차트보다 온체인 데이터가 먼저 움직이는 경우가 많습니다. 이번에도 그랬습니다. LayerZero가 KelpDAO 해킹을 북한 라자루스 그룹 소행으로 공식 지목하기 며칠 전부터, 대규모 자금이 중앙화 거래소에서 하드웨어 지갑으로 이동하는 흐름이 포착됐습니다.
불과 2일간 130억 달러 규모의 DeFi 손실이 발생했고, 거의 같은 시기에 Vercel 해킹 사건까지 터지면서 암호화폐 보관 방식에 대한 논쟁이 다시 뜨거워졌습니다. 거래소에 맡겨두는 게 나을까, 내 지갑에 직접 보관하는 게 안전할까. 단순해 보이는 이 질문에는 생각보다 복잡한 변수가 얽혀 있습니다.
거래소 보관의 실제 작동 방식
중앙화 거래소는 고객 자산을 콜드 월렛과 핫 월렛으로 나눠 관리합니다. 바이낸스의 경우 전체 자산의 약 95%를 인터넷과 분리된 콜드 월렛에 보관하고, 나머지 5%만 일상적인 입출금 처리를 위해 핫 월렛에 둡니다. 코인베이스는 더 보수적으로 98% 이상을 오프라인 보관합니다.
문제는 이 구조가 내부 통제와 운영 투명성에 전적으로 의존한다는 점입니다. FTX 파산 당시 고객 자산 73억 달러가 증발했지만, 사실 그중 상당 부분은 해킹이 아니라 내부 유용이었습니다. 거래소가 공개하는 지갑 주소와 실제 보관 구조가 일치하는지 외부에서 검증할 방법은 제한적입니다.
국내 거래소는 특정금융정보법 개정 이후 고객 자산을 은행에 별도 예치하도록 의무화됐습니다. 업비트·빗썸·코인원 등 주요 거래소는 NH농협은행, 케이뱅크 등과 실명 계좌 연동 시스템을 구축했고, 이는 고객 원화 자산에 한해 상당한 보호 장치로 작동합니다. 다만 암호화폐 자산 자체는 여전히 거래소 자체 지갑에 보관되며, 법적 보호 범위는 명확하지 않습니다.
개인 지갑이 해결하는 것과 해결하지 못하는 것
“Not your keys, not your coins”는 암호화폐 커뮤니티에서 오래된 격언입니다. 개인 지갑은 사용자가 개인키를 직접 관리하므로, 거래소 파산이나 출금 중단 같은 제3자 리스크에서 자유롭습니다.
“개인 지갑 사용자는 자신의 자산을 완전히 통제하지만, 동시에 보안 책임도 100% 본인이 진다. 이 트레이드오프를 이해하지 못한 채 지갑을 쓰는 사람이 너무 많다.” – 렛저 최고보안책임자(CSO) 찰스 길버트
하드웨어 지갑은 개인키를 오프라인 칩에 저장하므로, 컴퓨터나 스마트폰이 악성코드에 감염돼도 키가 유출되지 않습니다. 렛저 나노 X, 트레저 모델 T 같은 제품은 PIN 코드와 복구 시드 문구를 조합해 다층 보안을 제공합니다.
그러나 이번 KelpDAO 해킹 사건은 개인 지갑도 만능이 아님을 보여줬습니다. 공격자는 사용자 지갑 자체를 노린 게 아니라, DeFi 프로토콜 스마트 컨트랙트의 취약점을 찾아냈습니다. 사용자가 아무리 안전하게 키를 보관해도, 컨트랙트에 승인(approve)을 해둔 상태라면 공격자가 자금을 빼갈 수 있었던 겁니다. LayerZero 측 분석에 따르면 라자루스 그룹은 최소 3개월간 KelpDAO 코드베이스를 연구한 뒤 재진입(reentrancy) 공격을 실행한 것으로 추정됩니다.
