"보안 주장"을 거부하며, 지갑 보안은 검증 가능성의 시대로 접어들고 있습니다.

2025년에는 웹3가 "대규모 및 고빈도 사용"이라는 새로운 단계에 진입할 것이며, 지갑은 "암호화폐 저장 도구"에서 온체인 진입점 및 거래 운영 체제로 빠르게 진화할 것입니다. 시장 조사 기관인 포춘 비즈니스 인사이트(Fortune Business Insights)는 암호화폐 지갑 시장이 2025년에 약 122억 달러 규모에 달하고 2034년에는 985억 7천만 달러까지 성장할 수 있다고 예측합니다.

사용자 측면의 확장세 또한 뚜렷하게 나타나고 있습니다. a16z crypto는 "State of Crypto 2025" 보고서에서 현재 활동 중인 암호화폐 사용자가 약 4천만~7천만 명에 달할 것으로 추산했으며, "코인을 보유하고 있지만 반드시 블록체인 상에서 활동적이지는 않은" 암호화폐 자산 보유자는 약 7억 1천 6백만 명에 이를 것으로 전망했습니다. Crypto.com Research의 보고서 역시 전 세계 암호화폐 보유자 수가 2025년 상반기에 6억 8천 1백만 명에서 7억 8백만 명으로 증가할 것으로 예측하고 있습니다.

규모와 보급률의 증가는 보안 위험 또한 증폭시킵니다. 이제는 단순히 "계약에 취약점이 있는지 여부"의 문제가 아니라, 링크 클릭, 지갑 연결, 권한 서명, 자금 이체와 같은 주요 사용자 접점에서 위험을 사전에 예방할 수 있는지 여부가 중요해졌습니다.

온체인 세계의 공격 표면은 종종 계약 취약점을 넘어, 진입 장벽이 낮은 피싱 공격, 가짜 도메인, 고객 서비스 사칭, 승인 사기 등 "거래 전 위험"으로 간주되는 다양한 공격 유형을 포함합니다. 예를 들어, Chainalysis는 "암호화폐 인출기"(지갑 인출기/피싱 승인 도구)를 다음과 같이 정의합니다. 이러한 도구는 계정 비밀번호를 훔치는 것이 아니라, 사용자를 속여 지갑을 연결하고 악성 거래를 승인하도록 유도하여 자산을 직접 이체합니다. 공개 데이터에 따르면 "지갑 인출기" 관련 손실액은 2024년에 약 5억 달러에 달했습니다.

따라서 Web3 지갑의 보안을 개선하는 것은 더 이상 계약에 취약점이 있는지 여부에만 초점을 맞추는 것이 아니라, 사용자 행동의 중요한 지점에서 위험을 사전에 차단하는 방법, 즉 "거래 전 보안"에 더욱 집중해야 합니다.

이러한 업계 상황 속에서 "보안"은 단순한 슬로건으로 해결하기 어려운 개념이 되어가고 있습니다. 오히려 보안은 지속적으로 검증되어야 하는 일련의 관리 역량에 가깝습니다. 즉, 적시에 검증, 추적 및 공개가 가능한지 여부가 사용자들이 지갑을 선택하는 중요한 기준이 되고 있습니다.

"보안 주장"에서 "이해하기 쉬운 보안 기능 목록"으로

오랫동안 지갑 프로젝트들은 "보안 감사를 완료했습니다", "보안 백서를 제공합니다", "위험 관리에 매우 신경 쓰고 있습니다"와 같은 문구로 보안을 강조해 왔습니다. 그러나 사기와 피싱이 만연하면서 이러한 "보안 주장"은 설득력을 잃어가고 있습니다. 사용자가 실제로 피해를 입는 순간은 링크를 클릭하고, 지갑에 접속하고, 승인 서명을 하는 등 매우 짧은 순간에 발생하는 경우가 많습니다. Chainalysis는 "암호화폐 탈취"를 전형적인 수법으로 설명합니다. 공격자는 합법적인 페이지를 가장하여 사용자를 유도하고 승인을 완료하게 한 다음 자산을 빼돌립니다. Chainalysis의 연구에 따르면 Ordinals 사용자를 대상으로 악의적인 거래를 실행하기 위해 Magic Eden 페이지를 위조한 사례도 있습니다.

