암호화폐 세계에서 어느 정도 시간을 보냈다면, 사람들이 "핫 월렛"과 "콜드 월렛"을 마치 완전히 다른 두 가지 것처럼 이야기하는 것을 들어 봤을 것입니다. 이들은 서로 다른 제품이라기보다는 지갑이 처할 수 있는 두 가지 다른 상태입니다. 이 차이를, 그리고 그 차이가 어디에서 더 이상 성립하지 않는지를 이해하는 것은 암호화폐를 안전하게 지키기 위한 첫걸음 중 하나입니다.
이 가이드는 각 용어가 무엇을 의미하는지 쉬운 말로 설명하고, 절충점을 짚어 보며, 핫과 콜드라는 깔끔한 구분이 왜 완전한 그림이라기보다는 출발점에 가까운지를 보여 줍니다.
지갑이 실제로 보관하는 것
핫과 콜드를 비교하기 전에, 암호화폐 지갑이 실제로 무엇인지 떠올려 보면 도움이 됩니다. 지갑은 코인을 보관하지 않습니다. 여러분의 코인은 블록체인, 즉 공유되는 공개 장부 위에 존재합니다. 지갑이 보관하는 것은 여러분의 개인 키입니다. 이는 그 코인이 여러분의 것임을 증명하고 거래를 승인할 수 있게 해 주는 비밀 숫자입니다. 이 점이 명확하지 않다면, 암호화폐 지갑이란 무엇인가를 다룬 글에서 자세히 설명합니다.
중요한 것이 개인 키이기 때문에, "핫"과 "콜드"는 사실 그 키가 어디에 있고, 공격자가 인터넷을 통해 거기에 도달할 수 있는지를 설명합니다.
핫 월렛이란
핫 월렛은 개인 키가 인터넷에 연결된 기기에 저장된 지갑입니다. "핫"이라는 단어는 단지 "온라인 상태이며 바로 사용할 수 있다"를 뜻합니다.
핫 월렛에는 다음이 포함됩니다.
- 휴대전화의 모바일 지갑 앱
- 브라우저 확장 프로그램 지갑
- 데스크톱 지갑 소프트웨어
- 거래소나 웹사이트가 호스팅하는 지갑
이것의 결정적인 특징은 편리함입니다. 키가 연결된 기기에 있기 때문에, 몇 초 만에 거래를 보낼 수 있고, 어디서나 잔액을 확인할 수 있으며, 추가 단계 없이 애플리케이션에 연결할 수 있습니다. 한마디로 핫 월렛의 의미는 속도와 일상적인 접근성입니다.
그 편리함의 대가는 공격 표면입니다. 즉, 무언가 잘못될 수 있는 모든 경로의 총합입니다. 인터넷에 닿는 기기에는 멀웨어, 피싱 페이지, 악성 브라우저 확장 프로그램, 또는 변조된 앱 업데이트가 도달할 수 있습니다. 이러한 위협 중 어느 것도 한 번도 온라인이 된 적이 없는 키에는 닿을 수 없습니다. 핫 월렛에서는 키가 온라인에 있으므로, 그러한 위협이 적어도 가능해집니다.
콜드 월렛이란
콜드 월렛은 개인 키를 인터넷에 연결되지 않은 기기에 보관합니다. 이 방식은 흔히 콜드 스토리지라고 불립니다. 키가 네트워크에 연결된 기기에 결코 닿지 않기 때문에, 원격 공격자는 거기로 가는 직접적인 경로가 없습니다.
콜드 스토리지의 일반적인 형태는 다음과 같습니다.
- 하드웨어 지갑 — 키를 보안 칩에 보관하고 거래를 기기 내부에서 서명하는 작은 전용 기기
- 종이 또는 금속 백업 — 적어 두고 물리적으로 보관한 시드 문구
- 에어 갭 컴퓨터 — 어떤 네트워크와도 의도적으로 떨어뜨려 둔 기기
여기서 합당한 질문이 하나 있습니다. 하드웨어 지갑은 콜드 스토리지인가요? 그렇습니다. 하드웨어 지갑은 개인 키를 기기 내부에 두고, 키 자체가 아니라 서명된 거래만 내보냅니다. 결제를 브로드캐스트하기 위해 온라인 컴퓨터에 연결할 때조차 비밀은 칩 위에 남아 있습니다. 이것이 콜드 스토리지의 본질입니다. 키는 서명하지만, 밖으로 나가지 않습니다.
