BIP39: 비트코인 지갑 백업용 니모닉 시드 단어
약 370만 개의 비트코인이 아무도 열 수 없는 지갑에 보관되어 있습니다. 이는 지금까지 발행된 모든 비트코인의 약 5분의 1에 해당합니다. 2020년 체이나리시스(Chainalysis) 연구에서 이 수치를 추정했으며, 분석가들은 2026년에도 이 수치를 계속해서 인용하고 있는데, 그 이유는 이 수치가 거의 변동이 없기 때문입니다. 이러한 비트코인의 대부분은 시드 구문을 분실한 일반 사용자들의 것입니다. 같은 문제의 또 다른 예로, 체이나리시스는 2025년에 15만 8천 건의 개인 지갑 해킹 사건을 집계했으며, 이로 인해 약 8만 명의 피해자로부터 7억 1천 3백만 달러가 유출될 것으로 예상했습니다. 두 가지 유형의 실패 사례가 있지만, 이 모든 문제의 중심에는 하나의 문서가 있습니다. 바로 12개 또는 24개의 단어로 이루어진 시드 구문의 의미를 결정하는 BIP39 사양입니다.
2026년에 BIP39 백업이 중요한 이유
새로운 지갑이 당신에게 열두 단어가 적힌 종이를 건네주며 안전한 곳에 적어두라고 합니다. 이것이 바로 BIP39 니모닉 시드 구문입니다. 잘 관리하면 가장 안전한 백업이 되지만, 소홀히 다루면 세상에서 가장 쉽게 잃어버릴 수 있는 것이 됩니다. 호환되는 지갑이나 기기에 이 시드 구문을 입력하면 자금을 되찾을 수 있지만, 잃어버리면 고객 지원 센터도 없습니다.
두 결과의 규모는 이제 측정 가능합니다. 370만 BTC라는 수치는 초기 지갑에 최소 5년 동안 사용되지 않은 코인들을 기반으로 산출되었으며, 거의 변동이 없습니다. 도난 측면에서 보면, 체이나리시스(Chainalysis)의 2025년 12월 해킹 보고서에 따르면 한 해 동안 34억 달러가 도난당했으며, 그중 7억 1,300만 달러는 15만 8천 건의 개인 지갑 해킹 사건에서 발생했습니다. 같은 보고서에 따르면 개인 지갑 손실의 43.8%는 개인 키 유출, 즉 시드 구문 도난으로 인한 것입니다.
모든 최신 지갑은 BIP39를 구현합니다. Ledger, Trezor, MetaMask, Phantom, Trust Wallet, Coinbase Wallet, Exodus, Electrum, Atomic 등 모두 마찬가지입니다. 상호 운용성은 이 표준의 핵심입니다. 한 지갑에서 생성된 시드 구문은 다른 지갑에서도 복구할 수 있어야 하기 때문입니다. BIP39의 수학적, 운영적 원리를 이해하는 것이 특정 브랜드의 복구 절차를 암기하는 것보다 훨씬 중요합니다.
BIP39 니모닉 시드 구문 및 단어 목록이란 무엇인가?
BIP39 니모닉은 복구 구문, 니모닉 구문, 니모닉 코드, 니모닉 문장, 지갑 시드 등 다양한 이름으로 불립니다. 모두 같은 것을 의미합니다. 암호화 키와 동일한 정보를 인코딩하는 단어들의 문자열이지만, 잘못 입력하기가 훨씬 어렵습니다. 2,048개의 영어 단어로 구성된 고정된 목록에서 12개 또는 24개의 단어가 사용됩니다. "Abandon"이 1번째 위치에 있고, "Zoo"가 2,048번째 위치에 있습니다. 1,532번째 위치에는 비트코인의 익명 창시자를 기리는 의미로 "Satoshi"가 숨겨져 있습니다.
마렉 팔라티누스와 파볼 루스낙(슬러시 풀, 이후 사토시랩과 트레저 소속)은 에런 부아신, 션 보위와 함께 2013년 9월 10일에 비트코인 개선 제안(BIP) 39를 작성했습니다. BIP 39는 BIP 저장소에서 공식적으로 "최종" 상태로 승격되지는 않았지만, 약 2년 만에 사실상 업계 표준으로 자리 잡았습니다. 현재 공식 단어 목록은 영어, 일본어, 한국어, 중국어 간체, 중국어 번체, 스페인어, 프랑스어, 이탈리아어, 체코어, 포르투갈어 등 10개이며, 각각 정확히 2,048개의 단어로 구성되어 있습니다.