공개적으로 이용 가능한 데이터는 업계에서 "이해하기 쉬운" 보안을 강조하는 흐름을 주도하고 있습니다. 보안 전문지 Security Week는 Scam Sniffer의 통계를 인용하여 2024년에 지갑을 비우는 행위로 인해 약 5억 달러의 손실이 발생했으며, 33만 2천 명 이상의 피해자가 발생했다고 보도했습니다. 이러한 사건은 공격자가 복잡한 시스템을 침입할 필요 없이 사용자가 거래 과정에서 위험을 제대로 이해하지 못하는 점을 악용하여 발생합니다. 한편, Chainalysis는 2025년 전망에서 2024년 온체인 사기 수익이 최소 99억 달러에 달할 것으로 추정했으며, 더 많은 사기 주소가 확인됨에 따라 이 수치는 상향 조정될 수 있다고 밝혔습니다. 위험이 주로 "사용자 측의 가독성 부족"에서 비롯되는 만큼, 지갑 공급업체는 보안을 백엔드 엔지니어링에서 사용자 커뮤니케이션의 프런트엔드로 옮겨야 합니다.

결과적으로 업계의 점점 더 많은 지갑들이 보안 기능을 "제품화"하기 시작했습니다. 단순히 "우리는 안전합니다"라고 말하는 대신, 사용자가 이해하기 쉬운 목록으로 보호 조치를 세분화하여 제공합니다. 어떤 토큰이 고위험으로 표시될지, 어떤 거래가 경고를 발생시킬지, 어떤 주소나 DApp이 차단될지, 그리고 그 이유는 무엇인지 등을 설명합니다. 이러한 변화의 핵심은 보안을 "자격 증명" 방식에서 "상호 작용적인 설명" 방식으로 재정립하는 것입니다. 즉, 사용자가 서명하기 전에 실행 가능한 정보를 얻을 수 있도록 하는 것이며, 나중에 감사 PDF를 확인하는 것에 그치지 않도록 하는 것입니다.

이러한 추세에 대응하여 OKX Wallet은 새롭게 출시 및 업그레이드된 보안 센터 페이지를 통해 "체크리스트 기반 표현"의 전형적인 사례를 보여줍니다. 이 페이지는 사용자가 직접 확인할 수 있는 보안 기능을 토큰 위험 감지, 거래 모니터링, 주소 검사라는 세 가지 "최전선 방어선"으로 명확하게 제시하고 있으며, 각 기능은 "허니팟 및 악의적인 공격자에 대한 노출을 줄이기 위해 고위험 토큰을 표시합니다.", "의심스러운 온체인 활동을 식별하기 위한 실시간 크로스체인 모니터링.", "악성 DApp 및 주소와의 상호 작용을 차단합니다."와 같이 한 문장으로 설명됩니다. 이러한 접근 방식의 장점은 보안 용어에 익숙하지 않은 사용자조차도 현재 자신의 행동(클릭, 서명 또는 자금 이체)과 정보를 빠르게 연결할 수 있다는 것입니다.

OKX Wallet 보안 랜딩 페이지 감사 보고서를 보려면 여기를 클릭하십시오: https://web3.okx.com/zh-hans/security

더 중요한 것은 "이해하기 쉽다"는 것이 "혼잣말을 하는 것"과 동의어가 아니라는 점입니다. OKX Wallet은 같은 페이지에서 "감사 보고서 보기" 기능을 제공하여 "기능 목록"과 "타사 검증"을 연결합니다. 또한, 도움말 센터의 감사 보고서 모음 페이지에서는 감사 범위, 발견된 문제 수, 수정 상태를 더욱 명확하게 보여주어 사용자가 필요에 따라 "기능 이해"에서 "증거 검증"으로 넘어갈 수 있도록 합니다.

"보안 주장에서 이해하기 쉬운 체크리스트로"의 전환이 갖는 핵심 가치는 보안을 더욱 거창하게 들리게 하는 데 있는 것이 아니라, 더욱 실질적인 조치를 취할 수 있도록 하는 데 있습니다. 사기가 점점 더 유인과 위장을 이용함에 따라, 지갑이 상호 작용 지점에서 위험 경고를 제공하고 사용자가 이해할 수 있는 언어로 "어디가 위험한지, 왜 위험한지, 그리고 무엇을 해야 하는지"를 설명하는 능력은 보안 기능의 일부가 되고 있으며, 중요한 단계에서 사용자가 함정에 빠질지 여부를 결정하는 데 점점 더 중요한 역할을 합니다.

