암호화폐 지갑 주소 안내: 내 지갑 주소를 안전하게 찾는 방법
지갑 주소는 암호화폐에서 도로명 주소와 가장 유사한 개념입니다. 네트워크에 코인을 저장할 위치를 알려주는 역할을 하며, 누군가에게 돈을 받을 때마다 반드시 제공해야 하는 정보입니다. 이론상으로는 간단해 보이지만 실제로는 매우 위험합니다. 글자 하나라도 잘못 입력하거나, 잘못된 클립보드 정보를 신뢰하거나, 악성코드가 저장해 둔 주소를 입력하면 돈이 순식간에 사라질 수 있습니다. 암호화폐 거래는 되돌릴 수 없습니다. 은행에서 상대방에게 연락하여 환불을 요청할 수도 없습니다. 잘못된 지갑 주소는 거의 모든 경우에 되돌릴 수 없기 때문에, 암호화폐를 처음 접하는 사람이라면 지갑 주소에 대한 가이드를 반드시 읽어봐야 합니다.
이 가이드는 예방 가능한 실수로 한 달 월급을 날리지 않고 암호화폐를 송수신하려는 사람들을 위해 작성되었습니다. 블록체인 상에서 지갑 주소가 고유 식별자라는 점, 어떤 형식의 주소가 있는지, 가장 일반적인 지갑 앱에서 내 지갑 주소를 찾는 방법, 그리고 2026년에도 자금을 안전하게 보호할 수 있는 구체적인 보안 습관에 대해 다룹니다. 여기에 제시된 모든 규칙은 실제로 많은 사람들이 이를 무시했다가 큰 손실을 입었기 때문에 만들어졌습니다. 체이나리시스(Chainalysis)에 따르면 개인 지갑 해킹으로 인한 암호화폐 도난 비중은 2022년 7.3%에서 2024년 44%로 급증할 것으로 예상됩니다. 이제 공격자들은 거래소보다 일반 지갑을 훨씬 더 많이 노리고 있으며, 지갑 주소 오류가 바로 그 침입 경로입니다.
지갑 주소란 무엇이며 어떻게 작동하는가
전문 용어는 잊어버리세요. 암호화폐 지갑 주소는 고유한 문자열, 즉 암호화폐 자산을 여기에 넣어달라는 의미를 가진 문자들의 조합입니다. 지갑 거래 내역이 길다는 것은 해당 주소로 오랫동안 자금을 받아왔다는 뜻일 뿐입니다. 블록체인 네트워크상의 누구든 지갑 주소로 자금을 보낼 수 있습니다. 개인 키를 가진 사람만이 해당 코인을 인출할 수 있으며, 개인 키를 가진 사람만이 사용자의 잔액에 접근할 수 있고, 다른 누구도 접근할 수 없습니다. 주소 자체는 생성된 모든 주소와 다른 고유한 문자열이며, 이러한 고유성 덕분에 네트워크는 결제를 정확하게 처리할 수 있습니다.
은행 계좌를 떠올려 보세요. 계좌 번호는 공개 키이고, 지갑 주소는 중요한 모든 면에서 은행 계좌 번호와 거의 똑같이 작동합니다. 청구서, 수표, 모든 결제 수단에 자유롭게 기재할 수 있죠. 전혀 문제될 게 없습니다. 이제 PIN 번호를 생각해 보세요. 누구에게도 절대 알려주지 않겠죠? 지갑 주소는 기본적으로 공개 키와 개인 키의 조합과 같습니다. 다만 좀 더 복잡한 계산이 필요할 뿐이죠. 공개 주소는 계좌 번호와 같고, 개인 키는 PIN 번호와 같습니다. 공개 주소는 공유해도 괜찮지만, 개인 키는 마치 전 재산처럼 소중히 여겨야 합니다. 누군가에게 결제를 받아야 할 때만 지갑 주소를 공유하고, 어떤 이유로든 절대 개인 키를 공유하지 마세요.
