들어가며 — "인터넷에 연결되지 않은 컴퓨터는 해킹할 수 없다"
해커들 사이에 오래된 격언이 있습니다.
"인터넷에 연결되지 않은 컴퓨터는 해킹할 수 없다."
물리적으로 접근하지 않는 한 말입니다. 이 단순한 원리가 비트코인 보안에서 가장 강력한 방어선 중 하나로 발전했습니다. 바로 에어갭(Air-Gap) 기술입니다.
23편에서 콜드카드의 에어갭 기능을 소개했습니다. 이번 글에서는 한 단계 더 들어가서, 에어갭이 정확히 어떤 원리로 작동하는지, QR코드와 SD카드라는 전혀 다른 두 가지 방식이 어떻게 같은 목표를 달성하는지, 그리고 에어갭이 막을 수 있는 위협과 막을 수 없는 위협이 무엇인지 정리합니다.
목차
- 에어갭의 정확한 정의 — 물리적 단절
- 공격 표면(Attack Surface)이라는 핵심 개념
- 왜 USB 연결도 완전히 안전하지 않은가
- QR코드 방식의 데이터 흐름 — PSBT 인코딩
- 대용량 거래는 어떻게 처리하나 — 다중 QR과 BBQr
- SD카드 방식의 데이터 흐름
- QR코드 vs SD카드 — 정량적 비교
- 에어갭이 막을 수 없는 것 — 한계를 알아야 진짜 보안이다
- 에어갭을 지원하는 기기들 [2026]
- 일반 사용자가 에어갭을 직접 체감하는 순서
- 필자의 생각
1. 에어갭의 정확한 정의 — 물리적 단절
에어갭이라는 용어는 원래 군사·정부 보안 분야에서 왔습니다. 극비 정보를 다루는 컴퓨터를 인터넷이나 다른 네트워크에 물리적으로 절대 연결하지 않는 보안 방식을 가리킵니다.
비트코인 하드웨어 지갑에 적용하면 이렇습니다.
에어갭 지갑이란 인터넷 연결 기능(WiFi, 블루투스, USB 데이터 통신)이 전혀 없거나 의도적으로 비활성화된 상태에서 거래에 서명하는 기기입니다.
NGRAVE ZERO 같은 기기는 USB, 블루투스, WiFi, NFC 등 연결 옵션이 전혀 없습니다. 덕분에 원격 공격이 사실상 불가능하고 진정한 에어갭 환경을 보장합니다.
핵심 원리: 물리적으로 연결할 방법이 없으면 원격 해킹이 불가능하다
해커가 악성코드를 심으려면 어떤 형태로든 데이터가 전송되는 통로가 필요합니다. 에어갭 기기는 그 통로 자체를 물리적으로 제거합니다. 코드가 얼마나 정교하든, 연결할 케이블도 무선 신호 수신기도 없다면 침투할 방법이 없습니다.
2. 공격 표면(Attack Surface)이라는 핵심 개념
에어갭의 가치를 제대로 이해하려면 보안 업계의 핵심 개념인 공격 표면을 알아야 합니다.
공격 표면이란?
시스템이 외부 공격에 노출되는 모든 지점(통로)의 총합입니다. 통로가 많을수록 공격 표면이 넓어지고, 공격자가 침투할 가능성이 높아집니다.
일반 하드웨어 지갑(USB 연결형)의 공격 표면
USB 포트(데이터 통신 가능), 블루투스(레저 일부 모델), 펌웨어 업데이트 채널, 연결된 PC의 보안 상태까지 모두 공격 표면에 포함됩니다.
에어갭 지갑의 공격 표면
QR코드 또는 SD카드, 단 하나의 통로만 남습니다. 그리고 이 통로는 데이터를 "읽기"만 하는 단방향 또는 매우 제한된 양방향 통신입니다.
숫자로 비교하면
일반 연결형 지갑은 통신 가능한 포트가 여러 개(USB, BLE, NFC) 일 수 있습니다. 에어갭 지갑은 통신 경로가 1개(QR 또는 SD)뿐이며, 그 경로조차 임의 코드를 실행시킬 수 없는 단순한 데이터 형식(텍스트/이미지)만 주고받습니다. 공격 표면이 수학적으로 훨씬 작아집니다.
