KYC 없음 ≠ 책임 없음: 셀프 커스터디 사용자가 꼭 알아야 할 보안 현실
“KYC 없음”이라는 말은 크립토 업계에서 흔히 “자유”와 연결됩니다. 신분증을 제출하지 않아도 되고, 얼굴 인증을 하지 않아도 되며, 거래소가 자산을 맡아 보관하는 데서 오는 플랫폼 리스크도 줄일 수 있기 때문입니다.
하지만 여기에는 반드시 바로잡아야 할 오해가 있습니다. KYC가 없다는 것은 책임이 없다는 뜻이 아닙니다. 오히려 중앙화 거래소를 사용할 때보다 사용자가 직접 져야 할 책임이 더 커진다는 의미에 가깝습니다.
이 글에서는 셀프 커스터디 사용자가 사고를 겪은 뒤에야 후회하게 되는 핵심 보안 현실을 정리합니다.
셀프 커스터디의 책임 전환: 당신은 자신의 은행이자 보안 담당자입니다
중앙화 거래소(CEX)를 사용할 때는 보안 책임이 어느 정도 분리되어 있습니다. 거래소가 프라이빗 키를 보관하고, 2단계 인증을 제공하며, 이상 로그인이나 의심스러운 출금을 모니터링하고, 특정 상황에서는 계정을 동결해 사용자 자산을 보호하기도 합니다.
물론 이런 보호에는 KYC, 개인정보 제공, 플랫폼 수탁 리스크가 함께 따라옵니다.
반대로 셀프 커스터디를 선택하면 이러한 보안 기능 대부분이 사용자 본인에게 넘어옵니다. 이더리움의 ERC-20 토큰 표준에 따라, 토큰 전송은 블록체인에서 확인되면 되돌릴 수 없습니다. 잘못 보낸 전송을 취소해 줄 플랫폼도 없고, 도난당한 자산을 회수해 줄 고객센터도 없습니다.
이는 셀프 커스터디를 포기하라는 뜻이 아닙니다. 다만 올바른 태도와 보안 습관을 갖고 이 영역에 들어와야 한다는 뜻입니다.
다섯 가지 보안 현실
현실 1: 시드 문구 유출 = 자산 통제권 상실, 예외는 없습니다
시드 문구, 즉 Seed Phrase는 지갑 안의 모든 자산을 통제할 수 있는 최종 권한입니다. 누군가 당신의 시드 문구를 알게 되면, 그 사람은 사실상 당신의 지갑 전체를 소유한 것과 같습니다.
이는 “그럴 수도 있다”가 아니라, 프로토콜 구조상 그렇게 작동한다는 의미입니다. 블록체인에는 “도난 자산”을 자동으로 식별해 막아 주는 기능이 없습니다.
MetaMask 공식 문서에서도 시드 문구는 최종 비밀번호처럼 보관해야 하며, 시드 문구를 요구하는 모든 요청은 예외 없이 사기라고 설명합니다.
흔한 시드 문구 유출 사례는 다음과 같습니다.
- 시드 문구를 스크린샷으로 저장했고, 해당 이미지가 클라우드에 동기화된 경우
- 가짜 “지갑 복구” 웹사이트에 시드 문구를 입력한 경우
- 소셜미디어의 “고객센터” 사칭 계정에 속아 시드 문구를 전달한 경우
- 악성코드에 감염된 기기에 시드 문구를 저장한 경우
현실 2: 스마트 컨트랙트 승인은 가장 자주 간과되는 공격면입니다
DEX에서 거래할 때, 특정 토큰을 처음 사용하려면 대부분 승인(Approve) 트랜잭션이 필요합니다. 이 작업은 컨트랙트 주소가 당신의 지갑에서 지정된 토큰을 이동할 수 있는 권한을 부여합니다.
문제는 많은 사용자가 무제한 승인(unlimited approval)을 해 놓고, 더 이상 해당 프로토콜을 사용하지 않는데도 승인을 철회하지 않는다는 점입니다. 만약 해당 프로토콜이 공격당하거나, 사용자가 악성 컨트랙트와 상호작용하게 되면 남아 있는 승인이 자산 탈취 통로가 될 수 있습니다.
Revoke.cash의 교육 자료는 이 위험을 자세히 설명하며, 사용자가 과거 승인 내역을 확인하고 철회할 수 있는 도구를 제공합니다. Hyperliquid, dYdX 같은 플랫폼을 사용한 뒤에도 승인 상태를 주기적으로 점검하는 것은 기본적인 보안 습관입니다.