이 단어 목록은 의도적으로 오류를 용인하도록 설계되었습니다. 모든 항목은 처음 네 글자로 고유하게 식별되므로 "abandon"과 "ability"는 한눈에 봐도 혼동될 일이 없으며, 뒤에 오는 오타도 구문을 깨뜨리지 않습니다. 저자들은 네 글자 접두사를 공유하는 단어 쌍, 너무 드물거나 고풍스러운 단어, 그리고 명백한 동음이의어를 제외했습니다.
| 단어 목록 위치 | 단어 | 메모 |
|---|---|---|
| #1 | 버리다 | 영어 목록의 첫 번째 단어 |
| #1,532 | 사토시 | 비트코인의 익명 창시자에게 경의를 표합니다 |
| #2,048 | 동물원 | 영어 목록의 마지막 단어 |
해당 16진수 키와 비교했을 때, 니모닉은 짧고 스캔하기 쉬우며 한 장의 종이에 적을 수 있습니다. 256비트 개인 키는 `4a533d1654b17deecf2a6...`와 같은 형태이며, 동일한 키를 BIP39 24단어 시드로 인코딩하면 24개의 일반적인 영어 단어로 읽힙니다. 둘 다 동일한 엔트로피를 가지고 있습니다. 하지만 둘 중 하나만 전화 통화 중에 상대방에게 미친 사람처럼 들리지 않고 소리 내어 읽어줄 수 있습니다.
니모닉 생성: BIP39는 어떻게 코드를 구축하는가
생성 과정은 간단하지만 단계별로 설명할 가치가 있습니다. 1단계. 암호학적으로 안전한 난수 생성기에서 128비트의 엔트로피를 추출합니다(24워드 버전을 사용하려면 256비트). 2단계. 추출한 엔트로피에 SHA-256 해시 함수를 적용합니다. 해시 값의 처음 4비트(256비트의 경우 8비트)를 가져와 엔트로피에 더합니다. 이것이 체크섬입니다. 이제 총 132비트, 즉 264비트의 값을 얻게 됩니다.
세 번째 단계는 기계적인 과정입니다. 비트를 11비트 단위로 나눕니다. 각 단위는 0에서 2,047까지의 숫자로, 워드 목록에 직접 대응됩니다. 132를 11로 나누면 12개의 워드가 되고, 264를 11로 나누면 24개의 워드가 됩니다. 체크섬은 나중에 중요한 역할을 합니다. 복원 시 지갑은 SHA-256을 다시 계산하고 검사에 실패하는 항목은 거부합니다. 따라서 마지막 단어에 오타가 있으면 빈 지갑으로 조용히 복원되는 대신 즉시 오류가 드러납니다.
무차별 대입 공격의 가능성은 아무도 제대로 설명하지 않는 부분입니다. 12단어 구문은 체크섬 제약 조건을 고려했을 때 2,048^12 ≈ 5.4 × 10^39개의 유효한 조합을 가집니다. 24단어 구문은 2,048^24 ≈ 3 × 10^79개의 조합을 가집니다. 가상의 공격자가 초당 10^18개의 키를 추측한다고 가정해 보세요. 128비트 구문의 경우에도 약 10경 년이 걸립니다. 참고로, 관측 가능한 우주에는 약 10^80개의 원자가 존재합니다. 2025년까지 공개된 어떤 공격도 BIP39 니모닉을 무차별 대입 공격으로 해독한 적이 없습니다. 기록된 모든 데이터 손실은 구문 도용으로 인한 것이지, 추측으로 인한 것은 아닙니다.
단어가 실제로 무언가를 해제하기 전에 한 단계가 더 남았습니다. 니모닉은 PBKDF2-HMAC-SHA512 알고리즘에 2,048번 반복 입력되고, 선택적으로 암호를 연결한 "mnemonic"이라는 문자열이 솔트로 추가됩니다. 512비트 결과가 바로 시드입니다. 이 시드는 바로 상위 계층인 BIP32에서 지갑에 있는 모든 실제 개인 키를 생성하는 데 사용됩니다.
니모닉, 시드, 키 — 세 가지 서로 다른 요소, 세 가지 계층. 이러한 분리 때문에 동일한 12개의 단어로 구성된 암호문이라도 완전히 다른 지갑을 생성할 수 있습니다. 암호문이 바뀌면 솔트도 바뀌고, 시드도 바뀌고, 모든 키가 바뀝니다.
