니다.

매우 중요합니다. 단어 순서가 바뀌면 완전히 다른 지갑이 생성됩니다. 12개 단어의 가능한 순서 조합은 12! = 약 4.8억 가지이며, 그 중 정확한 하나의 순서만 올바른 지갑입니다. 반드시 정확한 순서로 기록하세요.

하드웨어 지갑(Ledger, Trezor)은 개인키가 기기 내부의 보안 칩(Secure Element)에 저장되어 절대 외부로 노출되지 않습니다:

• 트랜잭션 서명이 기기 내부에서 이루어짐
• 컴퓨터가 악성코드에 감염되어도 키는 안전
• 기기에서 직접 트랜잭션 내용을 확인하고 물리 버튼으로 승인
• 피싱 사이트에 니모닉을 입력하는 실수 방지

단점은 가격(약 10-20만 원)과 사용 불편함(매번 기기 연결 필요)입니다.

완전히 다릅니다:

• 비밀번호: 해당 브라우저에서 MetaMask를 잠금 해제하는 용도. 로컬에서만 유효
• 니모닉(복구 구문): 지갑의 마스터 키. 어떤 기기, 어떤 앱에서든 지갑을 복원 가능

비밀번호를 잊어도 니모닉이 있으면 복원됩니다. 니모닉을 잃으면 비밀번호만으로는 다른 기기에서 복원할 수 없습니다.

"지갑 연결"만으로는 자산이 위험하지 않습니다. 연결은 DApp에 주소와 잔액 조회 권한만 줍니다. 위험한 것은:

• 토큰 승인(Approve): 특정 토큰에 대한 사용 권한을 DApp에 부여
• 무제한 승인: 전체 잔액에 대한 사용 권한 (매우 위험)
• 악성 트랜잭션 서명: 내용을 확인하지 않고 서명

항상 트랜잭션 내용을 꼼꼼히 확인하고, 신뢰할 수 없는 DApp에는 연결하지 마세요.

주요 피싱 유형과 구별법:

• 가짜 사이트: URL을 항상 확인 (metamask.io vs metamask-wallet.io)
• 니모닉 요청: 어떤 사이트나 앱도 니모닉을 요청하지 않음. 요청하면 100% 사기
• 에어드롭 사기: 지갑에 갑자기 나타난 토큰을 상호작용하지 마세요
• 가짜 고객 지원: MetaMask는 DM으로 연락하지 않음

원칙: 니모닉은 지갑 복원 시에만 입력. 다른 어떤 경우에도 입력하지 마세요.

블록체인 상에서는 연결되지 않습니다. 각 계정은 독립적인 주소를 가지며, 블록체인 데이터만으로는 같은 니모닉에서 파생되었는지 알 수 없습니다. 하지만 같은 DApp에서 여러 계정을 사용하거나, 계정 간 직접 전송을 하면 분석 도구를 통해 연관성이 추정될 수 있습니다.

같은 니모닉에서 파생되지만 경로가 다릅니다:

• 비트코인: m/44'/0'/0'/0/0 (coin_type = 0)
• 이더리움: m/44'/60'/0'/0/0 (coin_type = 60)

따라서 같은 니모닉이라도 비트코인 주소와 이더리움 주소는 완전히 다릅니다. 또한 비트코인은 UTXO 모델, 이더리움은 계정 모델을 사용하므로 지갑의 동작 방식도 다릅니다.

네, 동일합니다. 같은 개인키에서 파생된 주소이므로, 메인넷이든 Sepolia 테스트넷이든 주소는 같습니다. 단, 각 네트워크의 잔액은 별도입니다. 테스트넷의 ETH는 메인넷에서 사용할 수 없고, 그 반대도 마찬가지입니다.

MPC(Multi-Party Computation) 지갑은 개인키를 여러 조각으로 분할하여 여러 참여자가 보관하는 방식입니다:

• 어떤 단일 참여자도 전체 키를 알 수 없음
• 임계값(예: 3명 중 2명) 이상이 협력해야 서명 가능
• 키 조각은 네트워크를 통해 협력하여 서명 생성

기관용 커스터디 솔루션에서 많이 사용되며, Fireblocks, ZenGo 등이 대표적입니다. WIA-FIN-015에서도 기관용 지갑에 MPC 사용을 권장합니다.

WIA-FIN-015가 요구하는 주요 보안 기능:

• 키 암호화 저장 (AES-256 이상)
• 다중 인증 (생체인증, PIN, 2FA 중 2가지 이상)
• 트랜잭션 서명 전 명확한 정보 표시
• 비활동 시 자동 잠금
• 안전한 백업/복구 프로세스
• 피싱 방지 메커니즘
• 트랜잭션 한도 설정 기능

Account Abstraction(ERC-4337)은 스마트 계약 자체를 "계정"으로 사용하는 기술입니다:

• 소셜 리커버리: 니모닉 없이도 가디언 승인으로 복구
• 가스비 대납: 다른 사람/서비스가 가스비를 대신 지불
• 배치 트랜잭션: 여러 작업을 하나의 트랜잭션으로
• 커스텀 서명: ECDSA 외 다양한 서명 알고리즘 지원

이더리움 사용성을 혁신적으로 개선할 기술로 주목받고 있으며, WIA-FIN-015에서도 AA 기반 지갑의 가이드라인을 포함하고 있습니다.

WIA-FIN-015에서는 용도에 따라 다른 요구사항을 정의합니다:

• 개인용: 편의성 중심, 단일 서명, 모바일 지원
• 기업용: 다중 서명(MultiSig), MPC, 역할 기반 권한, 감사 로그, 규제 준수(KYC/AML)

기업용은 Gnosis Safe(현 Safe), Fireblocks 등이 대표적이며, 여러 관리자의 승인이 필요한 다중 서명 방식을 사용합니다.