나머지 내용을 이해하는 데 도움이 되도록 잠깐 수학적인 설명을 해보겠습니다. 개인 키는 256비트 길이의 거대한 난수입니다. 만약 이 난수를 일일이 입력해야 한다면 오후 내내 걸릴 겁니다. 이 난수를 타원 곡선(비트코인의 경우 secp256k1, 솔라나의 경우 Ed25519 등 자세한 설명은 생략하겠습니다)에 곱하면 공개 키가 나옵니다. 이 공개 키를 해시하고, 길이를 줄이고, 체크섬과 접두사를 앞에 붙이면 지갑 주소가 됩니다. 전체 블록체인은 단방향으로만 연결됩니다. 주소에서 개인 키를 절대 복구할 수 없습니다. 이것이 바로 핵심입니다.
블록체인은 어떨까요? 솔직히 말해서 당신이 누구인지 전혀 신경 쓰지 않습니다. 이름 입력란도 없고, 이메일 주소란도 없고, 여권 번호도 없습니다. 모든 거래는 금액과 타임스탬프와 함께 두 주소 간의 단순한 이동으로 블록체인에 기록됩니다. 당신의 주소는 익명성이 아니라 가명입니다. 모든 거래 내역이 영구적으로 공개되기 때문입니다. 하지만 당신의 실명과 연결되어 있지도 않습니다. "그 0x 문자열"과 "당신, 그 사람" 사이의 연결 고리는 보통 어디에서 오는 걸까요? 두 가지 경우가 있습니다. 코인베이스나 바이낸스에서 작성한 KYC 양식이거나, 팔로워에게 주소를 트윗하고 잊어버린 경우입니다. 블록체인 자체는 누구에게도 당신의 정보를 알려주지 않습니다. 블록체인 주소를 안전하게 다루려면 지갑 주소가 어떻게 작동하는지 이해하는 것이 중요합니다. 주소는 기본적으로 공개되어 있지만, 주의를 기울이면 비공개로 유지됩니다.
블록체인 전반에 걸친 지갑 주소 이해하기
각 체인은 고유한 방식으로 주소를 작성합니다. 그리고 서로 다른 지갑 주소 형식은 절대 호환되지 않습니다. 이더리움 지갑 주소로는 비트코인을 보낼 수 없고, 솔라나 주소로는 트론에서 보낸 USDT를 보낼 수 없습니다. 잘못된 체인의 지갑으로 보내면 보통 자금을 잃게 됩니다. 되돌릴 방법도 없습니다. 이 복잡한 상황에서 가장 유용한 것은 접두사입니다. 처음 몇 글자만 봐도 해당 주소가 어떤 체인에 속하는지 알 수 있습니다. `bc1`, `0x`, `T`, `r`, `L`. 이 다섯 가지 접두사를 익히면 대부분의 잘못된 체인 전송 실수를 사전에 방지할 수 있습니다. 비트코인 주소는 1/3/bc1 계열을 사용하고, 이더리움 주소는 모든 EVM 체인을 사용합니다. 나머지 체인들은 각각 고유한 체인에 속합니다.
그렇다면 왜 이렇게 복잡한 걸까요? 간단히 말해서, 아무도 조율하지 않았기 때문입니다. 각 블록체인은 마음대로 암호화 규칙을 정해왔습니다. 비트코인은 Base58Check로 시작해서 Bech32를 추가했고, Taproot에서는 Bech32m을 사용했습니다. 이더리움은 일반 16진수에 대소문자를 섞은 체크섬을 덧붙였습니다. 솔라나는 Base58을 사용했지만 비트코인처럼 마지막에 체크섬 바이트를 추가하지는 않았습니다. 근본적으로 암호화 방식은 어디에서나 꽤 비슷해 보입니다. 타원 곡선, 해시 함수, 몇 가지 기본적인 구성 요소들이 공통적으로 사용됩니다. 하지만 이러한 블록들을 감싸는 패키징 방식에서 각 체인은 제각각의 방식을 택했습니다. 지갑 소프트웨어는 이러한 모든 것을 사용자에게 숨기려고 노력합니다. 대부분은 잘 작동하지만, 예외적인 경우도 있습니다.