Vercel 해킹이 드러낸 중앙화 인프라의 맹점
KelpDAO 사건 직후 터진 Vercel 해킹은 또 다른 각도에서 보안 논쟁을 촉발했습니다. Vercel은 웹 호스팅 플랫폼으로, 수많은 DeFi 프로젝트와 암호화폐 서비스가 프론트엔드 배포에 사용합니다. 공격자는 Vercel 계정 하나를 탈취해 여러 프로젝트 웹사이트에 악성 스크립트를 삽입했고, 사용자가 정상 도메인에 접속했는데도 가짜 지갑 연결 팝업이 뜨는 상황이 벌어졌습니다.
이 사건은 분산 금융이라는 DeFi의 철학과 실제 구현 사이의 간극을 보여줍니다. 블록체인은 분산돼 있지만, 사용자가 접근하는 웹 인터페이스는 여전히 AWS, Vercel 같은 중앙화 서비스에 의존합니다. 지갑을 아무리 안전하게 보관해도, 프론트엔드가 변조되면 사용자는 자신도 모르게 악성 컨트랙트에 서명할 수 있습니다.
체인어널리시스 데이터에 따르면 북한 연계 해킹 그룹은 지난 5년간 약 30억 달러 상당의 암호화폐를 탈취했고, 이 중 절반 이상이 DeFi 프로토콜과 중앙화 인프라 취약점을 노린 것이었습니다. 라자루스 그룹의 공격 패턴은 점점 정교해지고 있으며, 이제는 단순 피싱이나 거래소 해킹을 넘어 공급망(supply chain) 공격까지 확장되고 있습니다.
보험과 법적 보호는 어디까지 작동하나
코인베이스와 크라켄 같은 일부 거래소는 자체 보험을 운영합니다. 코인베이스는 Lloyd’s of London을 통해 핫 월렛 자산에 대한 보험을 들었고, 해킹으로 인한 손실 시 고객에게 보상하겠다고 공언합니다. 하지만 약관을 자세히 보면 보상 범위는 거래소 측 과실로 인한 해킹에 한정되며, 사용자 계정 탈취나 피싱은 제외됩니다.
국내에서는 가상자산 보호법 논의가 계속되고 있지만, 아직 구체적인 예금자 보호 제도는 도입되지 않았습니다. 은행 예금처럼 5천만 원까지 보장해주는 장치가 없으므로, 거래소 파산 시 고객은 일반 채권자로 분류되어 변제 순위에서 밀릴 수 있습니다.
반면 개인 지갑 사용자는 법적 보호 자체가 존재하지 않습니다. 개인키를 분실하거나 해킹당해도 책임져줄 주체가 없습니다. 복구 시드를 종이에 적어 금고에 보관하는 게 일반적인 권장 사항이지만, 화재나 분실 리스크는 여전히 남습니다. 멀티시그 지갑이나 샤미르 시크릿 공유(Shamir’s Secret Sharing) 같은 고급 기법도 있지만, 일반 투자자가 직접 구현하기엔 기술 장벽이 높습니다.
실전에서 적용 가능한 하이브리드 전략
보안 전문가들이 권하는 방식은 자산 규모와 사용 빈도에 따라 나눠 보관하는 것입니다. 일상적으로 거래하는 소액은 거래소에 두고, 장기 보유 목적의 큰 금액은 하드웨어 지갑으로 옮기는 식입니다.
구체적으로, 월 거래 금액이 500만 원 이하라면 국내 대형 거래소 보관도 합리적인 선택입니다. 업비트는 해킹 이력이 없고 NH농협은행과 실명 계좌 연동이 잘 돼 있으며, 출금 시 2단계 인증과 화이트리스트 주소 등록을 강제합니다. 다만 비밀번호 재사용을 피하고, OTP는 문자 대신 구글 인증기(Google Authenticator)나 Authy를 쓰는 게 안전합니다.
1천만 원 이상 장기 보유 자산은 하드웨어 지갑 이동을 고려할 만합니다. 렛저 나노 S 플러스는 약 8만 원대로 구입할 수 있고, 비트코인·이더리움은 물론 5천 종 이상의 토큰을 지원합니다. 핵심은 복구 시드 24단어를 절대 디지털로 저장하지 않는 것입니다. 사진 찍거나 클라우드에 올리는 순간 해킹 위험이 급증합니다. 스테인리스 금속판에 각인해서 방화금고에 보관하는 사람도 있습니다.
