패스프레이즈와 니모닉 시드는 과연 무엇일까요? 암호화폐를 안전하게 보관하는 콜드월렛(하드웨어 월렛) 사용자라면, 12개 또는 24개의 단어로 이루어진 ‘니모닉 시드(Mnemonic Seed)’를 들어보셨을 겁니다. 이 단어들은 지갑을 복구하는 마스터 키 역할을 합니다. 그런데 콜드월렛을 설정하다 보면, ‘선택 사항’으로 **패스프레이즈(Passphrase)**라는 추가 비밀번호를 설정할 수 있습니다. 니모닉 시드만으로는 부족할까요? **Passphrase**는 정확히 무엇이며, 이 ’25번째 단어’를 사용하는 것이 지갑 보안에 어떤 결정적인 차이를 가져올까요? 초보자도 쉽게 이해할 수 있도록 니모닉과 **Passphrase**의 관계, 그리고 실전 보안 전략을 자세히 알아보겠습니다.
니모닉 시드: 지갑 복구의 ‘마스터 키’ 역할과 한계
니모닉 시드는 BIP-39 표준에 따라 개인 키를 사람이 읽을 수 있는 단어의 형태로 변환한 것입니다. 보통 12개 또는 24개의 단어로 구성됩니다. 이 단어들은 모든 개인 키를 생성하는 근원(Root Seed) 역할을 합니다.
니모닉 시드의 한계: 이 24개의 단어만 있다면 자산을 복구할 수 있지만, 동시에 이 단어들이 외부에 노출되거나 탈취당하면 자산은 무방비 상태가 됩니다. 여기서 **Passphrase**라는 최종 방어막의 필요성이 생겨납니다.
패스프레이즈란 무엇이며, 왜 복잡해야 하는가?
**Passphrase**는 니모닉 시드(24개 단어)에 추가하는 **선택적인 문자열**입니다. 흔히 ’25번째 단어’라는 비유적인 이름으로 불리지만, 실제로는 영어 단어가 아닌 **최대 100자까지의 임의 문자열**입니다. 공백, 숫자, 특수 문자까지 모두 허용됩니다.
BIP-39 표준과 패스프레이즈의 기술적 작동 원리 (PBKDF2 해시)
BIP-39 표준에 따라, 니모닉 시드와 **패스프레이즈**는 결합되어 작동합니다. 기술적으로 이 둘은 PBKDF2-HMAC-SHA512라는 강력한 해시 알고리즘을 거치게 됩니다. 이 과정은 2,048회 반복되어 시간적 지연을 유발하며 무차별 대입 공격을 사실상 불가능하게 만듭니다.
이 해시 과정을 통해 **완전히 새로운 마스터 시드**가 생성되며, 단 한 글자의 대소문자나 공백이라도 틀린 **Passphrase**를 입력할 경우 기존 지갑이 아닌 엉뚱한(혹은 비어있는) 지갑이 열리게 됩니다.
Passphrase 미사용 지갑의 현실적 위험성
**Passphrase**를 사용하지 않으면, 니모닉 시드가 외부에 노출되는 순간(예: 보관 장소 발각, 물리적 탈취 등) 공격자는 즉시 자산에 접근할 수 있습니다. 반면, **Passphrase**를 사용했다면, 니모닉 시드가 노출되더라도 이 복잡한 ‘추가 문자열’을 모르는 한 공격자는 지갑을 열 수 없습니다.
4가지 결정적 차이점
다음은 두 가지 설정 방법의 결정적인 차이와 리스크 관리 측면입니다. **콜드월렛 디바이스에 따라 Passphrase 지원 여부와 설정 UI가 다를 수 있으니 반드시 공식 문서를 확인하세요.**
- 보안 수준:
- 니모닉만: 중간 수준. 시드 노출 시 자산 전체 노출.
- Passphrase 사용: 최고 수준. 시드가 노출되어도 **패스프레이즈**를 모르면 자산 안전.
- 물리적 공격 방어 (미끼 지갑 전략):
- 니모닉만: 강압적 탈취(Wrench Attack)에 무방비.
- Passphrase 사용: ‘미끼 지갑(Decoy Wallet)’ 전략을 사용할 수 있습니다. 낮은 금액을 보관하는 미끼 지갑용 **패스프레이즈**를 입력하여 실제 고액 자산 지갑을 숨길 수 있어 물리적 위협에 대한 방어가 가능합니다.
- 실수 허용 범위와 복구 치명도:
- 니모닉만: 24개 단어만 정확하면 복구 성공.
- Passphrase 사용: **패스프레이즈**는 대소문자, 띄어쓰기, 특수 기호까지 단 하나의 오차도 허용하지 않습니다. 작은 오타나 공백 불일치도 영구적인 복구 불능을 초래합니다.
- 콜드월렛 디바이스별 지원:
- 일반 니모닉: 모든 BIP-39 호환 지갑에서 지원.
- Passphrase: Trezor, Ledger(Hidden Wallet 기능), Coldcard, SeedSigner 등 주요 하드월렛은 지원하나, 저가형 또는 일부 앱 지갑은 지원하지 않을 수 있습니다.
콜드월렛 사용자를 위한 실전 관리 가이드
최고의 보안을 제공하는 **Passphrase**이지만, 관리 난이도가 매우 높기 때문에 다음 원칙을 반드시 준수해야 합니다.
- Passphrase 복잡성: 쉬운 단어는 피하고, 긴 문장 형태(예: “My_favorite_crypto_is_bitcoin_since_2025!”)처럼 공백, 숫자, 기호를 포함한 **복잡한 문자열**로 설정하세요.
- 미끼 지갑 관리 주의: 미끼 지갑(Decoy Wallet) 전략을 사용할 경우, 실제 고액 자산용 **패스프레이즈**와 미끼용 **패스프레이즈**를 절대로 혼동하지 않도록 명확한 관리 체계를 마련해야 합니다. 혼동 시 본인도 자산을 영구적으로 잃을 수 있습니다.
- 물리적 분리 보관 원칙: 니모닉 시드와 **패스프레이즈**는 **반드시 물리적으로 서로 다른 장소에 분리**하여 보관해야 합니다. 니모닉과 **Passphrase**를 함께 보관하는 것은 보안 효과를 무력화시킵니다.
- 디지털 저장 최소화 및 오프라인 암호화: **패스프레이즈**는 클라우드나 온라인 환경에 저장하지 마세요. 불가피하게 디지털 저장소를 사용해야 한다면, KeePass나 Bitwarden의 오프라인 파일 등 **강력하게 암호화된 오프라인 저장소**를 활용하고, 종이나 금속 백업(예: Billfodl, Coinplate)을 활용하는 것이 가장 안전합니다.