들어가며 — "이 지갑은 컴퓨터에 꽂지 않아도 됩니다"
레저(Ledger), 트레저(Trezor)를 처음 쓰는 분들은 이렇게 설정합니다.
USB 케이블로 PC에 연결 → 앱 열기 → 설정 진행.
콜드카드(Coldcard)는 다릅니다.
박스에서 꺼냅니다 → 전원을 켭니다 → 컴퓨터는 손도 대지 않습니다.
QR코드 또는 microSD 카드로만 데이터를 주고받습니다. 개인키는 단 한 번도 인터넷 연결 기기와 물리적으로 연결되지 않습니다.
이것이 에어갭(Air-Gap)입니다. 그리고 이것이 콜드카드가 "파워 유저의 하드웨어 지갑 끝판왕"으로 불리는 이유입니다.
14편에서 하드웨어 지갑과 소프트웨어 지갑을 비교하면서 콜드카드 Q를 최고 수준 보안 옵션으로 소개했습니다. 오늘은 콜드카드가 어떤 지갑인지, 왜 에어갭이 중요한지, 그리고 처음 받았을 때 어떻게 세팅하는지를 단계별로 정리합니다.
목차
- 콜드카드란 무엇인가 — 개발사와 철학
- 에어갭이 왜 더 안전한가 — 14편 복습
- 콜드카드 Q vs Mk4 — 어느 것을 선택해야 하나
- 콜드카드만의 독보적 보안 기능 5가지
- 구매 전 주의사항 — 공식 채널과 봉인 검증
- 초기 세팅 단계별 가이드
- Sparrow Wallet과 에어갭 연동 방법
- QR코드로 거래 서명하는 방법
- microSD 백업 활용법
- 콜드카드가 적합한 사람과 적합하지 않은 사람
- 필자의 생각
1. 콜드카드란 무엇인가 — 개발사와 철학
콜드카드는 캐나다 회사 **코인카이트(Coinkite)**가 개발한 비트코인 전용 하드웨어 지갑입니다. 2017년 첫 출시 이후 비트코인 전문 보안 커뮤니티에서 최고 수준의 하드웨어 지갑으로 평가받고 있습니다.
핵심 철학: 비트코인 온리(Bit coin Only)
콜드카드는 비트코인만 지원합니다. 이더리움, 솔라나, 기타 알트코인을 지원하지 않습니다.
이것은 결점이 아닙니다. 설계 철학입니다.
지원하는 코인이 많아질수록 코드가 복잡해집니다. 코드가 복잡해질수록 취약점이 생길 가능성이 높아집니다. 콜드카드는 비트코인 하나에만 집중해서 코드를 최소화하고 공격 표면을 줄였습니다.
콜드카드 Q를 사용하는 비트코인 맥시멀리스트는 타의 추종을 불허하는 BTC 자기 수탁(self-custody) 기능을 얻습니다. 하지만 콜드카드 Q는 EVM 체인, Solana, 알트코인을 지원하지 않습니다. Korea IT Times
완전 오픈소스
콜드카드의 펌웨어 코드는 GitHub에 공개되어 있습니다. 누구나 코드를 감사할 수 있습니다. 14편에서 레저 리커버 논란을 다루면서 클로즈드 소스의 문제를 언급했습니다. 콜드카드는 이 반대편에 있습니다.
2. 에어갭이 왜 더 안전한가 — 14편 복습
14편에서 배운 핵심을 다시 짚습니다.
USB 연결 방식 하드웨어 지갑의 보안 구조
레저, 트레저를 PC에 USB로 연결하면 PC와 데이터를 주고받습니다. 이때 주고받는 것은 개인키가 아닙니다. 서명 요청과 서명된 거래 데이터입니다. 개인키는 칩 안에 머뭅니다.
그런데 여전히 물리적 연결이 존재합니다. PC가 극단적으로 침해됐을 때 이론적 취약점이 있습니다.
에어갭의 원리
에어갭은 인터넷 연결 기기와 하드웨어 지갑 사이에 물리적 연결을 완전히 차단하는 것입니다.
콜드카드는 두 가지 방식으로 에어갭을 구현합니다.
