Security ·

시드 구문 무차별 대입 공격은 얼마나 빠를까? (2026)

암호화폐 보유자들이 가장 흔히 가지는 두려움은 누군가가 자신의 시드 구문을 알아낼 것이라는 것입니다. 2,048개 단어 목록에서 선택된 12개 단어 -- 얼마나 깨기 어려울까요? 추측이 아닌 수학에 기반한 답은, 적절하게 생성된 시드 구문의 무차별 대입은 단순히 어려운 것이 아니라 존재하거나 존재할 것으로 예측되는 어떤 기술로도 물리적으로 불가능하다는 것입니다.

이 글에서는 숫자를 살펴보고, 현재와 미래의 하드웨어로 현실적인 공격 시나리오를 검토하며, 시드 구문에 대한 실제 위협이 무차별 대입과는 전혀 관련이 없는 이유를 설명합니다.

엔트로피의 수학

12단어 BIP39 시드 구문은 128비트의 엔트로피를 인코딩합니다. 각 단어는 2,048개의 표준화된 단어 목록에서 선택되며, 각 단어는 11비트의 정보를 인코딩합니다(2^11 = 2,048이므로). 12개 단어는 총 132비트를 인코딩하며, 그 중 128비트가 엔트로피이고 4비트가 체크섬입니다.

유효한 12단어 시드 구문의 총 개수는:

2^128 = 340,282,366,920,938,463,463,374,607,431,768,211,456

이는 약 3.4 x 10^38, 즉 340언데실리온(undecillion) 조합입니다.

24단어 시드 구문은 256비트의 엔트로피를 인코딩하여 다음과 같은 결과를 낳습니다:

2^256 ~ 1.16 x 10^77 조합

2^256을 가늠하기 위해: 관측 가능한 우주의 원자 수 추정치는 약 10^80입니다. 24단어 시드 구문은 존재하는 모든 것의 원자 수와 몇 자릿수 차이 내의 키 공간을 가집니다.

이것은 임의의 숫자가 아닙니다. Bitcoin, Ethereum, 그리고 BIP39 니모닉을 사용하는 모든 암호화폐의 보안 모델의 기초입니다. 엔트로피 작동 방식에 대한 자세한 설명은 암호화폐에서 엔트로피란?을 참고하세요.

2^128 조합: 이것이 의미하는 바

큰 숫자는 직관적으로 이해하기 어렵습니다. 2^128의 규모를 이해하는 여러 방법은 다음과 같습니다.

컴퓨터 속도로 세기

초당 1조(10^12)개의 시드 구문을 확인할 수 있는 컴퓨터가 있다고 가정합시다. 이는 현재 단일 머신이 달성할 수 있는 것을 훨씬 넘어서지만, 넉넉하게 잡아보겠습니다.

이 속도로 모든 2^128 조합을 확인하는 데 걸리는 시간:

3.4 x 10^38 / 10^12 = 3.4 x 10^26초

우주의 나이는 약 4.3 x 10^17초(138억 년)입니다. 따라서 이 단일 컴퓨터가 초당 1조 번의 확인을 빅뱅 이후부터 실행했다면 대략 다음만큼 완료했을 것입니다:

4.3 x 10^17 / 3.4 x 10^26 = 0.0000000013%의 탐색 공간

12단어 시드 구문을 초당 1조 번의 추측으로 무차별 대입하려면 현재 우주 나이의 약 100억 배가 필요합니다.

에너지 제약

란다우어 한계(Landauer bound)로 알려진 계산의 근본적인 물리적 한계가 있습니다: 1비트의 정보를 지우는 데 최소 kT ln(2) 줄의 에너지가 필요하며, 여기서 k는 볼츠만 상수이고 T는 온도입니다. 실온(300K)에서 이는 비트 연산당 약 2.85 x 10^-21줄입니다.