많은 사람들이 놀라워하는 사실이 하나 있습니다. 하나의 시드 구문으로 수십 개의 블록체인에 걸쳐 수십 개의 지갑을 동시에 실행할 수 있다는 것입니다. 최신 암호화폐 지갑은 사용자가 보유한 모든 암호화폐 종류에 대해 고유한 지갑 주소를 생성하며, 이 모든 주소는 설정 시 입력한 12개 또는 24개의 단어로 연결됩니다. BTC, ETH, SOL을 지원하는 멀티체인 지갑을 열어보면 완전히 다른 세 개의 문자열이 표시됩니다. 각각 별도의 원장에 기록되어 있죠. 한 블록체인에서 코인을 이동해도 다른 블록체인에는 아무런 영향을 미치지 않습니다. 어떻게 이런 일이 가능할까요? 바로 BIP32, BIP39, BIP44와 같은 몇 가지 표준 덕분입니다. 이 중 BIP44는 파생 경로를 정의하여 하나의 구문이 비트코인 지갑 주소, 이더리움 지갑 주소, 솔라나 주소 등 다양한 블록체인에 깔끔하게 매핑되도록 합니다. 정말 편리하죠. 하지만 동시에 치명적인 단일 실패 지점이기도 합니다. 이 구문을 잃어버리면 그 이후의 모든 데이터도 함께 사라집니다.
2026년 암호화폐 지갑 주소 형식 종류
다음은 실제로 접하게 될 주요 지갑 주소 형식입니다. 접두사를 한눈에 알아보는 법을 익히면 생각보다 많은 실수를 사전에 방지할 수 있습니다.
| 체인 | 체재 | 접두사 | 길이 | 메모 |
|---|---|---|---|---|
| 비트코인 | 레거시 P2PKH | `1` | 26~34세 | 가장 오래된 형식이지만 여전히 유효합니다. |
| 비트코인 | 피2쉬 | `3` | 34 | 스크립트 해시(종종 멀티시그) |
| 비트코인 | SegWit Bech32 | `bc1q` | 42 | 더 낮은 수수료, 소문자만 사용 |
| 비트코인 | 직근 | `bc1p` | 62 | 최신 형식, 개인정보 보호 강화 |
| 이더리움 | EVM 16진수 | `0x` | 42 | Polygon, Arbitrum, Base에서 동일한 형식 |
| 솔라나 | 베이스58 | `(접두사 없음)` | 32~44세 | 대소문자 구분 |
| 트론 | 베이스58 체크 | `T` | 34 | TRC20 USDT에 사용됨 |
| 라이트코인 | 레거시 / 베크32 | `L`, `M`, `ltc1` | 26~62세 | 비트코인과 유사하게 |
| XRP(리플) | 베이스58 | `r` | 25~35세 | 거래소에 목적지 태그가 필요합니다. |
| 도지코인 | 유산 | `D` | 34 | 비트코인 포크 상속 |
비트코인은 좀 복잡합니다. 비트코인 지갑 주소는 네 가지 종류가 있는데, 네트워크가 기존 형식을 유지하면서 새로운 형식을 계속 추가해왔기 때문입니다. 1로 시작하는 기존 주소는 2009년에 도입된 최초의 공개키 해시 기반 주소 형식입니다. 여전히 유효하고 작동하지만, 여전히 가장 느리고 비용이 많이 드는 주소입니다. 3으로 시작하는 주소는 스크립트 해시 기반 주소로, 멀티시그 및 기타 스크립트 기반 공격을 지원하기 위해 2012년에 추가되었습니다. bc1q로 시작하는 SegWit Bech32 주소는 2017년 BIP 173을 통해 추가되었습니다. bc1p로 시작하는 Taproot Bech32m 주소는 2021년 BIP 350을 통해 추가되었습니다. BIP 350이 왜 필요했을까요? Bech32에 특이한 문제가 있었기 때문입니다. 주소 끝에 붙는 p 문자 때문에 공격자가 q 문자를 몰래 삽입하거나 제거할 수 있었습니다. 화폐 주소 형식에서 이런 버그는 절대 용납할 수 없는 문제입니다. 네 가지 유형 모두 현재 유효하며, 각각 요금이 다르고, 일부 기존 서비스는 최신 서비스로 데이터를 전송할 수 없다는 점도 위험 요소입니다.
