Web3 지갑 보안 완전 가이드 — 시드구문부터 하드웨어 월렛까지

Web3에서 "Your keys, your crypto"는 단순한 슬로건이 아니다. 개인키(Private Key)를 잃으면 자산을 영원히 잃는다. 해킹당하면 되찾을 방법이 없다. 거래소처럼 고객센터에 전화해서 복구해달라고 할 수 없다. 이 가이드는 지갑 보안의 기초부터 실전 전략까지 다룬다.

최우선 규칙
시드구문(Seed Phrase)은 절대 온라인에 입력하거나 사진으로 보관하지 마세요. 이 규칙 하나가 대부분의 해킹을 막습니다.

지갑의 구조 — 키·주소·시드구문의 관계

많은 사람들이 "지갑에 코인이 들어 있다"고 생각한다. 실제로는 다르다. 코인은 블록체인 위에 기록되어 있고, 지갑은 그것에 접근하는 열쇠를 보관하는 도구다.

 시드구문 (12/24개 단어)
    ↓ 수학적 유도
 마스터 개인키 (Private Key)
    ↓ 타원곡선 암호화
 공개키 (Public Key)
    ↓ 해시 함수
 지갑 주소 (Address) ← 이것만 공개해도 됨 

시드구문 하나로 무한히 많은 주소를 파생시킬 수 있다(HD 지갑). 따라서 시드구문 = 모든 자산의 마스터키다. 시드구문을 가진 사람이 모든 자산을 통제한다.

지갑 유형별 보안 수준 비교

지갑 유형	보안 수준	편의성	대표 제품
거래소 보관 (CEX)	중 (거래소 위험)	최고	업비트, 빗썸, Coinbase
소프트웨어 지갑	중	높음	MetaMask, Phantom
하드웨어 지갑	최고	중간	Ledger, Trezor
페이퍼 월렛	높음 (오프라인)	낮음	직접 생성

시드구문 보관의 황금 규칙

절대 온라인 저장 금지 — 클라우드, 이메일, 메모 앱, 스크린샷 전부 금지
종이에 손으로 적기 — 프린터도 위험. 손으로 직접 쓰는 것이 안전
여러 곳에 분산 보관 — 화재·수해 대비. 금고 + 안전한 제2 장소
금속 백업 고려 — 스테인리스 플레이트에 각인 (화재·물 내성)
절대 타인에게 공유 금지 — "지원팀"을 사칭해 시드구문을 요구하는 것은 100% 사기

주요 해킹 패턴과 방어법

공격 방법	수법	방어법
피싱 사이트	가짜 MetaMask 사이트에서 시드구문 입력 유도	URL 꼼꼼히 확인, 북마크 사용
악성 앱	가짜 지갑 앱 설치 유도 → 시드구문 탈취	공식 앱스토어에서 다운, 리뷰 확인
악성 승인	NFT/에어드랍으로 유인 → 무제한 토큰 Approve	Revoke.cash로 불필요 승인 주기적 해제
클립보드 해킹	복사한 주소를 바꿔치기	주소 항상 앞 4자·뒤 4자 육안 확인

하드웨어 월렛 구매 시 주의사항

구매 전 반드시 확인

반드시 공식 웹사이트에서 직접 구매 (Amazon 중고품 절대 금지)
포장 훼손 흔적 확인 (시드구문이 미리 인쇄된 제품 = 사기)
초기 설정 시 시드구문은 직접 확인·기록 (남이 보면 안 됨)

자산 규모별 권장 보안 구성

$100 미만: 소프트웨어 지갑으로 충분
$1,000~$10,000: 하드웨어 월렛 필수
$10,000~$100,000: 하드웨어 월렛 + 시드구문 금속 백업
$100,000+: 멀티시그 + 하드웨어 월렛 조합 (Safe 추천)

Web3의 자기 주권(Self-Sovereignty)은 자유와 책임이 동시에 온다. 누구도 대신 자산을 지켜주지 않는다. 이 가이드의 규칙을 지키는 것이 Web3에서 자산을 지키는 가장 확실한 방법이다.