2^128개의 상태를 순환하기 위해, 란다우어 한계에서 작동하는 이론적으로 완벽한 컴퓨터조차도 다음만큼의 에너지가 필요합니다:

2^128 x 2.85 x 10^-21 ~ 9.7 x 10^17줄

이는 대략 태양의 연간 에너지 출력(3.8 x 10^26와트)의 약 2.5마이크로초에 해당합니다 -- 모든 연산이 물리학이 허용하는 절대 최소 에너지를 사용한다고 가정하면 관리 가능해 보입니다. 하지만 실제 컴퓨터는 연산당 수 자릿수 이상의 에너지를 소비합니다. 2^128에 대한 현실적인 무차별 대입 시도는 행성 규모의 자원을 초과하는 에너지 예산이 필요합니다.

2^256의 경우, 에너지 요구량은 전체 관측 가능한 우주가 제공할 수 있는 것을 초과합니다.

복권 확률과의 비교

일반적인 국가 복권 당첨 확률은 약 3억분의 1(대략 2^28)입니다. 첫 번째 시도에 12단어 시드 구문을 맞추는 것은 그 복권에 2^100번 연속으로 당첨되는 것과 동등합니다. 이것은 과장이 아니라 문자 그대로의 수학적 비교입니다.

GPU 및 ASIC 공격 시나리오

이론에서 실제로 넘어가서, 2026년에 공격자들이 실제로 배치할 수 있는 것을 살펴보겠습니다.

현재 GPU 성능

고급 GPU(NVIDIA RTX 5090 같은)는 초당 약 20-30억 개의 SHA-256 해시를 수행할 수 있습니다. BIP39 시드 구문 파생에는 2,048번의 반복으로 PBKDF2-HMAC-SHA512를 실행한 후 키 파생이 필요합니다. 이는 각 시드 구문 확인에 약 4,096번의 SHA-512 연산이 필요하다는 것을 의미합니다.

GPU당 유효 시드 구문 확인 수: 초당 약 50만~100만 회.

1,000개의 GPU가 병렬로 작동하더라도 초당 약 10^9회의 확인에 도달합니다. 2^128개의 가능성에 대해:

3.4 x 10^38 / 10^9 = 3.4 x 10^29초 ~ 10^22년

이는 10섹스틸리온(sextillion)년으로, 우주 나이의 약 7,000억 배입니다.

ASIC 채굴 팜

Bitcoin ASIC 채굴기는 지구상에서 가장 강력한 SHA-256 하드웨어입니다. 2026년 초 기준으로 전체 Bitcoin 네트워크는 초당 약 600 엑사해시(6 x 10^20 해시/초)를 수행합니다. 이 전체 네트워크가 시드 구문 크래킹용으로 재활용되더라도(PBKDF2 단계 때문에 직접적으로는 불가능하지만), 유효 확인 속도는 2,048회 반복의 PBKDF2 요구 사항에 의해 극적으로 감소합니다.

낙관적 추정: 이 작업을 위해 특수 설계된 ASIC이 제작된다면 전체 Bitcoin 채굴 네트워크는 초당 약 10^17회의 시드 구문 확인을 관리할 수 있을 것입니다.

3.4 x 10^38 / 10^17 = 3.4 x 10^21초 ~ 10^14년

이것은 여전히 100조 년입니다. 현재 우주 나이의 약 7,000배입니다.

국가 수준의 공격

정부가 전 세계 GDP(100조 달러)에 상당하는 예산을 시드 구문 크래킹 하드웨어 구축에 투입하고, 그 하드웨어가 현재 ASIC보다 1,000배 더 효율적이라 해도, 수학은 의미 있게 변하지 않습니다. 추정치에서 몇 자릿수를 줄여 아마도 10^10년까지 낮출 수 있지만 -- 여전히 우주 나이의 100배입니다.

12단어 vs 24단어

128비트(12단어)가 이미 무차별 대입을 넘어서는데, BIP39는 왜 24단어(256비트) 옵션을 제공할까요?