DeFi를 적극 사용한다면 승인(approve) 관리가 필수입니다. Revoke.cash나 Etherscan의 Token Approvals 메뉴를 통해 과거에 허용한 컨트랙트 권한을 주기적으로 점검하고, 사용하지 않는 프로토콜 승인은 철회해야 합니다. KelpDAO 해킹 피해자 상당수는 몇 달 전에 한 번 써보고 방치한 승인 때문에 피해를 입었습니다.
기관 투자자들은 어떻게 하고 있나
흥미로운 건 기관 투자자들의 선택입니다. 피델리티, 블랙록 같은 전통 자산운용사는 암호화폐 보관을 자체 해결하지 않고, 코인베이스 커스터디(Coinbase Custody)나 비트고(BitGo) 같은 전문 수탁 서비스를 씁니다. 이들은 SOC 2 Type II 인증, 멀티시그 월렛, 지리적 분산 보관 등을 제공하며, 배상 책임 보험도 수십억 달러 규모로 운영합니다.
비트코인 현물 ETF 승인 이후, 블랙록의 iShares Bitcoin Trust는 코인베이스를 단독 수탁자로 지정했습니다. 현재 약 50만 BTC, 한화 약 30조 원 규모를 보관 중인데, 이는 코인베이스가 제공하는 콜드 스토리지와 보험, 그리고 규제 준수 체계를 신뢰한다는 뜻입니다. 기관들은 기술적 보안만큼이나 법적·규제적 확실성을 중시합니다.
개인 투자자가 이런 기관급 수탁 서비스를 쓰기는 어렵습니다. 최소 가입 금액이 보통 10만 달러 이상이고, 연간 수수료도 자산의 0.5~1%를 받습니다. 하지만 방향성은 참고할 만합니다. 전문성과 보험을 갖춘 제3자에게 맡기는 것과, 스스로 완벽히 통제하는 것 사이에서 자신의 기술 수준과 자산 규모에 맞는 지점을 찾는 게 핵심입니다.
자주 묻는 질문
거래소가 해킹당하면 내 코인도 사라지나요?
거래소가 콜드 월렛 관리를 제대로 했다면 대부분의 자산은 안전합니다. 다만 거래소가 손실을 보상할 의무는 법적으로 명확하지 않으며, 보험 여부와 약관에 따라 달라집니다. 국내 거래소는 원화 예치금은 은행 별도 보관으로 보호되지만, 암호화폐 자체는 보호 장치가 약합니다.
하드웨어 지갑을 분실하면 복구가 불가능한가요?
장치 자체를 잃어버려도 복구 시드 24단어만 있으면 새 지갑에서 모든 자산을 복원할 수 있습니다. 반대로 시드를 분실하면 장치가 있어도 PIN을 여러 번 틀리면 초기화되며 복구 불가능합니다. 시드는 물리적으로 안전한 곳에 보관하는 게 생명입니다.
DeFi 프로토콜 사용 시 개인 지갑이 더 위험한가요?
개인 지갑 자체가 위험한 게 아니라, 스마트 컨트랙트 승인(approve)을 무분별하게 주는 게 문제입니다. 신뢰할 수 없는 프로토콜에 무제한 승인을 주면, 해킹 시 지갑에 있는 모든 토큰이 탈취될 수 있습니다. 승인 권한을 정기적으로 점검하고 철회하는 습관이 필수입니다.
130억 달러 손실 사건 이후 암호화폐 커뮤니티에서는 “완벽한 보안은 없다”는 말이 다시 회자되고 있습니다. 거래소는 편리하지만 통제권을 포기해야 하고, 개인 지갑은 자유롭지만 책임도 온전히 본인 몫입니다. 라자루스 그룹 같은 국가급 해커와 정교해지는 공격 기법 앞에서, 어느 한쪽만이 정답이라고 말하기는 어렵습니다. 결국 자신이 감당할 수 있는 리스크와 기술 수준, 자산 규모를 냉정히 따져보고 선택하는 수밖에 없습니다.