하드웨어 월렛만 믿었다간 위험할 수도…시드 구문 의존 보안, 다시 점검할 때

개인 보관이 답이라지만, 단일 복구 문구에 모든 자산 묶는 방식은 한계 드러내

가상자산 투자자들 사이에서 하드웨어 월렛은 오랫동안 가장 안전한 보관 수단으로 여겨져 왔다. 인터넷과 분리된 환경에서 개인 키를 관리할 수 있다는 점 때문에 거래소 보관보다 안전하다는 인식이 강하다. 그러나 최근 업계에서는 “하드웨어 월렛 사용 = 보안 완성”이라는 단순한 공식이 더 이상 충분하지 않다는 지적이 힘을 얻고 있다. 실제로 수백만 BTC가 해킹보다 분실, 오기입, 백업 실패 같은 개인 키 관리 문제로 영구 손실된 것으로 추정된다는 분석도 나와 있다.

진짜 취약점은 해커보다 ‘한 번의 실수’일 수 있다

문제의 핵심은 하드웨어 기기 자체보다도, 자산 접근 권한이 사실상 하나의 시드 구문에 집중되는 구조에 있다. 시드 구문이 노출되거나 분실되면, 기기가 멀쩡해도 자산 보안은 무너질 수 있다. 반대로 시드 문구를 안전하게 보관하지 못하면 본인이 영구적으로 접근권을 잃을 가능성도 있다. 잃어버린 비트코인 규모가 230만~370만 BTC에 이를 수 있다는 추정치는, 가상자산 보안의 최대 리스크가 기술적 해킹만은 아니라는 점을 보여준다.

물리적 위협도 커졌다…‘렌치 공격’ 급증

최근에는 온라인 해킹보다 오프라인 강압이 더 직접적인 위협으로 떠오르고 있다. 체이널리시스는 2025년 중반 보고서에서 이른바 ‘렌치 공격’이 역대 최고 수준으로 증가하는 흐름을 보이고 있으며, 신고되지 않은 사례까지 감안하면 실제 건수는 더 많을 수 있다고 설명했다. 제임슨 롭의 공개 데이터베이스 역시 2025년에 전 세계 각지에서 암호화폐 보유자를 겨냥한 납치, 협박, 강도 사건이 잇따랐음을 보여준다. 즉, 시드 구문이 종이에 적혀 있든 금속판에 새겨져 있든, 물리적으로 강요당하는 상황에서는 기존 자기보관 전략만으로 한계가 드러날 수 있다는 뜻이다.

하드웨어 월렛도 절대 무적은 아니다

하드웨어 월렛이 강력한 방어 수단인 것은 맞지만, 기기 자체가 영원히 공격 불가능한 것은 아니다. 보안 연구자 조 그랜드는 과거 트레저 원(Trezor One)의 취약점을 이용해 잠긴 지갑에서 자산 접근을 복구한 바 있다. 이 사례는 일반 사용자가 당장 똑같은 공격을 걱정해야 한다는 뜻보다는, 물리적 접근과 전문 기술이 결합될 경우 일부 기기에서 예상 밖의 취약점이 현실화될 수 있음을 보여주는 사례로 받아들여진다.

공급망 공격과 ‘정상처럼 보이는 서명’도 새로운 리스크

최근 대형 사고들은 사용자가 직접 키를 유출하지 않아도 피해가 발생할 수 있음을 보여준다. 2025년 바이비트 해킹에서는 약 15억 달러 규모의 이더리움 계열 자산이 탈취됐고, 조사 기관들은 공격자가 정상처럼 보이는 화면과 승인 흐름을 악용해 서명을 유도했다고 설명했다. NCC Group은 악성 자바스크립트가 Safe 지갑 인터페이스에 주입된 정황을 분석했고, 체이널리시스 역시 바이비트 측이 악성 거래에 서명하도록 속았다고 정리했다. 다시 말해, 사용자가 하드웨어 기기를 들고 있더라도 화면 검증과 승인 절차를 충분히 확인하지 않으면 피해가 발생할 수 있다는 얘기다.

대안으로 떠오르는 멀티시그와 소셜 리커버리

이런 배경에서 업계는 단일 시드 구문 중심 구조를 넘어서는 지갑 설계에 주목하고 있다. 비탈릭 부테린은 오래전부터 소셜 리커버리 월렛의 확산 필요성을 강조해 왔고, 2024년에도 이상적인 지갑의 조건으로 보안성과 복구성, 검증 가능성을 함께 갖춘 구조를 제시했다. 계정 추상화(Account Abstraction) 역시 단일 키 기반 지갑보다 더 다양한 보안 규칙을 적용할 수 있게 해주는 방향으로 논의되고 있다. 핵심은 하나의 문구나 하나의 디바이스에 모든 권한을 몰아넣지 않는 것이다.

기관과 고액 자산가는 이미 ‘분산형 보관’으로 이동 중

실제 시장에서는 멀티시그 기반 공동 보관 모델을 채택하는 사례가 늘고 있다. 비트코인 금융 서비스 업체 언체인드는 자사 모델을 ‘협업형 보관’으로 설명하고 있으며, 2025년 회사 관련 발표에서는 120억 달러가 넘는 비트코인 자산을 보호하고 있다고 밝혔다. 이는 업계가 단일 시드 구문 보관보다 여러 개의 키를 분산해 관리하는 방식에 더 무게를 두기 시작했다는 신호로 읽힌다.

‘콜드월렛이면 끝’이라는 믿음, 이제는 수정이 필요하다

결국 지금의 가상자산 보안 논쟁은 하드웨어 월렛이 안전하냐, 아니냐의 문제가 아니다. 더 정확히 말하면 하드웨어 월렛은 여전히 중요한 도구이지만, 그것만으로 충분하다고 보기 어려워졌다는 데 가깝다. 개인 키 분실, 물리적 강압, 공급망 공격, 악성 인터페이스 조작까지 위협의 형태가 다양해진 만큼, 앞으로의 보안 전략은 단일 시드 구문 의존에서 벗어나 다중 승인, 복구 설계, 거래 검증 절차 강화로 이동할 가능성이 크다. 가상자산 보관의 기준도 이제는 ‘어디에 저장하느냐’보다 ‘실패 지점을 몇 개로 나누었느냐’가 더 중요해지고 있다.