현재 보안: 둘 다 충분

고전적 컴퓨팅 공격에 대해 128비트의 엔트로피는 깨뜨릴 수 없습니다. 기존 기술의 어떤 조합으로도 탐색 시간을 어떤 식으로든 현실적인 수준으로 줄일 수 없습니다. 일상적인 암호화폐 사용에 있어 12단어 시드 구문은 충분한 보안을 제공합니다.

양자 컴퓨팅 고려사항

양자 컴퓨팅 기법인 Grover 알고리즘은 이론적으로 2^n개 항목의 비구조적 공간을 2^(n/2) 단계로 탐색할 수 있습니다. 128비트 시드 구문에 적용하면, 유효 보안이 64비트로 줄어듭니다 -- 대략 1.8 x 10^19 조합입니다.

2^64는 깨뜨릴 수 있을까요? 충분히 큰 양자 컴퓨터가 있다면 잠재적으로 가능하지만, 빠르지는 않습니다. 여전히 수십억 번의 양자 연산이 필요하며, 현재 양자 컴퓨터는 2,000개 미만의 노이즈가 있는 큐비트를 가지고 있어 -- 대규모 Grover 알고리즘에 필요한 수백만 개의 오류 보정 큐비트에 한참 못 미칩니다.

24단어(256비트) 시드 구문은 Grover 알고리즘 하에서 128비트 보안으로 줄어들어, 미래의 양자 컴퓨터에 대해서도 확실히 깨뜨릴 수 없는 범위를 유지합니다. 수십 년의 보안을 계획한다면, 24단어가 추가적인 안전 마진을 제공합니다.

암호화폐에 대한 양자 위협의 포괄적인 분석은 양자 컴퓨팅과 암호화폐 위협을 참고하세요.

실용적 권장사항

대부분의 사용자에게 적절한 엔트로피로 생성된 12단어 시드 구문은 안전합니다. 장기간(10년 이상) 상당한 가치를 보관하고 양자 컴퓨팅 발전에 대비하고 싶다면 24단어 구문을 사용하세요. SafeSeed의 Bitcoin 시드 구문 생성기Ethereum 시드 구문 생성기는 12단어와 24단어 생성을 모두 지원합니다.

실제 공격 벡터 (무차별 대입이 아닌)

시드 구문의 무차별 대입이 불가능하다면, 사람들은 실제로 어떻게 암호화폐를 잃을까요? 답은 실제 공격이 수학이 아닌 사람, 환경, 또는 저장 방식을 표적으로 한다는 것입니다.

피싱

공격자들은 사용자를 속여 시드 구문을 입력하게 하는 가짜 지갑 웹사이트, 복구 페이지, 또는 지원 채널을 만듭니다. 아무리 강력한 암호학적 강도도 자발적으로 키를 넘겨주는 것을 보호하지 못합니다. 주의해야 할 구체적인 공격 패턴은 시드 구문을 노리는 흔한 암호화폐 사기를 참고하세요.

맬웨어

키로거, 화면 캡처 도구, 클립보드 하이재커가 시드 구문이 입력되거나 표시되는 동안 기록할 수 있습니다. 감염된 기기에서 시드 구문을 생성하면 모든 수학적 보안이 무효화됩니다. 더 안전한 생성 방법에 대한 안내는 온라인 시드 생성기는 안전한가?를 참고하세요.

물리적 도난

종이에 적혀 잠기지 않은 서랍에 보관된 시드 구문은 물리적 접근 권한이 있는 누구에게나 취약합니다. 콜드 스토리지 모범 사례와 안전한 물리적 보관이 필수적입니다. 콜드 스토리지 가이드에서 물리적 보안 측면을 다루고 있습니다.

소셜 엔지니어링

공격자들은 지갑 지원팀, 거래소 직원, 심지어 친구를 사칭하여 피해자가 시드 구문을 공개하도록 설득합니다. 합법적인 서비스는 절대 시드 구문을 요구하지 않습니다.

