비트코인(BTC) 보안은 제대로 되기 어렵습니다. 오늘날 사용 가능한 모든 형태의 오프라인 또는 "콜드" 스토리지에는 장단점이 있습니다. 어느 것이 가장 안전한지는 여전히 비트코인 소프트웨어 개발자와 지갑 제작자 사이의 논쟁거리입니다.
자기 주권 자금에는 책임이 따릅니다. 경험 많은 비트코인 사용자는 다음과 같이 말할 것입니다. 비트코인을 구입하는 것만으로는 충분하지 않습니다. 금융 자율성을 실제로 시작하려면 암호화 개인 키를 완전히 제어할 수 있어야 합니다. 즉, 비트코인이 자신의 장치에 있어야 합니다.
그러나 비트코인을 저장할 장치를 선택하는 것은 그 자체로 노력입니다. 최근 몇 년 동안 이 분야에서 일하는 회사들은 다양한 옵션을 내놓았는데 모두 장단점이 있습니다.
시작하는 가장 쉬운 방법은 소프트웨어 지갑이나 휴대폰이나 노트북에 비트코인용 키를 생성하는 앱을 다운로드하는 것입니다. 하지만 휴대폰과 컴퓨터는 도난당하거나 분실되고 파손되며 맬웨어에 감염될 수 있습니다. 신생 하드웨어 지갑 업계는 다른 솔루션을 제공합니다. 비트코인 키를 메모리에 보관하고 트랜잭션에 서명하도록 설계된 소형 장치로, 다른 기능이나 지속적인 인터넷 연결이 없습니다.
그러나 평균적인 비트코인 사용자에게 가장 좋은 솔루션이 무엇인지는 여전히 논쟁의 여지가 있습니다. 이러한 주장 중 일부는 지난 주말 라트비아 리가에서 열린 비트코인 전용 Baltic Honeybadger 컨퍼런스의 패널에서 나왔습니다.
다음은 몇 가지 하이라이트입니다.
까다로운 하드웨어
하드웨어 지갑 제조업체인 Trezor의 CEO인 Pavol Rusnak은 자신의 회사에서 만드는 것과 같은 제품이 "제한된 공격 표면"을 가지고 있기 때문에 비트코인을 저장하는 가장 안전한 방법이라고 주장했습니다.
“하드웨어가 덜 복잡하고 소프트웨어가 Windows나 MacOS 또는 Android만큼 복잡하지 않습니다. 러스낙은 코인데스크와의 인터뷰에서 "대부분의 공격은 멀웨어를 이용한 원격 공격이며, 하드웨어 지갑이 이를 막아준다"고 덧붙였다.
비트코인 보안 패널에서 암호화 컨설턴트인 Peter Todd는 하드웨어 지갑을 사용하지 않는다고 말하면서 이 접근 방식에 동의하지 않았습니다. 금고.”
일반적으로 인터넷을 통해 주문하고 집으로 배송되는 하드웨어 지갑은 비트코인 보유자로 등 뒤에 대상을 놓을 수 있습니다. 랩톱을 사용하는 사람들은 결코 모를 수 있습니다. Todd는 무대 밖에서 CoinDesk와 이야기를 나누었습니다.
또한 하드웨어 지갑을 제조하는 공장이 공급망 공격의 대상이 될 수 있다고 그는 덧붙였습니다. 누군가 장치를 조작하고 재설계하여 사용자로부터 비트코인을 훔칠 수 있습니다.
따라서 “많은 사람들에게 제 조언은 전화기를 사서 하드웨어 지갑에 넣고 다른 용도로 사용하지 말라는 것입니다. 귀하의 전화는 대상이 아닙니다. 휴대 전화의 공급망은 목표가 아닙니다.”라고 Todd는 말했습니다.
Todd는 소유하고 있는 여러 장치를 사용하여 비트코인을 지출하는 모든 거래에 서명할 때 다중 서명 지갑을 사용하는 것이 이상적인 설정이라고 말했습니다. 그러나 현재 "멀티시그 기술을 위한 소프트웨어 스택은 그다지 좋지 않고 사용하기 쉽지 않습니다."
궁극적으로 일반 사람이 사용 중인 장치가 주장한 대로 작동하는지 확인할 방법이 없다고 Todd는 무대에서 말했습니다. “여러 가지 이유로 사용하지 않는 Trezor를 구입하고 그것이 주장하는 방식으로 작동하는지 확인하기 위해 실제로 모든 작업을 수행한 적이 있습니까? 아니요, 그것은 많은 작업이며 작동하지 않을 가능성이 있습니다.”라고 그는 말했습니다.
