멀티시그 지갑은 실제로 보안을 향상시키는가? 위협 모델 관점에서의 분석
멀티시그 지갑은 암호화폐 분야에서 기본적인 안전 보관 방식으로 널리 알려져 있지만, "실제로 보안이 향상되는가?"라는 질문에 대한 답은 전적으로 위협 모델에 달려 있습니다. 이 글에서는 멀티시그가 방어하는 위협, 방어하지 못하는 위협, 그리고 오히려 상황을 악화시킬 수 있는 경우를 살펴봅니다.
- security
- wallets
- multisig
- web3
- key-management
멀티시그 지갑—M-of-N 키 중 M개가 서명해야 트랜잭션이 유효해지는 지갑—은 단일 키 핫 월렛에서의 자연스러운 업그레이드로 흔히 소개됩니다. DAO, 거래소, 암호화폐 전문 기업의 대부분의 자금 관리 체계는 어떤 형태로든 멀티시그로 운영됩니다(Safe, Squads, Multisig.js, 임계값 서명 변형 등).
이러한 명성은 충분히 타당하지만, 오직 특정한 위협 모델에 한해서만 그렇습니다. 멀티시그는 자금이 탈취되는 가장 흔한 방법 중 일부를 막아내지만, 다른 방법에는 거의 무력합니다. 아래는 솔직한 분석입니다. 멀티시그가 실제로 잘 방어하는 것, 부족한 부분, 그리고 도입이 오히려 설정을 더 위험하게 만들 수 있는 경우를 정리합니다.
멀티시그란 무엇인가 — 간략한 설명
2-of-3 멀티시그에서는 세 개의 개인 키가 존재하며, 그 중 두 개가 서명해야 온체인에서 트랜잭션이 실행됩니다. 지갑 자체는 스마트 컨트랙트(이더리움 / EVM 세계에서)이거나 비트코인의 네이티브 멀티시그 출력 유형(P2SH/P2WSH 방식)입니다. 컨트랙트는 서명을 검증한 후 트랜잭션을 전달합니다.
EVM 생태계에서 가장 널리 사용되는 구현체는 Safe(구 Gnosis Safe)입니다. Solana에서는 Squads가 동일한 역할을 합니다. 비트코인은 네이티브 멀티시그 지원의 긴 역사를 보유하고 있으며, 종종 PSBT 워크플로우를 통해 하드웨어 지갑과 함께 사용됩니다.
임계값 서명 방식(TSS, FROST, MPC)은 단일 온체인 키로 유사한 결과를 달성합니다. 각 서명자는 개인 키의 *조각(share)*을 보유하고, 이를 재조합하지 않고도 공동으로 서명합니다. 위협 모델 관점에서 아래의 논점 대부분은 두 방식 모두에 동등하게 적용되며, 일부 주의 사항은 나중에 별도로 언급합니다.
멀티시그가 방어하는 것 (좋은 소식)
단일 키 탈취
이것이 가장 핵심적인 이점입니다. 서명자 한 명의 하드웨어 지갑이 도난당하거나, 한 명의 스마트폰이 악성코드에 감염되거나, 한 명의 시드 구문이 유출되더라도, 해당 단일 키를 확보한 공격자는 자금을 이동시킬 수 없습니다. 적어도 M-1개의 다른 키를 동시에 탈취해야 하기 때문입니다.
2-of-3 설정에서 공격자는 서로 독립적인 두 개의 엔드포인트를 탈취해야 합니다. 이상적으로는 각각 다른 사람이, 다른 하드웨어로, 다른 물리적 장소에서 보유한 것이어야 합니다. 동일한 시간 창 내에 두 번의 독립적인 탈취가 발생할 확률은 단일 탈취 확률보다 보통 몇 자릿수나 낮습니다.