절충점은 핫 월렛과 반대 방향으로 작동합니다. 콜드 스토리지는 온라인 공격 표면을 크게 줄이지만, 마찰을 더합니다. 자금을 옮긴다는 것은 기기를 꺼내고, 작은 화면에서 확인하고, 몇 가지 추가 단계를 거치는 것을 의미합니다. 거의 손대지 않는 저축에는 그 마찰이 장점입니다. 일상적인 지출에는 번거로움이 될 수 있습니다.
솔직한 비교
두 유형 중 어느 것도 단순히 "더 낫다"고 할 수 없습니다. 이들은 서로 다른 질문에 답합니다.
| 핫 월렛 | 콜드 월렛 | |
|---|---|---|
| 키가 있는 곳 | 온라인 기기 위 | 오프라인 기기 위 |
| 가장 적합한 용도 | 지출, 거래, 일상적 사용 | 장기 저축 |
| 주요 강점 | 속도와 편리함 | 더 작은 온라인 공격 표면 |
| 주요 약점 | 더 큰 온라인 공격 표면 | 일상적 사용에서의 마찰 |
| 일반적인 예 | 모바일, 확장 프로그램, 데스크톱 앱 | 하드웨어 지갑, 금속 백업 |
널리 반복되는 조언은 이것들을 여러분의 실제 생활 속 돈처럼 다루라는 것입니다. 핫 월렛은 일상 지출을 위한 주머니 속 현금이고, 콜드 월렛은 매일 열지 않는 저축 계좌입니다. 많은 숙련된 사용자가 대략 이런 식으로 운영합니다. 자신의 키를 직접 보유하는 것이 왜 중요한지 더 깊이 살펴보려면, 지금 자기 수탁이 왜 중요한가를 참고하세요.
콜드 스토리지가 무엇으로부터 보호해 주고 무엇으로부터 보호해 주지 않는지를 정확히 짚어 둘 가치가 있습니다. 그것은 원격 공격에 대해 정말로 강력합니다. 멀웨어와 피싱은 오프라인 상태인 키에 도달할 수 없습니다. 그것은 백업 없이 기기를 잃어버리는 것, 누군가 그것을 물리적으로 훔치는 것, 또는 여러분이 속아서 자신의 손으로 악성 거래에 서명하는 것으로부터는 보호해 주지 않습니다. 콜드 스토리지에 관한 NIST 용어집 항목 같은 권위 있는 보안 자료도 같은 방식으로 설명합니다. 오프라인 보관은 네트워크 노출을 줄이지, 모든 형태의 위험을 줄이는 것은 아닙니다.
핫 대 콜드의 이분법이 지나치게 단순화하는 이유
여기 초보자에게는 보통 알려 주지 않는 미묘한 지점이 있습니다. 핫과 콜드는 두 개의 상자가 아닙니다. 이들은 하나의 스펙트럼의 양 끝이며, 현실 세계의 구성 대부분은 그 중간 어딘가에 자리합니다.
몇 가지 예를 살펴보겠습니다.
- 하드웨어 지갑은 "콜드"이지만, 서명을 위해 그것을 온라인 컴퓨터에 연결하는 순간, 작업 흐름의 일부는 핫 기기에서 일어나고 있습니다.
- 휴대전화 앱은 "핫"이지만, 현대의 휴대전화는 키를, 원격 공격자가 단순히 읽어 낼 수 없는 하드웨어 기반의 보안 영역에 보관합니다.
- 많은 사람이 둘 다 사용합니다. 소액에는 핫 월렛을, 저축에는 콜드 스토리지를 쓰며, 이는 그들의 전체 구성이 순수하게 핫도 아니고 순수하게 콜드도 아님을 뜻합니다.