현실 3: 서명 요청은 항상 “소액 작업”이 아닙니다
EIP-712 구조화 데이터 서명 표준 덕분에 DApp은 단순 송금 트랜잭션이 아니라 복잡한 구조화 데이터를 사용자에게 서명하도록 요청할 수 있습니다. 피싱 공격자는 이 기능을 적극적으로 악용합니다. 정상적인 승인 요청처럼 보이게 만든 뒤, 실제로는 지갑 내 자산을 이동시키는 악성 데이터에 서명하도록 유도하는 방식입니다.
Chainalysis의 Drainer 공격 연구에서도 많은 피해자가 사고가 난 뒤에야 자신이 서명한 “승인”이 사실상 자산 이전 명령이었다는 사실을 알게 된 사례가 소개됩니다. 지갑 화면에 표시되는 문구만 보고 합법적인 작업과 악성 작업을 구분하기는 쉽지 않습니다.
해결책은 서명 내용을 해석하고 트랜잭션 시뮬레이션을 제공하는 지갑을 사용하는 것입니다. OneKey 지갑은 서명 전에 요청 내용을 분석해 보여 주어, 사용자가 비정상적인 서명 요청을 더 쉽게 식별할 수 있도록 돕습니다.
현실 4: 온체인 프라이버시는 생각보다 낮습니다
KYC가 없다고 해서 익명이라는 뜻은 아닙니다. 블록체인은 공개 장부입니다. 당신의 거래, 보유 자산 변화, 자금 이동 경로는 모두 조회 가능합니다.
여기에 지갑 주소 클러스터링 분석이 결합되면, 전문 온체인 분석 기관은 상당히 구체적인 사용자 행동 프로필을 만들 수 있습니다.
예를 들어 유럽연합의 자금 이전 규칙(TFR)은 온체인 전송의 수취인 정보 추적 요구를 다루고 있습니다. 규제 기관의 온체인 데이터 접근 및 분석 역량은 계속 강화되는 추세입니다.
따라서 “DEX를 썼으니 완전히 익명이다”라는 생각은 정확하지 않습니다. KYC 거래소에서 특정 주소로 출금한 뒤, 그 주소로 DEX 거래를 했다면 이 자금 흐름은 기술적으로 추적될 수 있습니다.
현실 5: 탈중앙화가 법적 책임을 없애 주지는 않습니다
FinCEN의 규제 지침과 유럽연합의 MiCA 규제는 기본적으로 “플랫폼”이 아니라 “활동”을 기준으로 접근합니다. 사용한 플랫폼이 KYC를 요구하지 않더라도, 사용자는 자신의 거래 활동에 대해 세금 신고 및 자금세탁방지 관련 의무를 부담할 수 있습니다.
“DEX를 사용했다”는 사실이 법적 책임에서 벗어나게 해 주는 마법의 버튼은 아닙니다.
셀프 커스터디 보안을 위한 네 가지 방어 계층
셀프 커스터디에서 중요한 것은 단일 보안 기능에 의존하지 않는 것입니다. 다음과 같은 여러 계층을 함께 갖추는 것이 좋습니다.
-
시드 문구 보호
시드 문구는 오프라인으로 보관하고, 스크린샷이나 클라우드 백업을 피해야 합니다. -
하드웨어 지갑 사용
프라이빗 키를 인터넷에 연결된 기기에서 분리하면 악성코드나 피싱 공격에 노출될 가능성을 줄일 수 있습니다. -
서명 내용 확인 및 트랜잭션 시뮬레이션
서명 전 실제로 어떤 권한을 부여하는지, 어떤 자산이 이동할 수 있는지 확인해야 합니다. -
정기적인 승인 관리
더 이상 사용하지 않는 DApp이나 컨트랙트의 토큰 승인은 주기적으로 철회하는 것이 좋습니다.
OneKey 지갑은 이러한 여러 계층에서 보안 기능을 제공합니다. 또한 OneKey의 코드는 오픈소스로 공개되어 있어, OneKey GitHub 저장소를 통해 보안 구현 방식을 누구나 검증할 수 있습니다.
셀프 커스터디 초보자가 자주 하는 오해
오해 1: “시드 문구를 남에게 말하지만 않으면 안전해요.”
현실은 다릅니다. 시드 문구 유출은 직접 알려 주는 방식으로만 발생하지 않습니다. 스크린샷, 클라우드 백업, 악성코드, 가짜 복구 사이트를 통해 사용자가 모르는 사이에 유출될 수 있습니다.