QR코드 방식: PC 화면의 QR코드를 콜드카드 카메라로 스캔합니다. 데이터가 이미지 형태로만 이동합니다. USB, 블루투스, NFC, 와이파이가 전혀 필요 없습니다.
microSD 카드 방식: 서명이 필요한 거래 파일(PSBT)을 microSD에 저장해 콜드카드에 꽂습니다. 콜드카드가 서명 후 카드에 다시 저장합니다. PC에서 그 파일을 가져와 전송합니다.
이 두 방식 모두 개인키가 인터넷 연결 기기와 물리적·전기적으로 완전히 분리됩니다. 해커가 PC를 완전히 장악해도 콜드카드의 개인키에 접근할 방법이 없습니다.
3. 콜드카드 Q vs Mk4 — 어느 것을 선택해야 하나
2026년 현재 콜드카드의 주력 모델은 두 가지입니다.
콜드카드 Mk4
- 가격: 약 15~18만 원
- 화면: 소형 OLED (128 ×64 픽셀)
- 입력: 12키 숫자 패드
- 카메라: 없음 (QR코드 스캔 불가)
- microSD: 지원
- NFC: 지원 (기본값 비활성화)
- USB-C: 지원 (기본값 비활성화)
QR코드가 없어서 에어갭 사용 시 microSD 카드만 사용합니다.
콜드카드 Q
- 가격: 약 25~30만 원 (2026년 한화 기준)
- 화면: 대형 OLED (320 ×240 픽셀) — Mk4보다 훨씬 크고 읽기 편함
- 입력: 풀 QWERTY 키보드
- 카메라: 내장 (QR코드 스캔 가능)
- microSD: 2개 슬롯 (A, B)
- NFC: 지원
- USB-C: 지원
Ledger Flex(249달러)와 Coldcard Q(249달러)는 동일한 가격대에서 정반대의 설계 철학을 대표합니다. Coldcard Q는 비트코인 전문가입니다: 더 심층적인 커스터디 아키텍처, 더 발전된 키 관리 도구, 그리고 타의 추종을 불허하는 멀티시그 기능을 제공하지만 알트코인 지원은 전혀 없습니다. Korea IT Times
선택 기준
비트코인만 보관하고 최고 수준의 에어갭 사용 경험을 원한다면 → 콜드카드 Q (QR코드 기반 에어갭이 훨씬 편리)
예산이 제한적이거나 microSD 방식으로도 충분하다면 → Mk4
이 글의 세팅 가이드는 콜드카드 Q 기준으로 작성합니다.
4. 콜드카드만의 독보적 보안 기능 5가지
다른 하드웨어 지갑에는 없는 콜드카드만의 기능들입니다.
① BrickMe PIN
만약 강제로 PIN을 요구받는 상황이 생기면 어떻게 할까요?
콜드카드는 BrickMe PIN을 설정할 수 있습니다. 이 PIN을 입력하면 콜드카드가 즉시 영구 파괴됩니다. 내부 보안 칩의 키 소재가 삭제됩니다. 누군가가 강압으로 잠금을 해제하도록 강요할 때 사용합니다.
② Duress PIN(가짜 지갑 PIN)
BrickMe PIN과 반대 방향의 보안입니다. Duress PIN을 입력하면 "미끼 지갑"이 열립니다. 실제 자산은 없고 소액만 들어 있는 가짜 지갑입니다.
강압 상황에서 Duress PIN을 입력하면 공격자는 "열렸다"라고 생각하지만 실제 자산에는 접근하지 못합니다.
이 기능은 15편에서 다룬 패스프레이즈(25번째 단어)의 하드웨어 버전이라고 볼 수 있습니다.
③ 2중 PIN 구조 (접두사 + 접미사)
콜드카드의 PIN은 접두사(2~6자리)와 접미사(2~6자리)로 나뉩니다. 접두사를 입력하면 콜드카드 화면에 두 개의 단어가 표시됩니다. 이 단어는 처음 설정 시 콜드카드가 생성한 고유 단어입니다.
이 단어를 확인한 후 접미사를 입력합니다.