이분법은 또한 평범한 핫 월렛의 가장 큰 약점을 가립니다. 그것은 보통 단일 장애 지점이라는 점입니다. 하나의 기기가 하나의 키를 보관하므로, 그 기기가 침해되면 자금이 움직일 수 있습니다. 지갑을 "핫"이라고 부르는 것은 증상을 설명할 뿐, 진짜 문제는 설명하지 않습니다. 진짜 문제는 한 기기 위의 하나의 비밀이 공격자와 여러분의 코인 사이에 서 있는 전부라는 것입니다.
SSP가 자리하는 곳: 차이를 가르기
이것이 바로 SSP가 메우기 위해 만들어진 빈틈입니다. SSP는 2-of-2 멀티시그 지갑입니다. 한 기기 위의 하나의 개인 키 대신, 두 개의 별도 기기에 보관된 두 개의 키 — 브라우저 확장 프로그램과 모바일 앱인 SSP Key — 를 사용하며, 모든 거래를 둘 다가 승인해야 합니다.
이 설계는 핫 대 콜드의 논의를 구체적인 방식으로 바꿉니다. 브라우저 확장 프로그램 쪽 절반은 온라인이고 편리하므로, 일상적인 사용은 핫 월렛처럼 느껴집니다. 그러나 서명에는 별도 기기 위의 두 번째 키가 필요하기 때문에, 온라인 지갑은 단일 장애 지점이 아닙니다. 브라우저 확장 프로그램을 완전히 침해한 공격자조차도 여전히 자금을 옮길 수 없습니다. 여러분의 휴대전화에 있는 SSP Key가 그 거래를 승인하지 않았기 때문입니다. 서명 권한이 나뉘어 있습니다.
스펙트럼의 관점에서 SSP는 의도적으로 중간에 자리합니다. 핫 월렛을 쓰기 좋게 만드는 편리함을 유지하면서, 평범한 핫 월렛을 위험하게 만드는 한 기기, 한 키라는 약점을 제거합니다. 그것도 여러분에게 에어 갭 기기를 관리하라고 요구하지 않으면서 말입니다. 단일 기기 옵션과 어떻게 비교되는지 보려면, 소프트웨어 지갑 대 하드웨어 지갑에 관한 함께 보는 가이드가 더 깊이 들어갑니다.
자신의 구성을 어떻게 생각할 것인가
어느 한쪽 편을 들 필요는 없습니다. 이를 따져 보는 실용적인 방법은 다음과 같습니다.
- 지출과 저축을 분리하세요. 거래해도 마음 편한 금액은 핫하고 편리한 무언가에 두세요. 장기 보유분은 더 작은 온라인 공격 표면을 가진 무언가에 두세요.
- 여러분의 단일 장애 지점을 세어 보세요. 공격자가 여러분의 자금을 옮기려면 몇 개의 독립적인 것을 침해해야 하는지 물어보세요. 답이 "하나"라면, 지갑이 핫이라고 표시되었든 콜드라고 표시되었든, 그것이 해결해야 할 위험입니다.
- 마찰을 빈도에 맞추세요. 매일 손대는 자금은 더 적은 마찰을 견딜 수 있고, 거의 손대지 않는 자금은 더 많은 마찰을 견딜 수 있습니다. 서명을 두 기기로 나누는 구성은 하나의 키로 무너지지 않으면서 일상적인 편리함을 줍니다.
결론
핫 월렛은 편리함을 위해 키를 온라인에 두고, 콜드 월렛은 더 작은 공격 표면을 위해 키를 오프라인에 둡니다. 둘 다 정당하며, 많은 사람이 둘 다 사용합니다. 그러나 핫이냐 콜드냐 하는 꼬리표는 출발점이지 판결이 아닙니다. 더 깊은 질문은 공격자가 몇 개의 독립적인 승인을 무너뜨려야 하는가입니다. 평범한 핫 월렛은 "하나"라고 답합니다. SSP의 2-of-2 멀티시그는 두 개의 별도 기기에서 "둘"이라고 답합니다. 이렇게 SSP는 온라인 지갑을 단일 장애 지점으로 만들지 않으면서 그 편리함을 유지합니다.