하드웨어 월렛

목적: 백업과 전송

1. 개요

소프트웨어 월렛보다 더 높은 보안성을 제공하기 위해 만들어졌다. 보통 물리적으로 독립된 저장 공간에 니모닉이 저장되어 외부에서 연결할 수 없어 안전하다고 여겨진다. 또 사용할 때에는 사용자가 미리 지정해 둔 지문이나 핀 번호 같은 잠금 장치로 안전성을 제공하고 있다.

2. 위험성

현재까지 하드웨어 월렛 자체가 탈취되어 해킹에 성공되었다는 사례는 없는 것으로 확인된다. 하지만 하드웨어 월렛도 완벽하게 안전하지는 않다. 현실적으로 알려진 위험성에 대해서 알아보자.

2-1. Malware 감염

하드웨어 월렛이 아닌 하드웨어 월렛을 실행하는 PC가 멀웨어에 감염되었을 경우 바이러스가 수신 주소를 임의로 변경하는 경우가 있다.
하드웨어 월렛에서 어떤 트랜잭션에 서명을 하는지 검토하는 기능을 제공하는 경우가 있으니 사용자는 이 기능으로 꼭 트랜잭션에 대해 검토를 해야 한다.

2-2. 암호키 생성기 보안

외부에서 만든 지갑을 복원하는 경우에는 상관 없지만 미리 입력된 난수표로 지갑을 생성하는 경우 랜덤하게 생성된 지갑인지 공격자가 생성하도록 유도된 지갑인지 탐지하기 어렵다.
따라서 이 경우를 방지하기 위해서 일부 사용자들은 주사위나 동전을 던져서 나온 수로 암호키를 만들어 불러오는 경우도 있고, 일부 하드웨어 월렛이 이를 위한 기능을 지원한다.

2-3. 소프트웨어 결함

하드웨어 월렛에 설치된 펌웨어와 해당 월렛을 사용하기 위한 소프트웨어들도 완벽하게 구현되어 있다는 것을 보장하기 어렵다. 따라서 어느 정도 전통성이 있고 최근까지도 펌웨어 개선이 되었는지 고려를 해야한다.

2-4. 장부 검증

암호키를 안전하게 보관하고, 지갑 주소 검증을 했어도 하드웨어 월렛은 개인키를 보내는 트랜잭션을 생성하는 역할이고 코인을 수령했는지, 몇 개를 수령했는지를 알려주는 장치는 아니다.
따라서 직접 풀노드를 통해 거래 내역을 확인하는 것이 좋다.

2-5. 지갑 주인이 비밀번호 분실로 해킹을 의뢰한 사례

트레저 지갑에 비트코인을 2백만 달러치 보유하고 있던 한 사람이 트레저의 비밀번호를 잊어버렸고, 수소문 끝에 세계 최고 하드웨어 해커에게 자신의 지갑을 해킹해 달라고 의뢰했다.
다음은 세계 최고 하드웨어 해커가 트레저 지갑을 해킹하는 과정을 소개한 한국 유투브 영상이다.
아래는 세계 최고 하드웨어 해커인 Joe Grand가 그 과정을 직접 담은 유튜브 영상이다.
How I hacked a hardware crypto wallet and recovered $2 million
I was contacted to hack a Trezor One hardware wallet and recover $2 million worth of cryptocurrency (in the form of THETA). Knowing that existing research was already out there for this device, it seemed like it would be a slam dunk. Little did I realize the project would turn into a roller coaster ride with over three months of experimentation, failures, successes, and heart-stopping moments. It reminded me that hacking is always unpredictable, exciting, and educational, no matter how long you've been doing it. In this case, the stakes were higher than normal: I only had one chance to get it right. Read about it on The Verge: https://www.theverge.com/2022/1/24/22898712/crypto-hardware-wallet-hacking-lost-bitcoin-ethereum-nft Check out Joe Grand here: YouTube: https://youtube.com/c/JoeGrand Website: http://www.grandideastudio.com Twitter: https://twitter.com/joegrand Special thanks to: wallet.fail: https://wallet.fail Colin O'Flynn: https://twitter.com/colinoflynn NewAE Technology: https://newae.com Macdonald Entertainment Partners: https://macdonaldentertainmentpartners.com Chase McDaniel: https://www.mercuryroadmedia.com Dan Reich: https://danreich.com/i-had-2-million-dollars-in-crypto-locked-on-a-wallet ABOUT OFFSPEC.IO offspec.io (https://offspec.io) is a dedicated team of hackers and entrepreneurs specializing in password recovery from hardware and software wallets. We're always looking for new and interesting projects where we can use our skills to help others.
결국 Trezor 지갑 해킹에 성공했다는 사실을 보면 하드웨어 월렛도 믿을 수 없다라는 결론에 이를 수 있겠지만 위 영상에서 보다시피 세계 최고 하드웨어 해커 정도의 실력으로도 굉장히 어렵고 까다로운 과정을 거쳤기 때문에 오히려 하드웨어 월렛의 안전성을 입증한 사례로 평가받고 있다.