왜 이것이 필요한가? 가짜 콜드카드를 바꿔치기하는 공격을 방지합니다. 실제 콜드카드는 접두사를 입력했을 때 맞는 단어를 표시합니다. 가짜 기기는 그 단어를 알 수 없습니다.
④ 시드 XOR (분산 백업)
시드 구문을 두 개로 나눠서 각각을 다른 장소에 보관하는 기능입니다. 두 조각을 합쳐야만 원래 시드 구문이 복구됩니다. 한 조각을 훔쳐가도 의미가 없습니다.
⑤ PSBT 형식 지원과 에어갭 서명
PSBT(Partially Signed Bit coin Transaction, 부분 서명 비트코인 거래)는 15편에서 다룬 멀티시그 설정에도 사용한 형식입니다. 콜드카드는 이 PSBT 파일을 microSD 또는 QR코드로 받아 서명하고 돌려줍니다. 개인키가 기기 밖으로 나가지 않습니다.
5. 구매 전 주의사항 — 공식 채널과 봉인 검증
반드시 공식 스토어에서 구매
콜드카드는 반드시 coinkite.com 공식 스토어에서 구매해야 합니다. 14편에서도 강조했지만 중고 하드웨어 지갑은 절대 구매하지 마세요. 아마존, 쿠팡, 네이버쇼핑의 제삼자 판매자도 위험합니다.
배송 주소 주의
콜드카드는 코인카이트 스토어에서만 주문해야 하며 제3자 판매자로부터는 구매하지 마십시오. 이상적으로는 집이 아닌 다른 주소로 배송받는 것이 좋습니다. OneKey
집 주소가 노출되면 잠재적 표적이 될 수 있기 때문입니다. 직장이나 다른 안전한 주소를 사용하는 것을 고려하세요.
봉인 번호(Bag Number) 검증 — 절대 건너뛰지 마세요
콜드카드 Q는 투명 봉인 비닐백에 들어옵니다. 이 봉인백에 고유 번호가 인쇄되어 있습니다.
콜드카드 Q의 전원을 켜면 화면 상단에 숫자가 표시됩니다. 이 번호가 봉인백에 인쇄된 번호와 일치하는지 반드시 확인하십시오. 이것은 패키지가 코인카이트에서 포장된 시점과 개봉 시점 사이에 열리지 않았음을 보장합니다. Ledger
번호가 일치하지 않으면 절대 사용하지 마세요. 코인카이트에 즉시 연락하고 교환 요청을 해야 합니다.
6. 초기 세팅 단계별 가이드
콜드카드 Q 기준으로 작성합니다.
준비물
- 콜드카드 Q 기기
- microSD 카드 (Class 10 이상, 32GB 이하 권장)
- 종이와 펜 (시드 구문 기록용)
- 조용하고 혼자 있는 공간
- 카메라나 스마트폰이 없는 환경 (시드 구문 촬영 방지)
STEP 1: 봉인 번호 확인
봉인백을 열기 전 봉인 번호를 기록해둡니다. 전원 버튼(좌측 상단)을 눌러 기기를 켭니다. 화면에 표시되는 번호가 봉인백 번호와 일치하는지 확인합니다. ENTER를 눌러 이용약관을 수락합니다.
STEP 2: PIN 설정 — 접두사와 접미사
메뉴에서 "Choose PIN Code"를 선택합니다.
접두사 입력: 2~6자리 숫자를 입력합니다. 예) 1234
접두사 입력 후 콜드카드가 두 개의 단어를 보여줍니다. 예) "correct zebra"
이 두 단어를 종이에 기록합니다. 이것이 진짜 기기를 확인하는 "안전 단어"입니다. 앞으로 이 단어가 나타나지 않으면 위조 기기입니다.
접미사 입력: 다시 2~6자리 숫자를 입력합니다. 예) 5678
PIN 전체: 접두사 1234 → 안전 단어 확인 → 접미사 5678
STEP 3: BrickMe PIN 설정 (선택, 강력 권장)
"Settings" → "Danger Zone" → "Brickme Password"에서 설정합니다.
절대로 실수로 입력하지 않을 PIN을 설정하세요. 일반 PIN과 전혀 다른 숫자를 쓰세요. 이 PIN을 기록해 두되 다른 장소에 보관하세요.