이더리움은 더 간단한 방식을 택했습니다. 단 하나의 형식만 사용하죠. 0x 뒤에 40개의 16진수 문자가 붙는 형식입니다. 이게 전부입니다. 동일한 0x 문자열은 이더리움, 폴리곤, 아비트럼, 베이스, 옵티미즘 등 EVM 기반 체인에서 모두 사용 가능합니다. 게다가 이더리움은 EIP-55에 정의된 대소문자 혼합 체크섬을 사용합니다. 이 체크섬은 소문자 주소의 케칵-256 해시값을 기반으로 특정 문자를 대문자로 변환합니다. 문자를 하나라도 잘못 입력했더라도 체크섬이 대부분 잡아냅니다. 사양에 따르면 무작위로 입력된 단일 문자 오타의 오류율은 약 99.9753%에 달하는데, 꽤 높은 수치입니다. (저도 이 수치를 찾아봤습니다.) 하지만 함정이 있습니다. 동일한 0x 주소가 모든 EVM 체인에서 유효하기 때문에 이더리움 메인넷에서 해당 0x 주소로 USDC를 보내고 폴리곤에서 수신될 거라고 기대하는 것은 매우 위험합니다. 절대 그렇지 않습니다. 각 체인은 고유한 원장을 가지고 있으며, USDC 계약의 사본도 각각 다릅니다. 둘은 서로 소통하지 않습니다. BEP20과 ERC20을 혼동하는 것은 거래소 지원 티켓에서 가장 흔하게 발생하는 문제 중 하나입니다. 더 이상 설명이 필요 없습니다.
모든 지갑 앱에서 내 지갑 주소를 찾는 방법
이건 실제보다 더 어렵게 느껴져요. 정말이에요. 앱마다 버튼 이름은 다르지만, 암호화폐 지갑 주소를 얻는 과정은 2026년에도 어디에서나 똑같은 네 단계예요.
1. 지갑을 엽니다. 받을 암호화폐를 선택하세요. BTC, ETH, SOL 등 어떤 종류든 상관없습니다.
2. '수신' 버튼을 찾으세요. 어떤 앱에서는 '요청'이라고 하고, 어떤 앱에서는 '입금'이라고 합니다. 모두 같은 의미입니다.
3. 그러면 문자 및 숫자로 구성된 주소와 그 아래에 QR 코드가 표시된 화면이 나타납니다.
4. 문자열을 복사하거나, 송금하는 사람에게 QR 코드를 보여주세요. 끝입니다. 이렇게 하면 지갑 주소를 찾고 모든 최신 지갑에서 송금을 받을 수 있습니다.
2026년에는 대부분의 지갑 애플리케이션이 휴대폰, 데스크톱 또는 브라우저 확장 프로그램 등 어떤 환경에서 사용하든 동일한 네 단계를 따릅니다.
하드웨어 지갑은 작동 방식이 조금 다르며, 솔직히 말해서 진정한 자기 보관 보안은 바로 이 부분에서 발휘됩니다. Ledger나 Trezor를 사용하시나요? 컴퓨터에서 Ledger Live나 Trezor Suite를 통해 동일한 절차를 따르지만, 기기 자체의 작은 화면에도 수신 주소가 표시됩니다. 항상 그 화면을 확인하세요. 반드시요. 컴퓨터에 표시되는 주소와 일치하는지 확인하십시오. 단 한 글자라도 다르면 작업을 중단해야 합니다. 컴퓨터에 악성코드가 감염된 것입니다. 과장이 아닙니다. 그 불일치는 클립보드 하이재커가 만들어내는 것과 정확히 같은 현상이며, 감염된 브라우저가 접근할 수 없는 하드웨어 지갑의 디스플레이가 자체 칩에 저장되어 있기 때문에 알아챌 수 있는 것입니다.
MetaMask, Trust Wallet, Phantom 같은 소프트웨어 지갑을 사용하시나요? 주소는 메인 화면 상단에 바로 표시되거나, '수신' 메뉴를 탭하면 바로 확인할 수 있습니다. 복사해서 붙여넣기만 하면 되니 아주 간단하죠. Coinbase, Binance, Kraken 같은 거래소의 경우, '입금' 메뉴에서 주소를 찾을 수 있습니다. 대부분의 거래소에서 제공하는 편리한 기능 중 하나는 입금 시마다 새로운 고유 주소를 생성해 주는 것입니다. 이 기능을 켜두는 것이 좋습니다. 별다른 노력 없이 개인 정보를 보호할 수 있을 뿐 아니라, 블록체인 분석을 어렵게 만들어 디지털 자산 잔액을 안전하게 지켜줍니다.
