2014년, 장난삼아 도지코인 2만 5,000개를 구매했다. 2021년, 필자가 보유한 도지코인 가치가 일시적으로 1만 7,000달러를 넘어섰다. 문제는 도지코인을 보관한 지갑의 패스워드를 기억하지 못했다는 점이다. 필자는 도지코인을 되찾기로 결정하고는 온라인 해커 세력과 패스워드를 관리하는 수학자 집단에 필자의 정보와 자산이 노출될 위험성을 지닌 여정을 시작하면서 종종 분노하였다.
대다수 사용자는 암호화폐 코인 수천 개를 잃어버리지 않는다. 모두 디지털 자산 관리 시 패스워드에 의존한다. 하지만 암호화폐를 구매하는 투자자와 구매 금액 모두 증가하는 가운데 자산을 안전하게 보관할 방법은 없을까? 와이어드팀이 복수의 전문가를 만나 디지털 계정의 보안 수준이 가장 훌륭한 패스워드 생성 방법과 암호화폐 보유 시 접할 기본 저장소의 장단점을 알아보았다. 자세한 사항은 아래와 같이 전달한다.
내 암호화폐 지갑 해킹 방법은?
투자자가 암호화폐를 잃게 되는 몇 가지 공통적인 방법이 있다. 우선, 암호화폐 지갑을 저장한 하드드라이브를 버리는 사례가 있다. 그렇다면, 거래 내역 해킹이 발생할 수 있다. 패스워드 분실이나 개인적인 해킹 피해, 보유한 암호화폐 코인 탈취 사례도 암호화폐를 잃게 되는 주요 경로이다. 필자와 같이 암호화폐를 잃은 경험이 있다면, 해커 세력이 실제로 해결책을 제시할 수 있다. 현재 암호화폐 지갑 관리 권한을 유지했다면, 직접 지갑을 조작할 수 있을 것이다. 혹은 지갑을 해킹하고자 하는 이를 직접 찾아갈 수 있다.
필자는 암호화폐 지갑 해킹으로 유명한 익명의 해커 데이브 비트코인(Dave Bitcoin)에게 연락했다. 그는 해킹 성공 시 지갑 보유 자산의 20%를 수수료로 건넨다는 조건에 따라 지갑에 접근하도록 돕는 데 동의했다. 데이브를 포함한 여러 해커가 임의의 키보드 자판 조합 입력 기법을 활용했다. 기본적으로 주로 패스워드를 추측하기만 했다.
잠깐 기다린 뒤 데이브에게서 메일 한 통을 받았다. 데이브는 "1,000억 번 넘게 지갑 패스워드 입력을 시도했다"라는 메일을 보냈다. 필자의 도지코인을 확실하게 되찾기 위해 놀라울 정도로 많은 양의 패스워드 입력 시도를 했다고 생각한다. 그러나 안타깝게도 성공하지 못했다. 패스워드를 해킹하지 못해, 필자의 지갑은 계속 분실된 상태였다. 그렇다면, 어떤 방법으로 되찾을 수 있을까?
강력한 패스워드 조합에 적용된 수학
패스워드의 각각의 새로운 숫자 조합은 패스워드 해킹 난이도를 기하급수적으로 어려운 수준으로 만든다. 문자나 숫자로 구성된 한 자릿수 패스워드를 생각해보아라. 패스워드의 문자가 대소문자를 구분한다면, 문자 52개와 숫자 10개 중 하나를 입력하여 패스워드를 찾을 수 있다. 보안 수준이 높은 편이 아니다. 단 62회 만에 패스워드를 찾을 수 있다. (A, a, B, b, C, c 입력 시도)
이제 두 자릿수 패스워드를 살펴보자. 생각한 것과는 달리 한 자릿수 패스워드보다 보안이 두 배 더 강력해지는 것은 아니다. 패스워드를 추측하기 62배 더 어려워진다. 두 자릿수 패스워드 조합 시 3,884가지 경우의 수가 발생한다. (AA, Aa, AB 등) 똑같은 규칙에 따라 여섯 자릿수 패스워드를 추측할 때 약 560억 가지 경우의 수가 등장한다. 패스워드에 특수 문자를 추가하지 않았을 때를 기준으로 한 경우의 수이다. 20자릿수 패스워드는 62개의 20제곱 순열로 조합할 수 있다. 20자릿수 조합의 패스워드는 총 704,423,425,546,998,022,968,330,264,616,370,176개를 생성할 수 있다. 1,000억이라는 숫자가 매우 작은 숫자처럼 보인다.
패스워드 조합 경우의 수는 필자가 패스워드를 찾기 어렵다는 소식을 의미했다. 필자의 패스워드는 노래 가사 몇 줄과 같은 수준으로 길기 때문이다. 음악을 마주하는 것을 이야기해보아라.