STEP 4: 새 지갑 생성 — 시드 구문 받기
메인 메뉴 → "New Seed Words" → "24 Words"
콜드카드가 24개의 영단어를 하나씩 보여줍니다.
절대 지켜야 할 규칙:
- 번호와 함께 순서대로 종이에 씁니다
- 사진 찍지 않습니다
- 스마트폰으로 타이핑하지 않습니다
- 주변에 아무도 없을 때 진행합니다
24개 단어를 모두 기록한 후 ENTER를 누릅니다. 콜드카드가 랜덤으로 일부 단어를 물어봐서 정확히 기록했는지 확인합니다.
STEP 5: microSD 카드 초기화 및 백업
microSD 카드를 슬롯 A에 삽입합니다. "Advanced/Tools" → "Backup System" → "Backup to MicroSD"
이 백업은 암호화된 형태로 저장됩니다. 백업 비밀번호가 따로 생성됩니다. 이 비밀번호도 안전하게 별도 저장합니다.
STEP 6: 기기 설정 확인
기본값으로 USB와 NFC는 비활성화되어 있습니다. 에어갭 사용을 위해 이 상태를 유지합니다.
에어갭이 아닌 USB 연결을 원한다면 "Settings" → "Hardware On/Off"에서 활성화할 수 있습니다.
7. Sparrow Wallet과 에어갭 연동 방법
콜드카드 Q를 설정했다면 PC의 Sparrow Wallet과 연동해야 합니다. QR코드 에어갭 방식을 설명합니다.
Sparrow Wallet 준비
sparrowwallet.com에서 공식 다운로드 후 설치합니다. 설치 파일의 진위 확인(서명 검증)을 권장합니다.
콜드카드에서 지갑 설정 파일 내보내기
콜드카드 Q에서:
"Advanced/Tools" → "Export Wallet" → "Sparrow Wallet"
이 튜토리얼에서 microSD 슬롯 A에 카드가 삽입된 경우 "1" 버튼을 눌러 파일을 저장합니다. QR코드로 내보내려면 기기의 QR 버튼을 눌러 콜드카드 화면에 QR코드를 표시하고 컴퓨터 웹캠으로 스캔할 수 있습니다. Ledger
Sparrow Wallet에서 가져오기
Sparrow Wallet 실행 → File → New Wallet → 이름 입력
Keystore 탭에서 "Airgapped Hardware Wallet" 선택 → Coldcard 선택 → 위에서 저장한 파일을 불러오거나 QR코드를 스캔합니다.
이제 Sparrow는 콜드카드의 공개키 정보만 알고 있는 워치온리(Watch-Only) 지갑이 됩니다. 개인키는 여전히 콜드카드 안에만 있습니다.
비트코인 수신 주소 확인
Sparrow에서 "Receive" 탭을 클릭하면 수신 주소와 QR코드가 표시됩니다. 이 주소로 비트코인을 받을 수 있습니다.
8. QR코드로 거래 서명하는 방법
이것이 콜드카드 Q 에어갭 사용의 핵심입니다.
Sparrow Wallet의 Send 탭으로 이동해 수신 주소, 레이블, 금액을 입력합니다. Create Transaction을 클릭해 거래 편집기를 엽니다. 거래 세부 사항을 검토합니다. 만족스러우면 "Finalize Transaction for Signing"을 누릅니다. 다음으로 서명 섹션이 나타나면 "Show QR"을 선택합니다. 콜드카드로 전환해 QR 키를 누르거나 메인 메뉴에서 "Scan Any QR Code"를 선택합니다. 콜드카드로 PC/폰의 QR코드를 스캔합니다. 콜드카드 화면에 거래 세부 사항이 표시됩니다. 검토 및 정확성 확인 후 ENTER를 누릅니다. 거래가 서명되면 콜드카드 Q가 서명된 거래의 BBQr을 표시합니다. Sparrow Wallet으로 돌아가 Scan QR을 클릭합니다. Plisio
이 과정에서 PC와 콜드카드 사이에 USB 케이블, 블루투스, 와이파이, NFC 등 어떤 전자적 연결도 없습니다. 오직 화면의 QR코드와 기기의 카메라를 통해서만 데이터가 이동합니다.