내부자 위험
단독 보관자는 충동적으로 이탈하거나, 배신하거나, 강요당하거나, 단순한 실수로 치명적인 결과를 초래할 수 있습니다. 멀티시그는 공모를 강제합니다. DAO와 기업에서 이것은 흔히 주된 도입 동기입니다. 외부 공격자에 대한 보안 효과보다 내부 단일 행위자에 대한 거버넌스 효과가 더 중요한 경우가 많습니다.
분실 키 복구
M-of-N 설정에서 N > M인 경우, 키 하나를 분실해도 치명적이지 않습니다. 나머지 서명자들이 자금을 새로운 멀티시그로 이동시키고 분실된 키를 교체할 수 있습니다. 이는 시드 구문 하나를 분실하면 영구 손실로 이어지는 단일 키 보관 방식에 비해 의미 있는 개선입니다.
사용자 피싱
많은 지갑 피싱 공격(가짜 에어드롭 사이트, 악성 토큰 승인, 드레이너 컨트랙트)은 사용자가 단일 브라우저 세션에서 악성 트랜잭션에 서명하도록 유도합니다. 멀티시그는 다른 인터페이스에서 추가 확인 단계를 도입합니다. Safe의 조율 UI이거나 여러 기기에서의 하드웨어 승인일 수 있으며, 사용자가 의도하지 않은 것에 서명하고 있다는 사실을 인식할 또 다른 기회를 제공합니다.
멀티시그가 방어하지 못하는 것 (불편한 사실)
이 부분이 대부분의 단편적인 분석들이 건너뛰는 내용입니다.
멀티시그 자체의 스마트 컨트랙트 버그
멀티시그는 스마트 컨트랙트입니다. 컨트랙트에 버그가 있다면, 아무리 신중한 키 관리도 도움이 되지 않습니다. 역사상 가장 비용이 컸던 멀티시그 사건—2017년 11월의 Parity 멀티시그 동결—은 키 탈취가 아닌 컨트랙트 버그였습니다. 단 하나의 트랜잭션으로 약 1억 5천만 달러 상당의 ETH가 영구적으로 접근 불가 상태가 되었습니다.
현재의 Safe는 이더리움에서 가장 많이 감사된 컨트랙트 중 하나이며 지금까지 잘 버텨왔지만, 핵심은 변하지 않습니다. "보호해야 할 개인 키 하나"를 "신뢰해야 할 스마트 컨트랙트 하나"로 교환하는 것입니다. 그 신뢰는 감사와 시간을 통해 반복적으로 증명되어야 합니다.
서명 UI 탈취
거의 모든 멀티시그 서명은 어떤 인터페이스를 통해 이루어집니다. Safe의 웹 UI, 지갑 플러그인, 맞춤형 대시보드 등입니다. 해당 인터페이스가 탈취된다면(DNS 하이재킹, 의존성 공급망 공격, 악성 브라우저 확장 프로그램), 공격자는 서명자 A에게 "alice.eth에게 1 ETH 전송"으로 보이는 화면을 표시하면서 실제로는 "attacker.eth에게 1000 ETH 전송"을 하드웨어 지갑에 전달해 서명하도록 만들 수 있습니다.
대부분의 하드웨어 지갑은 실제 목적지 주소를 표시하지만, 서명자들은 대개 대충 훑어봅니다. 2025년 초 Bybit 사건은 Safe UI 탈취가 핵심이었습니다. 모든 서명자가 일상적인 트랜잭션이라 생각하고 승인했지만, 실제로는 프록시 컨트랙트가 변조되고 있었습니다.
멀티시그는 오직 하나의 키만을 보유한 공격자로부터 당신을 보호합니다. 모든 서명자 앞에 잘못된 트랜잭션을 제시할 수 있는 공격자로부터는 보호하지 못합니다.
다수 서명자에 대한 협조 피싱
서명자들이 알려져 있고 접근 가능하다면—그리고 공개된 Safe 주소를 가진 어떤 자금 계정이든 대개 그렇습니다—공격자는 이들 모두를 표적으로 삼을 수 있습니다. 각 서명자에게 동일한 피싱 캠페인을 실행합니다. 기다립니다. 세 명 중 두 명이 같은 날 피곤하거나, 주의가 산만하거나, 방심하고 있다면 임계값에 도달하게 됩니다.