지갑이 오픈 소스 소프트웨어를 사용하는 경우(즉, 코드가 인터넷에 게시되는 경우) 해당 코드를 확인할 수 있지만 높은 수준으로 전환되는 또 다른 유형의 소프트웨어인 컴파일러가 있습니다. 일반 컴퓨터가 이해할 수 있는 기계어로 코드를 작성합니다. 확인하기는 더 어렵습니다.
Todd는 "이러한 시스템은 매우 복잡합니다."라고 말하면서 이러한 컴파일러는 코드의 "거대한 공장"과 같아서 진행하기가 매우 어렵고 일반적으로 컴파일러 코드의 모든 부분이 오픈 소스는 아니라고 덧붙였습니다.
에어갭 여부
또 다른 논쟁의 여지가 있는 질문은 하드웨어 지갑이 다른 장치와 통신하는 방법입니다.
서명하려는 트랜잭션에 대한 정보를 받으려면 하드웨어 지갑이 어느 시점에서 인터넷에 연결된 장치, 노트북 또는 휴대폰에 연결되어 있어야 합니다. 그들은 USB 포트, microSD 메모리 카드가 있는 유선을 통해 연결하거나 휴대폰 카메라가 읽을 수 있도록 지갑이 생성하는 QR 코드를 통해 통신할 수 있습니다.
일부 하드웨어 지갑 제조업체는 지갑과 컴퓨터 사이의 유선 연결을 피하는 것을 강조하여 장치가 인터넷에 연결되지 않는 보안 기능인 에어 갭이 있습니다.
Coldcard 하드웨어 지갑 제조업체인 Coinkite의 공동 창립자이자 CEO인 Rodolfo Novak은 "컴퓨터 네트워크가 아닌 MicroSD 카드를 통해 전자 정보를 물리적으로 전송하면 동시 공격 가능성이 크게 줄어듭니다. CoinDesk에 이메일을 보냅니다. (Coinkite는 Riga 회의에 참석하지 않았습니다.).
“USB를 사용하면 공격자가 하드웨어에 직접 액세스할 수 있으므로 원격 공격이 더 쉬워집니다. 컴퓨터의 운영 체제가 일련 번호를 기반으로 USB 장치에 대한 올바른 드라이버를 선택해야 한다는 사실은 부팅 시 일련 번호가 데이터에 포함된 Trezor와 같은 장치에 대해 익명성 문제를 야기합니다.”라고 Novak은 설명했습니다. USB로 연결된 경우 컴퓨터의 인터넷 연결에 침투했을 수 있는 악의적인 행위자가 키에 액세스할 수 있습니다.”
노박은 지갑의 존재와 고유 일련번호를 인터넷에 노출함으로써 USB 연결이 이를 취약하게 만든다고 말했다. 반대로 마이크로 SD 카드를 사용하면 실시간 인터넷 연결이 포함될 때 중요한 정보가 손상되지 않는다고 그는 덧붙였습니다.
그러나 Baltic Honeybadger 패널 참가자들은 SD 카드가 USB 코드보다 안전하다는 데 동의하지 않았습니다.
"지갑과 컴퓨터 사이의 전선이 반드시 나쁜 것은 아닙니다." Todd가 무대에서 말했습니다. "문제는 그 전선을 어떻게 설계하고, 얼마나 많은 전류와 초당 얼마나 많은 전자가 그 전선을 통해 흐르고 그 숫자가 얼마나 빨리 변할 수 있는지입니다."
그는 에어갭 버전의 지갑에 사용되는 최신 SD 카드는 보이는 것처럼 단순한 장치가 아니라고 덧붙였습니다. SD 카드는 "완전한 32비트 마이크로프로세서"입니다.
Trezor의 Rusnak도 같은 생각을 했습니다. "요즘 SD 카드는 내 첫 번째 컴퓨터보다 더 많은 컴퓨팅 성능을 사용합니다."라고 그는 말했습니다. "이 SD 카드가 내 컴퓨터에서 일부 데이터를 유출할까봐 걱정됩니다."
노박은 동의하지 않습니다. 그는 코인데스크에 "MicroSD 공격은 USB 공격에 비해 몇 배나 더 어렵다"며 Coldcard가 지갑과 함께 제공하는 microSD 카드는 USB, "악용 가능한 버그를 쉽게 감사할 수 있습니다."