암호화폐 지갑 사용 방법 및 거래 전송 방법
암호화폐 지갑을 이용해 암호화폐를 보내는 과정은 거의 동일합니다. '보내기'를 누르고, 수신자의 지갑 주소를 붙여넣거나 스캔한 후, 금액을 선택하고 수수료를 확인한 다음 확인합니다. 그러면 블록체인에 거래 내역이 기록되고, 채굴자 또는 검증자가 이를 블록에 포함시키면 몇 분 또는 몇 시간 내에 수신자가 자금을 확인할 수 있습니다. 암호화폐를 보내고 받는 과정은 기계적으로는 간단합니다. 위험은 전적으로 중간 단계에 있으며, 잘못된 주소로 암호화폐를 보내서 발생하는 모든 손실은 누군가가 이러한 중간 단계를 서두르기 때문에 발생합니다.
확인 버튼을 누르기 전에 세 가지를 확인해야 합니다. 첫째, 지갑 주소가 수신자가 제공한 주소와 정확히 일치하는지 확인하세요. 둘째, 체인이 일치하는지 확인하세요. 이더리움 USDT를 트론 USDT 주소로 보내는 것은 사소한 불일치로 손실을 볼 수 있는 대표적인 사례이며, 거래소마다 동일한 토큰에 대해 네트워크별로 다른 주소 형식을 사용하는 경우가 많습니다. 셋째, 수수료를 확인하세요. 수수료를 너무 많이 지불하면 낭비이고, 너무 적게 지불하면 암호화폐 거래가 며칠 동안 묶일 수 있습니다.
큰 금액을 송금할 때는 테스트 거래를 해보는 것이 좋습니다. 먼저 아주 적은 금액을 보내고 입금이 확인되면 전체 금액을 보내세요. 네트워크 수수료로 몇 센트밖에 들지 않지만, 이는 저렴한 보험과 같습니다. 오타, 복사 붙여넣기 오류, 그리고 이 가이드 뒷부분에서 설명하는 주소 오염 공격으로부터 안전하게 송금할 수 있도록 도와주는 최고의 방어 수단입니다.
지갑 주소를 위험 없이 안전하게 공유하세요
주소는 공개되어 있습니다. 완전하고 명확하게 공개되어 있죠. 누구에게든 안심하고 공유할 수 있고, 웹사이트에 게시해도 안전하며, 청구서에 인쇄해도 안전합니다. 지갑 주소로는 자금을 훔칠 수 없습니다. 오직 개인 키만이 자금을 탈취할 수 있죠. 비대칭 암호화의 핵심은 한쪽은 세상에 널리 알리고 다른 한쪽은 무덤까지 가져가도록 철저히 비밀에 부치는 데 있습니다.
그렇다면 함정은 무엇일까요? 함정은 잔액 손실이 아니라 개인정보 침해와 피싱입니다. 이더리움 주소를 공개적으로 게시하면 블록 탐색기만 있으면 누구나 당신의 잔액, 전체 거래 내역, 지금까지 거래한 모든 NFT, 심지어 한 번 시도했다가 후회한 수상한 DeFi 프로토콜까지 확인할 수 있습니다. 텔레그램 그룹에 공유하면 모든 참여자가 볼 수 있습니다. 2026년에는 온체인 분석이 이미 성숙한 산업으로 발전하여 훌륭한 도구와 뛰어난 전문가들이 포진해 있을 것입니다. 오랜 사용 기록을 가진 지갑의 경우, 주소 재사용은 마치 표지에 자신의 이름이 적힌 금융 일기를 공개하는 것과 같습니다.
그리고 아무리 강조해도 지나치지 않은 황금률이 있습니다. 바로 개인 키, 시드 구문, 복구 단어를 절대 공유하지 않는 것입니다. 고객 지원 담당자에게도, 에어드롭 봇에게도, 펌웨어 업데이트 관련 이메일을 보낸 "레저 담당자"에게도, 심지어 가장 친한 친구에게도 공유하지 마세요. 그 누구도 개인 키를 정말로 필요로 하지 않습니다. "고객 서비스"에서 보낸 DM이 공식적인 것처럼 보여서 수만 달러에 달하는 잔고를 잃는 사람들을 많이 봤습니다. 절대 그렇지 않습니다. 어떤 이유로든 누구에게도 개인 키를 공유하지 마세요.