이것이 실제로 잘 운영되는 멀티시그에 대한 가장 현실적인 공격이며, 이에 대한 방어책은 기술적이 아닌 절차적인 것들입니다. 서명 UI와 독립된 별도 채널(Signal, 다른 채팅, 전화 통화)을 통한 모든 트랜잭션의 대역 외(out-of-band) 확인, 그리고 일정 금액 X를 초과하는 트랜잭션은 서명 전에 반드시 직접 논의해야 한다는 엄격한 정책이 필요합니다.
오프체인 키 저장소 탈취
"서명 키"가 실제로 두 엔지니어의 MetaMask 시드 구문과 사무실 금고에 있는 하드웨어 지갑 사이의 2-of-3라면, 이는 멀티시그로 포장된 OPSEC 문제입니다. 기술적으로는 임계값이 충족되지만 다양성은 허구입니다. 두 엔지니어의 노트북에 악성코드가 감염되거나 사무실에 단 한 번의 침입으로 임계값이 무너질 수 있습니다.
진정한 다양성은 다음을 요구합니다:
- 다른 하드웨어 모델. (Ledger 하나, Trezor 하나, Keystone 하나.)
- 소프트웨어 서명에 다른 운영 체제.
- 영구 저장소에 다른 물리적 위치.
- 적용 가능한 경우, 다른 위협 프로파일을 가진 다른 사람들.
임계값을 초과하는 손실
복구의 반대 측면: 2-of-3에서 두 개의 키를 분실하면 영구 손실입니다. 3-of-5에서 세 개를 잃으면 영구 손실입니다. M과 N의 차이가 클수록 단일 손실에 대한 안전성이 높아지지만, 공격자가 피싱할 M명의 서명자를 찾기도 더 쉬워집니다.
이것은 피할 수 없는 긴장 관계입니다. 높은 M은 외부 공격에 더 안전하고 복구 가능성이 낮습니다. 낮은 M은 복구 가능성이 높고 공격하기 쉽습니다. 두 가지를 모두 최적화하는 설정은 존재하지 않습니다.
멀티시그가 오히려 상황을 악화시킬 수 있는 경우
몇 가지 솔직한 사례:
- 매우 소액의 경우, 멀티시그의 운영 부담(트랜잭션 조율, EVM에서의 가스 비용, 학습 곡선)이 단일 키 보관에서는 발생하지 않을 실수를 유발할 수 있습니다. 200달러 수준의 소액 암호화폐에 적합한 도구는 하드웨어 기반 단일 키입니다.
- 멀티시그를 복구 방식으로 활용하는 단독 사용자의 경우, 실제로는 세 키 모두 자신이 단독 제어하는 기기에 보관하고 있다면 멀티시그는 복잡성만 추가할 뿐 위협 모델을 바꾸지 않습니다. 오늘 공격자가 그 기기 중 하나를 탈취했다면, 나머지도 모두 탈취할 수 있을 것입니다.
- 서명자 다양성이 실제로 없는 조직—같은 사무실, 같은 VPN, 같은 SSO를 사용하는 경우—임계값은 형식적인 절차에 불과합니다.
세 가지 경우 모두 답은 "단일 키 보관을 사용하라"가 아닙니다. "멀티시그를 올바르게 사용하거나, 그렇게 하는 수탁자를 이용하라"입니다. 그러나 운영 방식과 무관하게 컨트랙트 유형만으로 안전이 보장된다고 믿는 것, 그것이 대형 손실 사고가 발생하는 방식입니다.
올바른 설정의 모습
다음 조건이 모두 충족될 때 2-of-3 또는 3-of-5 멀티시그는 자금 관리 통제 수단으로 잘 작동합니다:
- 서명자는 각기 다른 사람이며, 가능한 경우 서로 다른 국가에 거주합니다.