BIP39, BIP32, BIP44: 각 계층 구조의 차이점
초보자라면 누구나 겪는 공포의 순간이 바로 여기입니다. 12개의 정확한 단어를 다른 지갑에 복원했는데, 새 지갑의 잔액이 0으로 표시됩니다. 단어 자체는 문제가 없었지만, 생성 과정이 잘못되었던 것입니다. BIP39, BIP32, BIP44는 시드 구문을 실제 주소로 변환하는 세 가지 비트코인 개선 제안(BIP)인데, 두 소프트웨어가 생성 과정에 대해 의견이 일치하지 않으면 잘못된 분기를 참조하게 됩니다.
| 기준 | 년도 | 직업 |
|---|---|---|
| 비이프32 | 2012 | 계층적 결정론적 지갑 — 하나의 시드 값을 키 트리로 변환 |
| 비이프39 | 2013 | 씨앗의 기억 부호화 |
| 비이프44 | 2014 | 표준 유도 경로: m/44'/coin'/account'/change/index |
지갑이 표준 경로가 아닌 경우(일부 구형 또는 하드웨어 전용 도구에서 사용됨), 다른 지갑에서 복원하면 경로를 수동으로 설정하기 전까지 아무것도 표시되지 않습니다. 단어 자체가 손실된 것은 아닙니다. 주소 목록이 동일한 트리의 다른 분기에서 읽어오는 것일 뿐입니다. 당황하기 전에 알아두면 좋습니다.
12단어 vs 24단어 및 암호문
12단어 대 24단어 논쟁은 대체로 학술적인 논쟁입니다. 12단어는 128비트의 엔트로피를, 24단어는 256비트의 엔트로피를 제공합니다. 두 수치 모두 현실적으로 가능한 무차별 대입 공격 범위를 훨씬 벗어나며, 128비트 버전은 미국 정부의 최고 기밀 데이터를 보호하는 AES 표준입니다. 24단어는 미래의 양자 컴퓨팅 공격으로부터 탐색 공간을 보호하지만, 12단어는 현재 모델로는 아직 해독이 불가능합니다.
진정으로 흥미로운 제어 요소는 "25번째 단어"라고도 불리는 암호문입니다. 사용자가 원하는 길이의 문자열을 PBKDF2 솔트에 혼합한 후 시드 값을 생성합니다. 암호문이 다르면 지갑도 달라지지만, 사용되는 단어는 동일합니다. 이는 BIP39만의 고유한 특징인 '그럴듯한 부인'을 가능하게 합니다. 모든 가능한 암호문이 유효한 (비어 있는) 지갑을 생성하기 때문에 암호문의 존재를 증명할 방법이 없습니다. 강압에 처한 사용자는 실제 자산은 자신만 기억하는 암호문 뒤에 숨겨둔 채 소액의 자금이 들어 있는 "미끼" 지갑에 12개의 단어를 넘겨줄 수 있습니다. 함정은 대칭적입니다. 암호문을 잃어버리면 해당 지갑은 영구적으로 사라지며, 복구도, 고객 지원도 받을 수 없습니다.
실제 BIP39 시드 구문 도용: 2023-2025년의 교훈
수학적 원리가 아무리 완벽하더라도, 그 주변의 인간관계는 그렇지 않다. 지난 3년은 실패의 전형적인 사례들을 보여주는 교과서와 같았다.
2023년 6월, 아토믹 월렛에서 최소 5,500개 사용자 계정에서 1억 달러 이상이 인출되는 사건이 발생했습니다. 엘립틱은 이 공격의 배후로 북한의 라자루스 그룹을 지목했습니다. 아토믹 측은 전체 사용자 500만 명 중 0.1% 미만이 피해를 입었다고 주장했습니다. 정확한 원인은 아직 공식적으로 확인되지 않았지만, 기기에 저장된 시드 데이터가 유출된 것은 분명해 보입니다.
2023년 12월 14일, Ledger의 "Connect Kit" npm 패키지가 전 직원의 피싱 토큰을 이용해 약 5시간 동안 탈취당했습니다. Angel Drainer 그룹의 악성 코드가 1.1.5~1.1.7 버전에 포함되어 여러 EVM dApp에 조용히 주입되었습니다. Ledger가 해당 패키지를 제거하기 전까지 약 60만 달러가 유출되었습니다. 이는 Ledger 하드웨어의 결함이 아니라, JavaScript 종속성으로 인해 발생한 공급망 침해였으며, 사용자 지갑에 다른 계층에서 영향을 미쳤습니다.