[사진=Freepik]
최고의 패스워드 설정 관행
이메일이든 암호화폐 지갑이든 기억하기 쉬우면서도 보안 수준이 강력한 패스워드 생성이라는 균형을 맞출 방법은 없을까?
데이브는 "패스워드 선택은 까다로운 일이다. 일반적으로 사용하지 않는 특이한 패스워드를 직접 생성한다면, 패스워드를 기억하기 어렵다. 또, 패스워드를 찾기 위한 도움을 청하기도 어려워진다. 일정한 패턴을 사용한다면 패스워드를 추측하기 수월한다. 물론, 보안 수준은 취약할 것이다. 타인이 패스워드를 해킹하기 쉬워질 수도 있다"라고 설명했다. 보안과 기억하기 쉬운 패스워드 생성이라는 균형 유지는 궁극적으로 개인의 필요성과 우선순위가 필요한 어려운 일이다.
이어, 데이브는 "누군가가 발견한다면 보안 위험성이 있지만, 종이에 패스워드를 모두 기록할 수 있다. 혹은 패스워드 매니저 프로그램을 사용하는 것을 추천한다"라고 조언했다. 역설적으로 디지털 시대에는 보안을 위해 펜과 종이를 더 선호한다. 일례로, 러시아 국가 안보 기관은 에드워드 스노든의 내부 고발 이후 타자기를 다시 사용하기 시작한 것으로 알려졌다.
암호화폐 거래소에 보관한 코인, 안전할까?
필자는 패스워드를 분실한 뒤 거래소에 암호화폐를 보관하는 것을 적극적으로 지지하게 되었다. 어찌 되었든 코인베이스 패스워드 분실 시 패스워드를 찾는 과정이 간단하기 때문이다. 패스워드를 초기화하고 계정 주인임을 인증할 신분 정보를 제출하면 되기 때문이다. 표면적으로는 대형 암호화폐 거래소의 보안이 훌륭한 것처럼 보인다. 코인베이스는 예치금 98% 이상으로 안전한 콜드 저장소 시설에 오프라인으로 보관한다고 밝혔다. 따라서 사이버 범죄 세력이 코인베이스에 보관한 가상자산 대부분을 탈취하는 것이 불가능하거나 어려울 것이다. 미국의 또 다른 인기 가상자산 거래소 제미니(Gemini)는 포괄적인 보안 조치를 갖추었다는 점을 자랑스럽게 내세운다. 만약, 사용하던 거래소가 심각한 해킹 피해를 겪거나 파산하게 된다면, 거래소에 보관한 암호화폐를 되찾는 데 수년이 걸린다. 바로 다수 애널리스트가 투자자에게 자신이 구매한 가상자산 관리 권한 유지를 권장하는 이유이다.
과거, 일부 암호화폐 및 블록체인 기업에서 근무한 적이 있는 도쿄 소재 독립 사이버 위험 애널리스트 토마스 글루크스만(Thomas Glucksmann)은 "사이버 공격 세력은 수백 달러 상당의 자금을 가진 개인의 지갑보다는 수십억 달러를 보관한 주요 암호화폐 거래소 공격을 시도할 확률이 더 높다”라고 전했다. 사용자가 거래소에 가상자산을 보관한다면, 거래소의 본사가 설립된 지역 국가의 보안 문화를 고려해야 한다. 글루크스만은 "일반적으로 미국과 영국은 학계와 군, 정보기관, 민간 부문 간 순환 인재 덕분에 사이버 보안 기준이 매우 강하다"고 덧붙였다. 글루크스만은 특정 스토리지 옵션을 추천하지는 않았지만, "개인에게 인기 있는 하드웨어 지갑 공급 업체로는 레저(Ledger), 트레저(Trezor), 킵키(KeepKey) 등이 있다"라고 언급했다.
데이브는 bip44 복구 구문을 사용하는 지갑을 선택할 것을 권장한다. bip44 복구 구문을 사용한다면, 12개 또는 24개 단어 복구 구문으로 분실한 패스워드를 복구할 수 있다. 데이브는 "단어의 복사본을 여러 개 생성해야 한다. 또, 까다롭고 혼란스러운 구문으로 생성해 복구 구문을 잊는 일이 없어야 한다. 그리고 복구 구문 사본을 방해나 보안 침입, 삭제 위험성이 없는 다양한 위치로 복사해야 한다”라고 조언을 건넸다.
사용자 스스로 자신만의 은행이 될 수 있다. 과연 필요한 일인가?
하드웨어 지갑으로의 가상자산을 이체하는 과정은 복잡하다. 이는 다수 투자자가 자금을 즉시 이체하지 않는다는 사실을 의미한다. 보안 문제로 익명을 요구한 버지니아주의 암호화폐 투자자 린지 A(Lindsey A)는 2014년 마운트곡스(Mt. Gox) 해킹 사태로 가상자산 보유 금액을 잃은 친구의 조언을 받아, 레저 나노 지갑을 구매했다. 하지만 아직 거래소에 보관한 가상자산을 레저의 하드웨어 지갑으로 옮기지 않았다. 린지 A는 암호화폐 시장의 엄격한 안전 혹은 법적 표준 부재로 어려움을 겪는 것을 우려한다. 하지만 암호화폐 시장이 현재 발전 중인 환경의 일부분이기 때문에 여전히 암호화폐에 투자한다.