취약한 엔트로피

시드 구문을 생성하는 데 사용된 난수 생성기에 결함이 있으면, 실제 엔트로피는 128비트보다 훨씬 적을 수 있습니다. Math.random()이나 예측 가능한 소스에서 생성된 시드 구문은 30-50비트의 유효 엔트로피만 가질 수 있으며, 이는 무차별 대입 범위 내에 있습니다. 이것이 엔트로피 소스가 중요한 이유입니다. 전체 설명은 암호화폐에서 엔트로피란?을 참고하세요.

공급망 공격

손상된 하드웨어 지갑, 변조된 소프트웨어 다운로드, 기기 포장에 포함된 사전 생성된 시드 구문 모두 문서화된 공격 벡터입니다. 항상 도구의 무결성을 확인하고 다른 사람이 생성했거나 기기에 사전 인쇄된 시드 구문은 절대 사용하지 마세요.

시드 구문을 깨뜨릴 수 없게 만들기

BIP39 시드 구문의 수학적 보안은 이미 사실상 절대적입니다. 여러분의 역할은 실질적인 보안이 이론적 보안과 일치하도록 하는 것입니다.

1. 암호학적으로 안전한 생성기 사용

crypto.getRandomValues() 또는 동등한 하드웨어 기반 무작위성을 사용하는 도구로 시드 구문을 생성하세요. SafeSeed의 생성기는 모든 엔트로피에 Web Crypto API를 사용하여 128비트 또는 256비트의 완전한 무작위성이 암호학적으로 건전하도록 보장합니다.

2. 가능하면 오프라인에서 생성

시드 구문을 생성하기 전에 인터넷 연결을 끊으세요. 에어갭 환경은 네트워크 기반 유출을 차단합니다. 단계별 지침은 Bitcoin 시드 구문 오프라인 생성 방법을 참고하세요.

3. 안전하게 보관

시드 구문을 내구성 있는 소재에 기록하세요(강철 플레이트는 종이보다 화재와 물에 더 잘 견딥니다). 물리적으로 안전한 장소에 보관하세요. 분산 백업이 필요하면 샤미르 비밀 공유(Shamir's Secret Sharing)를 사용하는 것을 고려하세요. 개인키 보안 모범 사례 가이드에서 보관에 대해 자세히 다루고 있습니다.

4. 시드 구문을 디지털로 입력하지 않기

신뢰할 수 있는 애플리케이션에서 직접 시작한 지갑 복원이 아닌 한, 시드 구문을 어떤 웹사이트, 애플리케이션, 디지털 문서에도 입력하지 마세요. 누군가 온라인으로 시드 구문을 "확인"해달라고 요청한다면, 그것은 항상 사기입니다.

5. 패스프레이즈 고려

BIP39는 시드 파생 시 니모닉과 결합되는 선택적 패스프레이즈("25번째 단어"라고도 함)를 지원합니다. 이는 보호 계층을 추가합니다: 공격자가 12개 또는 24개 단어를 입수하더라도 패스프레이즈 없이는 지갑을 파생할 수 없습니다. 단, 패스프레이즈를 잊어버리면 자신도 자금에 접근할 수 없게 되는 트레이드오프가 있습니다.

숫자는 명확합니다. 적절하게 생성된 12단어 시드 구문은 340언데실리온 가지의 가능한 조합을 가집니다. 어떤 컴퓨터, 컴퓨터 네트워크, 양자 컴퓨터, 이론적 미래 기술도 그 공간을 탐색할 수 없습니다. 수학은 깨뜨릴 수 있는 것에 가깝지 않습니다. 깨뜨릴 수 있는 것과 같은 우주에조차 있지 않습니다.

시드 구문의 보안은 전적으로 두 가지에 달려 있습니다: 그것을 생성한 엔트로피의 품질과, 그것을 비밀로 유지하는 여러분의 규율입니다. 이 두 가지를 올바르게 하면, 암호학이 나머지를 처리합니다.