감사 정보가 "공개적으로 접근 가능"해짐에 따라, 제3자 승인이 "연동된" 형태에서 "검증 가능한 증거 사슬"로 전환되었습니다.

지갑 업계에서 감사는 오랫동안 심각한 문제에 직면해 왔습니다. 많은 프로젝트가 실제로 "감사를 받았지만" 관련 정보가 공지, PDF 파일, 소셜 미디어 게시물 등에 흩어져 있어 일반 사용자가 "누가, 무엇을, 수정되었는지, 언제 업데이트되었는지"를 빠르게 파악하기 어려웠습니다. 이번에 OKX Wallet은 공개적으로 이용 가능한 제3자 감사 보고서를 하나의 통합된 페이지에 모아 "2022년 11월 11일 게시, 2025년 11월 17일 업데이트"와 같이 명시함으로써, 사용자가 일회성 정보가 아닌 지속적으로 업데이트되는 정보임을 즉시 확인할 수 있도록 했습니다.

이 컬렉션 페이지에 공개된 항목들을 보면, 공개 범위가 전통적인 감사 대상인 "스마트 계약"에만 국한되지 않는다는 것을 알 수 있습니다. CertiK의 2024년 5월 23일자 항목을 예로 들면, 감사 내용은 모바일 및 프런트엔드의 핵심 코드 경로를 명확하게 다루고 있습니다. 여기에는 iOS/Android 구성 요소, 프런트엔드 ReactJS UI 구성 요소 및 키링과 상호 작용하는 JS 컨트롤러, 그리고 여러 지갑 SDK 모듈이 포함되며, 감사 방법과 결론도 제공됩니다.

같은 페이지에서 SlowMist 항목은 지난 2년간 지갑 진화의 "새로운 패러다임"에 더 가깝습니다. AA 스마트 계약 계정, MPC 키리스 지갑, Ordinals 거래 모듈은 모두 공개적으로 감사 가능한 객체로 나열되어 있습니다. 또한 "개인 키 보안 모듈"에 대한 감사 정보가 별도로 나열되어 있으며, "개인 키 또는 니모닉 구문은 사용자의 기기에만 저장되며 외부 서버로 전송되지 않습니다."라고 명확하게 명시하여 키 보안에 대한 사용자의 핵심적인 우려에 대응하고 있습니다.

이러한 "중앙 집중식 표시"의 가치는 더욱 완벽한 정보를 제공하는 데 그치지 않고, 더 중요한 것은 "새로운 기능"과 "검증 가능성"을 동일한 진입점에 연결하는 데 있습니다. 지갑 업계가 AA(자동 감사) 및 MPC(다단계 결제)와 같은 복잡한 아키텍처로 점점 더 나아가고 있는 상황에서, 사용자에게 가장 필요한 것은 "우리는 안전합니다"와 같은 단순한 문구가 아니라, 감사 범위가 핵심 모듈을 포함하는지, 어떤 방법을 사용하는지, 위험 요소가 폐쇄 루프 방식으로 수정되었는지, 그리고 정보가 지속적으로 업데이트되는지 등을 신속하게 검증할 수 있는 증거입니다.

한편, OKX Wallet에 따르면 이번 업그레이드 이후 새로 추가된 감사 보고서 및 관련 정보는 별도의 릴리스 없이 설정을 통해 직접 업데이트할 수 있습니다. 이러한 방식이 장기적으로 안정적으로 운영된다면, 단순히 연구 개발 및 릴리스 비용을 절감하는 것을 넘어 '외부 검증 가능성' 확보 과정을 단축하는 효과를 가져올 수 있습니다.

사용자 입장에서는 감사가 추가되거나 수정이 완료되면 공개 진입점에서 "최신 상태"를 더 빠르게 반영할 수 있어, 중요 위험 단계에서 "전달된 스크린샷이나 이전 링크에만 의존하여 판단해야 하는" 불확실성을 줄일 수 있습니다. 제3자 관찰자 및 연구원 입장에서는 어떤 모듈이 언제 감사되었는지, 어떤 수준의 문제가 발견되었는지, 언제 수정이 확인되고 공개적으로 업데이트되었는지 등을 추적 가능한 타임라인으로 쉽게 파악할 수 있어, "제3자 승인"을 일회성 PDF 파일이 아닌 지속적으로 검증 가능한 증거의 사슬로 만들 수 있습니다.