잘못된 지갑 주소 문제: 자금 손실을 방지하세요
잘못된 지갑 주소로 암호화폐를 보내면 거의 대부분 돈을 잃어버립니다. 블록체인에는 고객 서비스 부서가 없습니다. 환불도 없고, 사기 방지 시스템도 없고, 거래를 취소해 줄 친절한 직원도 없습니다. 블록체인은 사용자가 입력한 내용대로 작동하며, 심지어 오타가 있더라도 마찬가지입니다.
사람들이 실제로 자금을 잃는 방식은 이상하리만치 지루합니다. 과거에는 주소를 직접 입력하는 것이 주된 수법이었지만, 제정신인 사람이라면 42자리 16진수 문자를 입력할 리가 없으니 2026년에는 거의 발생하지 않습니다. 대신 클립보드 하이재킹이 대세가 되었습니다. "클리퍼"라고 불리는 윈도우 트로이목마 계열 악성 프로그램들이 있는데, 그중 가장 유명한 것은 라플라스 클리퍼(Laplas Clipper)입니다. 이 프로그램은 서비스형 악성 프로그램(malware-as-a-service)으로 연간 약 549달러에 판매되며, 사용자의 클립보드를 몰래 감시하다가 복사한 암호화폐 주소를 공격자의 가짜 주소로 바꿔치기합니다. 붙여넣고 전송 버튼을 누르면 아무 문제 없이 정상적으로 보입니다. 마이크로소프트는 이러한 악성 프로그램을 "크라이웨어(cryware)"라고 명명하고 매년 수십만 건의 감염 사례를 추적하고 있습니다.
다음으로 주소 포이즈닝(Address Poisoning)이라는 새로운 유형의 공격이 있는데, 이는 정말 악랄합니다. 공격자는 사용자가 자주 거래하는 주소의 처음 네 글자와 마지막 네 글자를 조합하여 가짜 주소를 생성합니다. 그런 다음 아무 금액도 없는 거래(또는 0 금액의 거래)를 보내 가짜 주소가 지갑 거래 내역에 나타나도록 합니다. 다음에 해당 주소가 필요할 때, 사용자는 거래 내역에서 주소를 복사하려다가 공격자가 만든 가짜 주소를 사용하게 됩니다. 2025년 초에 발표된 카네기멜론 사이버랩(CyLab)의 연구에 따르면 2022년 7월부터 2024년 6월까지 약 2억 7천만 건의 온체인 포이즈닝 시도가 발생하여 1,700만 명의 피해자가 발생했으며, 확인된 손실액은 최소 8,380만 달러에 달합니다. 이는 더 이상 소수의 위협이 아닙니다. 산업 규모의 피싱 공격이라고 할 수 있습니다.
가장 악명 높은 단일 사례는 2024년 5월 3일에 발생했습니다. 한 고래 투자자가 평소 수취 주소와 일치하는 악성 유사 주소로 인해 1,155 WBTC(당시 환율로 약 6,800만 달러)를 잃었습니다. 공격자는 일주일 후 자금의 대부분을 반환했는데, 그 이유는 여전히 커뮤니티에서 논쟁의 여지가 있습니다. 하지만 이러한 사기 수법에 대해 더 잘 알고 있어야 했던 숙련된 사용자조차도 거래 내역을 복사하는 속임수에 넘어갔습니다. 2024년 12월에는 또 다른 트레이더가 같은 방식으로 약 5,000만 달러 상당의 USDT를 잃었습니다. 서로 다른 사람, 다른 블록체인이지만, 모두 같은 안일한 습관, 즉 거래 내역을 주소의 출처로 신뢰하는 습관에서 비롯된 것입니다.
