업비트 투자자보호센터

최근 뉴스에서 공공기관들이 니모닉 코드가 탈취되어 디지털 자산을 도난당했다는 보도가 종종 보입니다. 심지어 지갑 USB를 안전하게 보관하고 있었는데도 니모닉 코드 때문에 그랬다고 합니다. 대체 니모닉 코드가 무엇이길래 이런 일이 벌어졌을까요?

많은 사람들이 니모닉 코드를 인터넷 뱅킹의 비밀번호나 포털 사이트의 로그인 정보 정도로 이해하고 있습니다. 그러나 디지털 자산의 니모닉 코드는 우리가 일상에서 사용하는 비밀번호와는 본질적으로 다른 개념입니다.

본 콘텐츠는 생성형 AI를 이용하여 제작되었습니다

내 디지털 자산은 어디에 있을까요?

니모닉 코드를 이해하려면 먼저 디지털 자산, 즉 코인이 어디에 보관되는지를 알아야 합니다. 흔히 코인이 내 컴퓨터나 휴대폰, 혹은 USB 안에 저장되어 있다고 생각하기 쉽지만 사실은 그렇지 않습니다. 모든 코인은 공개된 블록체인 네트워크 위에 존재합니다. 블록체인은 전 세계 누구나 열람할 수 있는 공개 장부이며, 내 자산 역시 이 장부 위에 기록되어 있을 뿐이죠.

니모닉 코드, 우주 속 보물의 좌표

그렇다면 니모닉 코드는 무엇일까요? 비유를 하나 들어보겠습니다. 광활한 사막 한가운데 보물이 묻혀 있다고 상상해 보세요. 이 사막은 누구에게나 열려 있는 공개된 땅입니다. 누구든 들어갈 수 있고, 어디든 돌아다닐 수 있습니다. 하지만 보물이 정확히 어디에 묻혀 있는지, 그 좌표를 아는 사람만이 보물을 찾아 꺼낼 수 있죠. 니모닉 코드는 바로 이 좌표에 해당합니다. 비밀번호처럼 문을 여는 열쇠가 아니라, 보물이 묻힌 정확한 위치 그 자체인 것입니다. 

니모닉 코드는 보통 12개 또는 24개의 영어 단어로 구성되어 있으며, 이 단어의 조합이 블록체인이라는 광활한 사막 위에서 내 자산이 있는 정확한 지점을 가리킵니다. 이 좌표를 아는 사람은 전 세계 어디서든 그 지점에 도달해 자산을 꺼내갈 수 있으며, 블록체인의 특성상 한 번 꺼내간 자산은 되돌릴 수 없습니다. 좌표를 다른 사람에게 알려준다는 것은 곧 보물의 위치를 통째로 넘겨주는 것과 같습니다.

여기서 중요한 점이 하나 있습니다. 블록체인의 주소 공간은 사막이나 바다 정도가 아니라, 말 그대로 천문학적인 규모입니다. 니모닉 코드가 만들어낼 수 있는 조합의 수는 관측 가능한 우주에 존재하는 원자의 수보다도 많습니다. 그래서 누군가가 무작위로 니모닉 코드를 입력해서 우연히 다른 사람의 지갑에 도달할 확률은 사실상 불가능합니다. 우주의 나이만큼 시간이 주어진다 해도, 슈퍼컴퓨터를 동원한다 해도 찾아낼 수 없는 수준이죠. 바꿔 말하면 니모닉 코드를 누군가에게 직접 알려주지 않는 한, 외부에서 추측이나 우연으로 내 자산에 접근하는 것은 불가능하다는 뜻입니다.

해커들은 어떻게 니모닉을 빼앗는가

그렇다면 해커나 피싱범들은 어떤 방법으로 이 좌표를 알아내는 것일까요? 가장 흔하게 사용되는 수법은 피싱 사이트입니다. 범죄자들은 유명 지갑 서비스나 거래소와 똑같이 생긴 가짜 웹사이트를 정교하게 만들어 놓습니다. 이용자가 해당 사이트에 접속하면 보안 위험이 감지되었다거나 지갑 복구가 필요하다는 등의 구실을 내세우며 니모닉 코드를 입력하라고 요구하죠. 겉으로 보기에는 진짜 사이트와 구분이 거의 불가능하기 때문에, 의심 없이 니모닉 코드를 입력하는 순간 자산은 고스란히 넘어가게 됩니다. 운영자 사칭 역시 자주 쓰이는 방식입니다. 

대표적인 예를 하나 들어보겠습니다. 특정 코인의 공식 텔레그램 채널에서 이용자가 문의를 남기면, 운영진을 사칭한 누군가가 개인 메시지로 접근하여 도와주겠다고 말합니다. 그리고 문제 해결을 위한 링크를 전달하는데, 그 과정에서 슬쩍 니모닉 코드를 입력하도록 유도합니다. '운영진'이라는 타이틀에 경계심이 낮아진 상태에서 시키는 대로 따랐다가는 지갑의 모든 자산을 잃게 되는 것이죠. 이 밖에도 니모닉 코드를 클라우드 서비스나 이메일에 텍스트로 저장해 두었다가 해당 계정이 해킹당하면서 코드가 유출되는 사례도 빈번하게 발생하고 있습니다.

니모닉 코드를 묻는 자가 범인이다

니모닉 코드는 내 디지털 자산을 통제할 수 있는 강력하고도 유일한 수단입니다. 은행 비밀번호는 유출되더라도 은행에 연락하여 계좌를 동결하거나 비밀번호를 변경할 수 있지만, 니모닉 코드에는 그러한 안전장치가 존재하지 않습니다. 따라서 어떤 상황에서든, 누가 요청하든 니모닉 코드를 타인에게 알려주어서는 안 됩니다. 공식 서비스의 운영자라 해도 니모닉 코드를 요구하는 일은 절대 없습니다. 꼭 기억해야 할 원칙이 하나 있습니다. "니모닉 코드를 묻는 자가 범인이다."

 *본 셀럽의 조언 콘텐츠는 필자의 개인적 의견 및 해석을 바탕으로 작성된 것으로, 당사는 그 내용의 정확성·신뢰성·완전성을 보증하지 않으며 당사의 공식 입장을 대변하지 않습니다. 

*본 콘텐츠에 나오는 모든 내용은 디지털자산 관련 동향을 신속하게 전달하기 위해 제작된 것으로, 투자 권유나 특정 디지털 자산의 매수·매도를 추천하는 목적이 아닙니다. 어떠한 경우에도 투자판단의 근거로 사용될 수 없으며, 이 자료를 이용한 투자 결과에 대한 책임은 전적으로 투자자 본인에게 있습니다.