오해 2: “유명한 DEX를 쓰니까 컨트랙트는 안전할 거예요.”
프로토콜 자체가 안전하더라도, 피싱 사이트는 똑같은 화면을 복제해 사용자가 악성 컨트랙트와 상호작용하도록 유도할 수 있습니다. 항상 도메인을 확인해야 합니다.
오해 3: “소액 거래라서 하드웨어 지갑까지는 필요 없어요.”
공격자는 현재 잔액이 적다고 해서 반드시 포기하지 않습니다. 주소에 활성화된 승인이 남아 있다면, 지금은 자산이 적더라도 나중에 입금한 자산이 위험해질 수 있습니다.
자주 묻는 질문
Q1. 셀프 커스터디를 하면 자산이 더 안전해지나요?
셀프 커스터디는 거래소 파산, 출금 중단, 플랫폼 해킹 같은 리스크를 줄여 줍니다. 하지만 사용자 실수, 시드 문구 유출, 악성 서명 같은 새로운 리스크가 생깁니다. 안전성은 셀프 커스터디라는 형식 자체가 아니라 사용자의 보안 습관에 달려 있습니다.
Q2. OneKey 지갑을 잃어버리면 자산도 사라지나요?
아닙니다. 시드 문구 백업을 안전하게 보관하고 있다면 새 기기에서 지갑을 다시 가져와 자산 통제권을 복구할 수 있습니다. OneKey 지갑은 표준 BIP-39 시드 문구를 지원하며, 업계의 주요 지갑 방식과 호환됩니다.
Q3. 서명 요청이 안전한지 어떻게 판단하나요?
서명 요청에 포함된 컨트랙트 주소가 현재 사용 중인 공식 프로토콜 주소인지 확인해야 합니다. 요청 권한이 실제 작업에 필요한 범위를 넘어서지 않는지도 봐야 합니다. 의심스럽다면 서명을 거부하고 공식 채널을 통해 확인하는 것이 좋습니다. OneKey 지갑의 트랜잭션 시뮬레이션 기능을 사용하면 서명 전 결과를 미리 확인하는 데 도움이 됩니다.
Q4. 컨트랙트 승인을 철회하면 보유 자산에 영향이 있나요?
이미 완료된 거래나 현재 보유 중인 자산에는 일반적으로 영향을 주지 않습니다. 승인 철회는 해당 컨트랙트가 앞으로 당신의 지갑에서 토큰을 이동하지 못하게 막는 작업입니다. 거래를 마친 뒤 불필요한 승인을 철회하는 것은 표준적인 보안 관리 방식입니다.
Q5. DEX를 사용하면 세금 의무가 CEX와 달라지나요?
세금 의무는 어떤 플랫폼을 사용했는지가 아니라, 거주지와 해당 관할권의 법률에 따라 달라집니다. 규제가 있는 많은 국가에서는 DEX 거래로 발생한 자본이득도 신고 대상이 될 수 있습니다. 이 글은 세무 조언이 아니며, 필요한 경우 전문가에게 상담해야 합니다.
결론: 자유와 책임은 같은 동전의 양면입니다
셀프 커스터디를 선택하면 플랫폼이 임의로 자산을 동결하기 어려운 자유를 얻고, 특정 기관에 신원을 증명하지 않아도 되는 환경을 경험할 수 있습니다. 하지만 그 자유의 대가는 온전한 보안 책임입니다.
이 책임을 이해하고 진지하게 관리할 때, 셀프 커스터디의 가치를 제대로 누릴 수 있습니다.
OneKey 지갑을 다운로드해 오픈소스 하드웨어 지갑 기반의 보안 환경을 구축해 보세요. 그리고 필요하다면 OneKey Perps를 통해 KYC 없는 환경에서 무기한 선물 거래 워크플로를 직접 관리할 수 있습니다. 자유와 보안은 반드시 둘 중 하나만 선택해야 하는 문제가 아닙니다.
위험 고지: 이 글은 교육 목적의 참고 자료이며, 투자 조언이나 보안 보장을 의미하지 않습니다. 셀프 커스터디 지갑의 자산 손실은 조작 실수, 프라이빗 키 또는 시드 문구 유출, 스마트 컨트랙트 취약점 등으로 발생할 수 있으며 일반적으로 복구가 어렵습니다. 암호화폐 거래에는 높은 시장 위험이 있으며, 레버리지 거래는 원금을 초과하는 손실로 이어질 수 있습니다. 관련 위험을 충분히 이해한 뒤 신중하게 판단하시기 바랍니다.