궁극적으로 무엇이든 해킹할 수 있습니다.
하드웨어 지갑 회사인 BitBox의 설립자인 Douglas Bakkum은 "하드웨어 지갑 제조업체의 임무는 공격자의 시간이나 비용 면에서 너무 많은 비용이 들도록 만드는 것입니다."라고 말했습니다.
하드웨어 지갑을 공격할 수 있는 여러 수준이 있다고 Bakkum은 프레젠테이션에서 설명했습니다. Bakkum은 10월부터 회사 블로그 게시물에서 다음과 같은 사항을 반복했습니다. 통신 계층(즉, 지갑을 노트북에 연결하는 프로토콜, USB 포트, QR 코드 또는 SD 카드가 손상됨), 논리 계층(악성 소프트웨어 삽입) 및 물리 계층(공격자가 장치를 부수고 프로브를 연결하고 변조).
공급망 공격 위협은 USB 연결 장치와 SD 카드 모두에 영향을 미칠 수 있다고 Rusnak은 말했습니다.
“USB를 통해 공격하려는 공격자가 있다면 악의적인 SD 카드를 제공할 수도 있습니다. 공격자가 문제가 되지 않는 일반 도둑이고 공격자가 FBI나 다른 연방 기관이라면 SD 카드도 도움이 되지 않습니다.”라고 그는 CoinDesk에 말했습니다.
Rusnak은 "아무것도 믿을 수 없는 토끼 굴을 내려갈 때는 모래 어딘가에 선을 그어야 합니다."라고 말했습니다.
더 큰 그림
Rusnak은 비트코인을 보호할 때 일을 너무 복잡하게 만들지 않는 것이 중요하다고 말했습니다. 예를 들어 잘못된 순서로 시드 문구(분실된 지갑을 복구하는 키)를 작성하는 등 비트코인 스토리지에 대한 복잡한 보안 설정을 설계하기로 선택한 사람들은 올바른 순서를 잊어버리거나 "자살"할 수 있습니다. 또는 그들의 상속인은 그것을 재건할 수 없습니다.
Rusnak은 무대에서 "귀하의 설정은 10년, 15년 후에도 사용할 수 있어야 합니다."라고 말하며 사용자에게 항상 미래를 위한 보안 구축 프로세스를 문서화할 것을 권장합니다.
"당신의 두뇌를 믿지 마세요." Bakkum이 반향했습니다.
뉴질랜드의 전직 경찰관이자 현재 고객이 비트코인을 절약할 수 있도록 돕는 캘리포니아 기반 회사인 Swan Bitcoin의 개발자인 Rigel Walshe는 청중에게 어떤 기술 솔루션을 사용하든 신체적 안전을 관리하는 것이 중요하다고 상기시켰습니다. – 즉, 귀하(및 귀하의 비트코인)가 어디에 있는지 사람들에게 알리지 마십시오.
예를 들어 실제 위치를 보호하기 위해 우편 주소로 사서함이나 LLC 회사를 사용할 수 있습니다. 공과금 청구서도 실제 위치가 아닌 다른 주소로 보낼 수 있다고 Walshe는 말했습니다. 이 경우 사람들이 인터넷에서 귀하의 개인 정보를 찾더라도 여전히 귀하(및 귀하의 비트코인)를 얻을 수 없습니다.
Walshe는 "귀하의 정보가 신상 공개될 것이라고 가정하십시오."라고 말했습니다.
CoinDesk와의 인터뷰에서 Todd는 하드코어 비트코인 사용자들이 더 나쁜 기술로 간주하는 이더리움 블록체인을 예로 들면서 또 다른 가능한 보안 요소를 언급했습니다.
Todd는 "보안이 끔찍한 이더리움과 같은 생태계가 존재하기 때문에 비트코이너는 실제로 그렇게 위험에 처하지 않습니다."라고 말했습니다. “만약 당신이 나쁜 사람이고 물건을 크래킹하는 방법을 알고 있다면 무엇에 집중하겠습니까? 비트코인 훔치는 것보다 쉬운 [탈중앙화 금융]에서 훔치는 것에 집중하게 됩니다. 해커가 우리에게서 멀어지게 합니다.”
JinseFinance
cryptopotato
Coinlive 
Beincrypto
Cointelegraph