산업 규모의 지갑 탈취 공격은 2024년에도 계속되었습니다. 스캠 스니퍼(Scam Sniffer)의 2025년 1월 보고서에 따르면 탈취 스크립트를 통해 4억 9,400만 달러가 도난당했으며, 332,000개의 피해자 주소가 영향을 받았습니다. 그중 인페르노 드레이너(Inferno Drainer)가 40~45%, 핑크 드레이너(Pink Drainer)가 28%의 시장 점유율을 차지한 후 시장에서 철수했습니다. 이러한 피해자 중 상당수는 메타마스크(MetaMask)나 팬텀(Phantom)과 유사한 가짜 "지갑 인증" 팝업에 시드 구문을 자발적으로 입력했습니다.
가장 개인적인 위협은 클립보드 악성코드입니다. 카스퍼스키는 2025년 2월 "GitVenom" 캠페인을 공개했는데, 가짜 GitHub 저장소를 통해 유포된 클립보드 교체 코드로 약 5 BTC(약 48만 5천 달러)가 유출되었으며, 피해자는 브라질, 터키, 러시아에 집중되었습니다. 같은 해 가짜 Proxifier 설치 프로그램에 숨겨 배포된 또 다른 ClipBanker 트로이목마는 BTC, ETH, XMR, DOGE, SOL, TRX, XRP, XTZ 등 다양한 암호화폐를 사용하는 2,000명 이상의 카스퍼스키 사용자를 감염시켰습니다. 이 악성코드는 붙여넣기 과정에서 복사한 주소를 공격자가 제어하는 주소로 조용히 바꿔치기합니다.
체인애널리시스는 개인 지갑 관련 손실액이 연말 기준 15만 8천 건의 사건에서 7억 1천 3백만 달러에 달하며, 이 중 43.8%가 개인 키 유출로 인한 것이라고 밝혔습니다. 이러한 도난은 대부분 시드 구문 도용입니다.
안전한 BIP39 비트코인 지갑 백업: 종이, 금속, 샤미르
실질적인 방어는 대부분 물리적인 것입니다. 종이는 잉크와 잘 보관된 서류함에 오래도록 남아있지만, 약 233°C에서 발화하며, 일반적인 가정 화재는 600~1,100°C에 달합니다. 303/304 등급 스테인리스강으로 제작된 크립토스틸 캡슐은 독립적인 기관에서 1,350°C까지 내열성 테스트를 거쳤으며, 관련 데이터는 판독 가능합니다. 빌포들(Billfodl)은 공급업체 자료에 따르면 약 1,400°C까지 견딜 수 있는 해양 등급 스테인리스강을 사용합니다.
| 방법 | 열 | 물 | 메모 |
|---|---|---|---|
| 종이 | 연소 온도 약 233°C | 잉크 번짐 | 가장 저렴하고, 교체 가능함 |
| 크립토스틸 캡슐 | 1,350°C에서도 견딥니다 | 예 | 독립적인 열 테스트 |
| 빌포들 | 정격 내열온도 1,400°C | 예 | 판매자 평가 |
| SLIP-39 (샤미르) | 기질에 따라 다릅니다 | 상황에 따라 다릅니다 | 종자를 N분의 M 지분으로 분할합니다. |
물리적 매체 외에도 두 가지 구조적 선택이 중요합니다. 화재나 홍수로 한 위치가 완전히 파괴될 경우를 대비하여 지리적으로 분리된 두 개의 사본을 보관해야 합니다. 또한 트레저(Trezor)가 2019년 8월 모델 T에 탑재하여 출시한 샤미르(Shamir)의 SLIP-39 비밀 공유 방식을 고려해야 합니다. SLIP-39는 시드(seed)를 여러 개의 20단어 공유본으로 분할하며, 이 중 M개(또는 N개)만 있어도 복구가 가능합니다. 반면 카사(Casa) 팀은 샤미르 방식을 명시적으로 거부하고 지리적 다중 서명(geographic multisig) 복구 모델을 채택했습니다. 두 방식 모두 일반 BIP39가 본질적으로 가지고 있는 단일 장애점 문제를 해결하도록 설계되었습니다.