| 실수 | 어떻게 이런 일이 일어나는가 | 예방 방법 |
|---|---|---|
| 오식 | 긴 주소를 손으로 입력하기 | 항상 복사 붙여넣기 또는 QR 코드 스캔을 하세요. |
| 클립보드 악성코드 | 악성 프로그램이 복사한 주소를 바꿔치기합니다. | 하드웨어 지갑 화면에서 확인하세요 |
| 주소 독극물 | 역사 속 유사 주소 | 연락처 또는 새로운 소스에서 복사 |
| 잘못된 체인 | ERC20과 TRC20에 USDT를 전송하는 경우 | 전송하기 전에 체인을 정확히 일치시키세요. |
| QR 스푸핑 | 공공장소에 있는 가짜 QR 코드 | 처음 6자리와 마지막 6자리를 확인하세요. |
이러한 모든 실수는 동일한 핵심 습관으로 예방할 수 있습니다. 바로 전송하기 전에 주소를 항상 다시 확인하고, 악성코드가 접근할 수 없는 기기에서 검증하는 것입니다. 주소를 복사, 붙여넣기한 다음, 최소한 처음 6자리와 마지막 6자리를 원본 주소와 문자 단위로 정확하게 비교하십시오. 올바른 지갑 앱이 전송했을 주소가 잘못된 경우, 서명이 전송되면 복구가 불가능합니다. 고액 거래의 경우, 하드웨어 지갑이 적합합니다. 하드웨어 지갑의 화면은 컴퓨터와 분리되어 있어 소프트웨어로 변조될 수 없기 때문입니다.
비트코인과 이더리움은 모두 내장된 체크섬을 통해 단순한 오타를 방지합니다. 비트코인은 Base58Check를 사용하므로, 기존 주소에서 문자 하나만 잘못 입력해도 체크섬 오류가 발생하여 전송이 거부되는 경우가 많습니다. 이더리움은 0x로 시작하는 주소에서 발생하는 동일한 유형의 오류를 감지하기 위해 EIP-55 혼합 대소문자 체크섬을 추가합니다. 이러한 체크섬은 공격자의 주소 또한 유효한 주소일 수 있으므로 악의적인 주소 스왑에는 도움이 되지 않습니다. 체크섬은 단순한 오타에만 효과적입니다.
블록체인 상의 지갑 주소 관리 및 개인정보 보호
지갑 주소 관리는 기계적으로는 쉽지만, 개인적으로는 복잡합니다. 비트코인과 같은 블록체인에서는 모든 결제 건마다 새로운 주소를 생성하는 것이 가장 좋습니다. 이렇게 하면 결제 간의 연결이 끊어져 외부 관찰자가 보유 암호화폐의 양을 추적하기 어려워집니다. 동일한 주소를 반복적으로 사용하면 모든 결제가 동일한 블록체인 ID에 연결되어 블록 탐색기를 가진 사람이라면 누구나 사용자의 모든 활동 내역을 확인할 수 있게 됩니다.
이더리움은 다릅니다. 모든 이더리움 주소는 논스(nonce)와 잔액을 가진 계정이기도 하므로 대부분의 사람들과 앱은 모든 것에 하나의 주소를 사용합니다. 이는 편리하지만, 이더리움에서 체인 분석이 매우 효과적인 이유이기도 합니다. 개인 정보 보호를 원한다면 프로젝트마다 새로운 주소를 사용하는 것이 최소한입니다. 믹서(Mixer)와 개인 정보 보호 도구는 추가적인 보호 기능을 제공하지만, 많은 거래소에서 규정 준수 문제를 야기할 수 있습니다.
화이트리스트 기능 또한 중요한 방어 수단입니다. 대부분의 거래소와 하드웨어 지갑은 신뢰할 수 있는 주소를 화이트리스트에 추가하여 승인된 주소로만 자금을 보낼 수 있도록 합니다. 신규 주소 추가 시 대기 기간을 적용하면, 공격자가 단순히 새로운 주소로 바꿔치기할 수 없으므로 클립보드 악성코드와 계정 탈취를 차단하는 가장 효과적인 방법 중 하나입니다.
주소록, 연락처, 그리고 ENS와 같은 지갑 이름 서비스는 42자리의 16진수 문자열을 `alice.eth`처럼 기억하기 쉬운 이름으로 바꿔 일상생활을 편리하게 해줍니다. 이러한 이름은 편리하지만 피싱 공격에 취약합니다. 유니코드 동형 문자 공격은 신뢰할 수 있는 이름과 글자 모양은 동일하지만 키릴 문자나 그리스 문자와 유사한 문자를 사용하는 도메인을 등록하는 방식입니다. 피해자는 가짜 이름에서 확인된 주소를 눈치채지 못하고 복사하게 됩니다. 이러한 유형의 공격은 웹상에서 20년 넘게 보고되어 왔으며, ENS, SNS 또는 Unstoppable Domains를 자동 확인하는 암호화폐 지갑도 동일한 위험에 노출되어 있습니다. ENS 이름을 처음 사용할 때는 항상 신뢰할 수 있는 인터페이스를 통해 확인하고, 해당 주소가 예상하는 사람과 일치하는지 확인한 후, 검증이 완료되면 자신의 주소록에 저장하세요.