핵심 확인사항: 콜드카드 화면에 표시되는 수신 주소, 금액, 수수료를 반드시 직접 눈으로 확인하고 ENTER를 누르세요. PC 화면이 조작됐어도 콜드카드 화면에서 실제 거래 내용을 확인할 수 있습니다.
9. microSD 백업 활용법
콜드카드 Q의 microSD 슬롯은 두 가지로 활용할 수 있습니다.
용도 1: 암호화된 지갑 백업
앞서 STEP 5에서 설명한 것처럼 지갑 백업 파일을 microSD에 저장할 수 있습니다. 이 파일은 강력한 암호화로 보호됩니다. 카드를 잃어버려도 비밀번호 없이는 복구가 불가능합니다.
용도 2: PSBT 파일 교환 (에어갭 대안)
QR코드 대신 microSD로 PSBT 파일을 교환할 수 있습니다.
Sparrow에서 PSBT 파일을 microSD에 저장 → 카드를 콜드카드 Q에 삽입 → 콜드카드에서 서명 → 카드를 다시 PC에 삽입 → Sparrow에서 서명된 거래 전송.
이 방법은 QR코드 스캔이 어려운 환경(밝은 조명, 작은 화면 등)에서 유용합니다.
microSD 카드 관리 주의사항
전용 카드를 사용하세요. 다른 기기에서 사용한 카드는 악성 파일이 있을 수 있습니다. 새 카드를 사서 콜드카드 전용으로만 쓰는 것이 안전합니다.
10. 콜드카드가 적합한 사람과 적합하지 않은 사람
균형 잡힌 판단을 위해 솔직하게 정리합니다.
콜드카드 Q가 적합한 사람
비트코인만 보관하는 분. 1,000만 원 이상의 대액을 장기 보관하는 분. 최고 수준의 보안에 시간과 비용을 투자할 의향이 있는 분. 멀티시그 구조를 구성하려는 분(15편 참조). 자신이 직접 기술을 이해하고 싶은 파워 유저.
콜드카드 Q가 적합하지 않은 사람
비트코인 외 알트코인도 보관해야 하는 분 → 레저 나노 X가 더 적합. 자주 거래하거나 빠른 접근이 필요한 분 → 소프트웨어 지갑 + 소액 운용이 더 실용적. 하드웨어 지갑을 처음 쓰는 초보자 → 트레저 Safe 5가 진입 장벽이 낮습니다. 예산이 제한적인 분 → Mk4가 더 저렴하고 핵심 기능은 동일합니다.
가격 대비 가치
249달러에서의 선택은 더 낫고 못함의 문제가 아니라 폭넓음과 깊이의 문제이며, 각자의 사용 사례에서 두 기기 모두 방어 가능한 보안을 제공합니다. Korea IT Times
같은 가격대의 레저 플렉스가 "올라운더"라면 콜드카드 Q는 "비트코인 전문가"입니다. 비트코인만 다룬다면 콜드카드 Q가 더 깊은 보안을 제공합니다.
11. 필자의 생각
💡 에어갭이 "귀찮음의 보안"이다
처음 콜드카드를 설정했을 때 가장 인상적인 것은 에어갭의 불편함 그 자체였습니다. QR코드를 스캔하고, 화면에서 금액을 확인하고, 다시 QR코드를 Sparrow로 스캔하는 과정. 레저나 트레저보다 훨씬 번거롭습니다. 그런데 이 번거로움이 바로 보안입니다. 공격자도 같은 과정을 물리적으로 거쳐야 하기 때문입니다. 인터넷으로 원격 공격이 불가능합니다. 보안은 때로 불편함으로 구현됩니다.
💡 BrickMe PIN을 처음 알았을 때
콜드카드의 BrickMe PIN 기능을 처음 알았을 때 섬뜩함과 동시에 감탄했습니다. "물리적 강압에 대한 방어 수단"을 하드웨어 수준에서 구현한다는 발상이 비트코인 보안의 깊이를 보여줍니다. 대부분의 하드웨어 지갑이 해킹 공격에 대한 방어에 집중하는 반면 콜드카드는 물리적 위협 시나리오까지 설계에 포함시켰습니다. 이것이 "파워 유저의 지갑"이라는 평가를 받는 이유입니다.