2026년 BIP39를 지원하는 암호화폐 지갑
거의 모든 것이 BIP39를 지원하지만, 상호 운용성에는 한계가 있습니다. 복원이 깔끔하게 이루어질 것이라고 가정하기 전에 어떤 지갑이 어떤 파생 경로를 사용하는지 알아두는 것이 좋습니다.
| 지갑 | 쇠사슬 | 기본 경로 |
|---|---|---|
| 레저 나노 | 비트코인, 이더리움, 5,500개 이상의 자산 | BIP44 m/44'/코인'/0' |
| 트레조르 모델 T | 비트코인, 이더리움, 많은 것들 | BIP44 / SLIP-39 옵션 |
| 메타마스크 | EVM | m/44'/60'/0'/0/인덱스 |
| 환상 | 솔라나, EVM | SOL의 경우 m/44'/501'/n'/0' |
| 코인베이스 지갑 | BTC, EVM, SOL | 표준 BIP44 |
BIP39를 넘어서: 패스키, MPC 및 ERC-4337
2025년은 BIP39를 대체할 만한 믿을 만한 주류 대안이 실제로 출시된 첫 해였습니다. ERC-4337 및 WebAuthn 패스키를 기반으로 구축된 코인베이스 스마트 월렛은 8월에 계정 수가 백만 개를 돌파했습니다. 그중 27만 개는 기본 앱 출시 기간이었던 8월 16일 단 하루 만에 추가되었습니다. 사용자들은 이미 다른 모든 곳에서 사용하고 있는 얼굴 인식 또는 지문 인식으로 로그인하며, 시드 구문조차 볼 필요가 없습니다.
ERC-4337 스마트 계정은 현재 이더리움 및 레이어 2 네트워크 전반에 걸쳐 4천만 개 이상 배포되었습니다. 누적 사용자 작업(UserOperations)은 1억 건을 돌파했는데, 이는 2023년 대비 약 10배 증가한 수치입니다. 2025년 5월 Pectra 업그레이드와 함께 활성화된 EIP-7702는 첫 주 만에 11,000건의 EOA(Ethereum Ownership Account)에서 스마트 계정으로의 인증을 등록했습니다. EIP-7702 설계는 기존 키를 폐기하지 않고도 일반 지갑이 필요에 따라 스마트 계정처럼 작동할 수 있도록 합니다. 인프라 측면에서 임베디드 지갑 제공업체인 Privy(7,500만 개 지갑), Dynamic(5,000만 개 이상), 그리고 Web3Auth(현재 MetaMask Embedded, 월간 활성 사용자 2,000만 명)는 모두 다자간 연산 또는 임계값 서명을 사용합니다. 최종 사용자는 BIP39 시드 구문을 보유하지 않습니다.
이 모든 것이 BIP39가 사라지고 있다는 것을 의미하는 것은 아닙니다. 이 표준은 이미 너무나 확고하게 자리 잡았습니다. 레저는 2025년에 8백만 번째 기기를 출하했고, 판매량은 31% 증가했습니다. 실제로 일어나고 있는 일은 명확한 양분입니다. 고급 사용자층은 BIP39와 하드웨어 지갑, 암호를 사용하는 방식을 표준으로 유지합니다. 반면 일반 사용자층은 암호에 대해 전혀 생각하고 싶지 않은 사람들을 위해 설계된 패스키와 계정 추상화 방식으로 조용히 대체되고 있습니다.
BIP39 종자를 보유한 모든 사람을 위한 간단한 규칙
다음 다섯 가지 규칙을 지키면 대부분의 피해를 예방할 수 있습니다. 인터넷에 연결된 텍스트 입력란에 해당 문구를 절대 입력하지 마세요. 피싱 팝업은 붙여넣기한 내용을 노리는 경우가 많습니다. 문구를 사진으로 찍는 것도 절대 금물입니다. 사진은 사용자가 완전히 제어할 수 없는 클라우드에 저장되기 때문입니다. 장기간 보관할 물건은 종이보다 금속 지갑이 훨씬 안전합니다. 지갑을 신뢰하기 전에 다른 지갑에서 복원 기능을 테스트해 보세요. 암호를 사용하는 경우, 물리적으로 다른 곳에 보관하세요. 동일한 위협 유형이라도 다른 장소에 보관하고, 절대로 같은 서랍에 두지 마세요.