3. 종류

1.
Trezor
2.
Ngrave
3.
Keystone
4.
Ledger

3-1. 비교

기준
Trezor (Model T)
Ngrave (Zero)
Keystone (Pro 모델)
Ledger (S Plus)
Ledger (X)
잠금장치
핀 번호
지문 & 핀 번호
지문 & 핀 번호
핀 번호
핀 번호
자체파괴여부
O
O
O
O
O
인증 등급
CC EAL 5+
EAL7+
FIPS 140-2 Level 3
CC EAL 5+
CC EAL 5+
배터리 방식
충전식
충전식
충전식
유선으로 사용
충전식
블루투스
X
X
X
X
O
오픈소스
O
O
O
X
X
에어갭 (Airgap)
X
O
O
X
X
가격
$219
€398
$169
110,000원
200,000원

4. 사용법

각 제조사에서 제공하는 사용법을 숙지하는 것이 가장 좋은 방법이며, 아래에 소개된 순서는 참고용이다.
1.
지갑을 컴퓨터에 연결하고 제조업체에서 제공하는 초기화 가이드에 따라 지갑을 설정한다.
2.
지갑 주소를 생성하고 지갑에서 제공하는 시드 문구를 백업한다. 이 시드 문구를 잃어버리면 하드웨어 지갑을 분실하거나 손상된 경우 자금을 복구할 수 없으니 반드시 다른 방법으로 백업을 하거나 여분의 하드웨어 월렛을 구비하는 것이 좋다.
3.
제조사에서 제공하는 소프트웨어를 다운받는다. 이 소프트웨어를 통해 사용자가 편리하게 지갑을 관리할 수 있고 결정적으로 자금을 보내는 것 등의 행위를 할 때 하드웨어에서 별도로 서명을 위한 조작을 하게 된다.
4.
소프트웨어에서의 지침과 하드웨어에서 제공하는 정보를 사용할 때마다 지속적으로 검토해야 한다.

5. 주의사항

공식 판매 사이트에서 구매할 것
구입한 제품에 니모닉 문구가 동봉되어 있다면 사용하지 말 것
하드월렛 사에서 제공하는 PC 프로그램에서 니모닉 문구를 입력하라는 창이 나오면 가짜 프로그램이니 삭제할 것 (니모닉 문구를 묻는다면 100% 사기)
콜센터나 고객센터가 가짜일 확률이 있으니 주의할 것
하드월렛에서 생성된 니모닉을 핫월렛에 import 하지 말 것
핫월렛(Hot Wallet)은 인터넷에 연결될 수 있는 상태에 있는 지갑을 핫월렛이라고 한다. 따라서 오프라인에서만 존재하던 니모닉을 핫월렛에 입력하는 순간 하드웨어 월렛으로써의 가치를 상실하게 된다.
혹시 실수로라도 핫월렛에 입력했을 경우 침착하게 새로운 니모닉을 생성하고 새로운 지갑으로 코인을 보내면 된다.
하드웨어 월렛의 고장에 주의하기
다른 백업 수단이 없을 경우 하드웨어 월렛을 사용하다가 고장나게 되면 자금을 잃게될 수 있으니 꼭 여분의 하드웨어 월렛을 구비하는 등 다른 방법으로도 백업을 해두고 주기적으로 상태를 확인하는 것이 좋다.
Passphrase 분실 위험이 있으니 니모닉을 백업해 둘 것
하드웨어 월렛에도 기본적인 잠금 장치들이 있다. (Pin, 지문 등) 핀 번호를 잊어버리거나 지문이 변형되어 하드웨어 월렛을 사용할 수 없게 될 수 있으니 반드시 다른 방법으로도 백업을 해 두어야 안전하다.