💡 콜드카드는 도착지가 아니라 출발점이다
콜드카드를 산다고 보안이 끝나는 것이 아닙니다. 에어갭 절차, Sparrow 연동, PSBT 서명, microSD 백업 관리. 이 모든 과정을 정확히 이해하고 실행해야 합니다. 12편에서 강조한 복구 테스트도 반드시 해야 합니다. 콜드카드는 강력한 도구입니다. 그러나 도구는 올바르게 사용하는 사람에게만 효과가 있습니다. 이 글을 읽고 콜드카드를 사기로 했다면 공식 문서(coldcard.com/docs)를 처음부터 끝까지 읽는 것을 권장합니다.
자주 묻는 질문 (FAQ)
Q1. 콜드카드 Q를 한국에서 살 수 있나요?
coinkite.com에서 직구해야 합니다. 한국으로 배송됩니다. 관세와 배송비를 포함하면 약 30~40만 원 수준입니다. 배송 기간은 약 2~4주입니다. 한국 내 정식 판매 대리점이 없으므로 반드시 공식 사이트에서만 구매하세요.
Q2. 콜드카드에 비트코인을 넣어두면 인터넷이 연결된 상태에서도 안전한가요?
네. 콜드카드는 USB와 NFC가 기본으로 비활성화되어 있고 평소에 전원을 꺼두면 외부와 완전히 단절됩니다. 개인키는 기기 안의 보안 칩에 저장되어 있어 기기가 물리적으로 탈취되지 않는 한 접근 불가입니다. 에어갭 모드에서는 인터넷 연결과 무관합니다.
Q3. 콜드카드와 Sparrow Wallet을 연동한 후 콜드카드 없이 Sparrow를 열면 어떻게 되나요?
Sparrow는 워치온리 지갑으로 작동합니다. 잔액과 거래 내역을 볼 수 있지만 비트코인을 보낼 수 없습니다. 서명(송금)을 하려면 반드시 콜드카드가 있어야 합니다. 이것이 워치온리 구조의 장점입니다.
Q4. 콜드카드를 분실했습니다. 어떻게 해야 하나요?
시드 구문(24개 단어)이 있다면 새 콜드카드나 다른 BIP-39 호환 지갑에서 복구할 수 있습니다. 분실한 콜드카드는 PIN을 모르면 BrickMe PIN 보호와 무관하게 내부 데이터에 접근이 불가능합니다. 다만 안전을 위해 시드 구문으로 새 지갑을 만들고 비트코인을 새 주소로 이전하는 것을 권장합니다.
Q5. Mk4와 Q 중 어느 것이 보안이 더 뛰어난가요?
보안 수준 자체는 동일합니다. 두 모델 모두 같은 보안 칩, 같은 펌웨어, 같은 에어갭 기능을 지원합니다. 차이는 사용 편의성입니다. Q는 대형 화면과 QWERTY 키보드, 내장 카메라로 QR코드 에어갭 사용이 훨씬 편리합니다. Mk4는 같은 보안을 더 낮은 가격에 제공합니다.
결론 — 개인키가 인터넷에서 가장 멀리 있는 지갑
콜드카드를 한 문장으로 정리합니다.
"비트코인 전용, 완전 오픈소스, 에어갭 지원 하드웨어 지갑. 개인키가 단 한 번도 인터넷 연결 기기와 물리적으로 만나지 않는다."
비트코인 보안의 철학적 진지함을 가장 일관되게 구현한 하드웨어 지갑입니다. 불편합니다. 그리고 그 불편함이 보안입니다.
대액 비트코인을 장기 보관할 계획이라면 콜드카드 Q는 진지하게 고려할 가치가 있습니다.
다음 편에서는 비트코인 절세 전략 — 2027년 과세 전 반드시 알아야 할 의제취득가액 활용법을 다룹니다.
※ 이 글은 정보 제공을 목적으로 작성된 것이며, 특정 자산에 대한 투자를 권유하지 않습니다. 투자에 대한 모든 결정과 책임은 투자자 본인에게 있습니다.