더스트 공격은 종종 스푸핑 공격에 앞서 발생하는 유사한 수법입니다. 공격자는 수천 개의 주소로 아주 작은 규모의 거래를 전송하여 피해자가 나중에 사용하지 않은 잔액을 통합할 때 더스트도 함께 이동하게 함으로써 동일 소유자의 주소 집합을 드러냅니다. 2024년 5월 WBTC 공격 피해자는 실제 공격이 발생하기 몇 주 전부터 더스트를 통해 감시당했습니다. Wasabi, Samourai, Sparrow와 같은 지갑에서는 이제 더스트를 "사용 금지"로 표시하여 이러한 연결을 차단할 수 있습니다.
지갑 주소 관리: 2026년 보안 규칙
클립보드 악성코드, 주소 오염 공격, 잘못된 체인 전송이라는 세 가지 주요 위협으로부터 방어하는 것은 몇 가지 습관을 들이는 것으로 귀결됩니다. 간략하게 정리해 보았습니다.
분실하면 안 되는 중요한 정보는 하드웨어 지갑에 보관하세요. 선택 사항도 아니고, 사치도 아니고, 괜한 걱정도 아닙니다. Ledger나 Trezor 같은 하드웨어 지갑은 컴퓨터의 악성코드가 접근할 수 없는 물리적인 화면을 제공하며, 서명하기 전에 화면에서 수신 주소를 확인하는 절차를 통해 대부분의 클립보드 공격을 차단합니다. eBay가 아닌 공식 판매처에서 구매하세요. 2024년 11월, Ledger Donjon은 Trezor Safe 3 마이크로컨트롤러의 전압 조작 취약점을 공개했는데, 이는 누군가 기기에 물리적으로 접근할 수 있을 때만 문제가 되지만, 변조된 중고 기기는 바로 그런 기회를 제공합니다.
사용하는 거래소에서 주소 화이트리스트 기능을 지원하는 모든 곳에서 활성화하세요. 신뢰할 수 있는 목적지를 한 번만 설정하고, 대기 시간을 최대한 늘려두세요. 대부분의 계정 탈취 공격은 공격자가 출금 주소를 바꿔치기하는 방식으로 이루어지는데, 화이트리스트는 이러한 공격 경로를 효과적으로 차단합니다. 비용은 적게 들지만 효과는 엄청납니다.
새로운 곳으로 송금할 때마다 테스트 거래를 실행해 보세요. 몇 센트의 수수료와 BEP20/ERC20 오류로 전체 금액을 잃는 것의 차이를 계산해 보세요. 소액을 보내고, 확인이 완료될 때까지 기다린 후, 입금 여부를 확인하고 나서야 본액을 송금하세요. 이 습관 하나만으로도 오타, 악성코드, 잘못된 네트워크 선택, 그리고 가끔 발생하는 거래소 오류 등을 한 번에 방지할 수 있습니다.
지갑 앱과 브라우저 확장 프로그램을 항상 최신 버전으로 업데이트하세요. 대부분의 공개된 취약점은 오래된 버전에서 여전히 작동하며, 가짜 MetaMask 업데이트는 정품 지갑을 악성 복제본으로 바꾸는 대표적인 수법 중 하나입니다. 업데이트 알림이 뜨면 패치를 적용하세요. 귀찮은 일이지만, 실제 손실의 상당 부분을 막아줍니다.
다시 한번 강조합니다. 반복만이 기억에 남는 유일한 방법이니까요. 공개 지갑 주소는 자유롭게 공유하되, 개인 키, 시드 구문, 복구 단어는 절대로 공유하지 마세요. 예외는 없습니다. 누군가 정중하게 시드 구문을 요구한다면, 그 순간 사기를 당하고 있는 겁니다.