보안 우려는 더 넓은 암호화폐 시장의 발목을 잡는 것으로 보인다. 가상자산 거래소에 암호화폐 코인을 저장한 버지니아 대학 다양성 공학 센터(Center for Diversity in Engineering)의 제임스 블랜드(James Bland) 소장은 "디지털 특성을 고려했을 때 암호화폐 자산은 사이버 공격에 매우 취약하다. 이 때문에 기존 주식보다 더 적은 투자 금액을 유지했다"라고 밝혔다. 블랜드 소장은 개인적으로 알고 있는 흑인 투자자 다수가 최근 가격 하락을 우려하고 있다는 점에 주목하며, “주식이 암호화폐보다 더 가치가 있는 듯하다”라고 덧붙였다. 다만 블랜드 소장은 암호화폐 시장의 장기적 회복 가능성을 낙관적으로 본다. 그는 "현재 투자한 암호화폐를 유지하고 있으며, 하락세가 펼쳐질 때 암호화폐를 매수한다는 원칙에 의존한다"라고 말했다.
지갑을 직접 생성한다면, 좋든 나쁘든 투자한 암호화폐 전체를 통제할 수 있다. 마이애미주에 거주하는 비트코인 투자자 브렛 해럴슨(Brett Haralson)은 “투자자 스스로 자신만의 은행이 되는 것이다. 투자자와 투자한 암호화폐 사이에 개입하는 이는 없다. 대신, 위험성이 뒤따를 수 있다”라고 말했다. 기술에 정통한 조직이더라도 거액의 암호화폐를 잃을 수 있다. 실제로 와이어드도 몇 년 전 비트코인 토큰 13개를 잃은 적이 있다. 거액의 암호화폐를 잃기 쉽다는 사실은 암호화폐의 초기 기술이라는 특성과 양날의 검이라는 특성을 제시한다. 예상치 못한 거액의 이익을 얻을 수도 있다. 하지만 코인 접근성을 잃게 된다면, 기술에 정통한 개인이나 기관도 암호화폐에 접근할 방법을 찾기 어렵다.
부정적 요소를 긍정적 요소로 전환
그렇다면, 필자가 장난삼아 도지코인을 구매하고 패스워드를 분실한 것처럼 우연히 인생에서 가장 놀라운 투자를 하고 잃는 것을 어떻게 생각해야 할까? 그리고 투자한 암호화폐 손실에서 어떻게 대처해야 할까? 『세렌디피티 마인드셋(The Serendipity Mindset)』의 저자이기도 한 크리스티안 부쉬(Christian Busch) 뉴욕대학교 교수는 낙담할 필요가 없다는 말을 했다. 부쉬 교수는 “스스로 운이 좋다고 생각하는 이들은 예상하지 못한 상황을 우연한 행복으로 받아들인다. 반면, 스스로 운이 나쁘다고 생각하는 이들은 더 나았을 수도 있는 일을 생각한다. 악순환이나 선순환이 될 수 있는 일이다”라고 말했다.
게다가 필자가 암호화폐에 투자할 수 있는 선견지명이 있다는 점을 다행이라고 생각한다. 부쉬 교수는 “기대하지 않았던 행운인 우연은 종종 우연히 발생하지 않는다”라고 주장했다. 필자는 도지코인을 잃었을 수도 있지만, 도지코인에 투자한 일 자체는 가치가 있는 모험 정신이었다. 이어, 부쉬 교수는 “전체 투자 포트폴리오를 위험에 노출되는 일이 없도록 하면서 예상치 못하게 급부상한 유망한 코인에 투자할 수 있는 역량을 유지하는 것이 핵심이다”라고 말했다.
인생의 수많은 결정은 기꺼이 감수할 의사가 있는 위험이라는 한 가지 질문으로 요약할 수 있다. 어떠한 자산이든 누구나 사용할 수 있는 완벽한 방법은 없다. 암호화폐도 예외는 아니다. 하드웨어 지갑은 분실 위험성이 있다. 가상자산 거래소는 해킹 위험성이 있으며, 패스워드는 분실할 수도 있다. 암호화폐 투자 결과는 운이 좋을 수도 있고, 반대로 불운할 수도 있다. 궁극적으로 감수하고자 하는 위험성을 결정해야 한다. 필자는 개인적으로 긍정적으로 생각하고, 앞으로 패스워드를 계속 기억하려 할 것이다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202211/4371_5777_334.jpg)
뉴스레터 신청