- 서명 기기는 다른 하드웨어 브랜드이며, 다른 운영 체제에서 사용됩니다.
- 트랜잭션 확인은 서명 UI와 독립된 별도의 커뮤니케이션 채널을 통해 이루어집니다.
- 서명자가 승인하기 전에 예상되는 차이값—calldata, 대상 주소, 금액—과 대조하여 트랜잭션 페이로드를 검증하는 문서화된 절차가 존재합니다.
- 멀티시그 컨트랙트 자체가 충분히 감사되어 있고(2026년 기준 보수적인 기본 선택은 Safe), 버전이 고정되어 있으며 알려져 있습니다.
- 서명자 교체 절차가 존재하고 실제로 리허설이 완료되어 있습니다.
이는 대부분의 팀이 처음에 인식하는 것보다 훨씬 많은 규율을 요구합니다. 좋은 소식은 그 규율이 일회성 투자라는 것이고, 나쁜 소식은 그 규율이 컨트랙트보다 더 중요하다는 것입니다.
도메인과의 연관성
네이밍은 오프체인 세계에서 멀티시그와 가장 강력한 유사점 중 하나입니다. 단일 비밀번호로 보호되는 단일 레지스트라 계정이 관리하는 도메인은 단일 키 지갑입니다. 레지스트라 잠금 + 레지스트리 잠금 + DNS 제공자의 2FA + 다수의 권위 있는 제공자로 보호되는 도메인은, 구조적으로 멀티시그입니다. 이름이 이전되기 전에 여러 개의 독립적인 요소가 각각 탈취되어야 합니다.
Namefi는 소유권을 멀티시그 지갑에 직접 보유할 수 있는 온체인 레코드로 표현함으로써 이를 한 단계 더 발전시킵니다. 자금을 보호하는 것과 동일한 임계값 방식으로 이제 DNS 컨트롤 플레인을 보호할 수 있습니다. 피싱당한 단 한 명의 개인이 재무를 단독으로 탈취할 수 없는 것처럼, 회사의 도메인도 단독으로 잃을 수 없습니다. 위협 모델 업그레이드는 두 세계에서 동일합니다. "하나의 자격증명을 신뢰하는 것"에서 "N개의 독립적인 요소 중 M개를 탈취하는 것"으로 대체합니다.
참고 자료 및 추가 읽을거리
- Safe — 스마트 계정 컨트랙트 및 감사 보고서.
- IETF FROST — RFC 9591, 유연한 라운드 최적화 Schnorr 임계값 프로토콜.
- Bitcoin — BIP-174 PSBT.
- Parity — 멀티시그 동결 사후 분석.
- a16z crypto — Safe 멀티시그 운영 실용 가이드.
저자 소개
관련 가이드
- ENS 및 토큰화 도메인 감정: 온체인 비교 거래 사례 읽기온체인 비교 거래 사례, 플로어-프리미엄 논리, ENS 클럽 요소를 활용해 ENS 및 토큰화 도메인을 감정하는 방법 — 그리고 DNS와 어떻게 다른지 설명합니다.
- ENS vs DNS 도메인 플리핑: 무엇이 다른가.eth 이름 플리핑과 전통적인 DNS 도메인 플리핑의 차이점 — 소유권, 유동성, 갱신, 가스비, 그리고 각각의 적합한 용도를 설명합니다.
- ENS vs Unstoppable vs 토큰화된 DNS 도메인 비교ENS vs Unstoppable Domains vs 토큰화된 ICANN DNS, 브라우저 해석 가능 여부, 갱신 여부, 실질적 통제권 기준으로 비교합니다.
- 토크나이제이션이 도메인 플리핑을 바꾸는 방식도메인을 온체인으로 가져오면 플리핑의 구조가 어떻게 바뀌는지 설명합니다 — 검증된 소유권, 원자적 결제, 그리고 느린 등록기관 애프터마켓 대신 프로그래밍 가능한 이전.