3. 왜 USB 연결도 완전히 안전하지 않은가
14편에서 USB 연결형 하드웨어 지갑(레저, 트레저 일반 모델)도 개인키 자체는 칩 안에서 나오지 않는다고 설명했습니다. 그런데 왜 에어갭이 한 단계 더 안전하다고 평가받을까요?
USB는 "양방향 데이터 통신"이다
USB는 단순히 전기 신호를 주고받는 것이 아니라 펌웨어 명령, 데이터 패킷 등 복잡한 프로토콜로 통신합니다. 이론적으로 이 통신 채널 자체에 취약점이 존재할 가능성이 있습니다. 실제로 보안 연구자들이 USB 프로토콜의 결함을 이용한 공격(예: BadUSB류 공격)을 다양한 기기에서 시연한 바 있습니다.
QR코드/SD카드는 "단순 데이터"다
QR코드는 이미지입니다. SD카드의 PSBT 파일은 텍스트 기반 데이터입니다. 둘 다 "실행 가능한 코드"가 아니라 "읽어서 해석할 데이터"입니다. 이 데이터 자체가 기기를 직접 제어하거나 명령을 실행시킬 방법이 훨씬 제한적입니다.
비유로 설명하면
USB 연결은 "전화 통화"와 비슷합니다. 양쪽이 실시간으로 복잡한 대화(프로토콜)를 주고받습니다. QR코드는 "편지"와 비슷합니다. 한쪽이 적어서 보내고 다른 쪽이 읽습니다. 편지로는 상대방의 전화기를 해킹할 수 없습니다.
4. QR코드 방식의 데이터 흐름 — PSBT 인코딩
23편에서 다룬 콜드카드 Q의 QR 에어갭이 실제로 어떻게 작동하는지 데이터 차원에서 풀어봅니다.
1단계: PSBT 생성
스파로우(25편)나 다른 지갑 소프트웨어에서 거래를 만들면 PSBT(Partially Signed Bit coin Transaction)라는 표준 형식의 데이터가 생성됩니다. 이 데이터는 "누구에게 얼마를 보내는지, 어떤 UTXO를 사용하는지"라는 정보를 담은 텍스트/바이너리 데이터입니다.
2단계: QR코드로 인코딩
이 PSBT 데이터를 QR코드 이미지로 변환합니다. QR코드는 본질적으로 흑백 격자무늬에 데이터를 인코딩하는 방식입니다.
3단계: 카메라로 스캔
에어갭 지갑에 내장된 카메라가 화면의 QR코드를 광학적으로 읽습니다. 이 과정에서 전기적 신호 교환이 전혀 없습니다. 빛의 반사를 통한 이미지 인식만 일어납니다.
4단계: 기기 내부에서 디코딩 후 서명
기기가 QR코드를 PSBT 데이터로 복원하고, 거래 내용을 화면에 표시합니다. 사용자가 내용을 확인하고 승인하면 내장된 개인키로 서명합니다.
5단계: 서명된 결과를 다시 QR코드로 출력
서명이 완료된 PSBT를 다시 QR코드로 변환해서 기기 화면에 표시합니다.
6단계: PC가 그 QR코드를 스캔
PC의 웹캠이나 스파로우 소프트웨어가 이 QR코드를 다시 읽어서 완성된 거래를 비트코인 네트워크에 전송합니다.
이 전체 과정에서 전기적 연결은 단 한 번도 없습니다. 모든 데이터 이동이 빛(카메라 촬영)을 통해서만 이루어집니다.
5. 대용량 거래는 어떻게 처리하나 — 다중 QR과 BBQr
QR코드는 담을 수 있는 데이터 용량에 한계가 있습니다(표준 QR코드 최대 약 2,953바이트). 15편에서 다룬 멀티시그 거래나 복잡한 거래는 이 용량을 초과할 수 있습니다.
해결책: 다중 QR코드(애니메이션 QR)
큰 데이터를 여러 조각으로 나눠서 여러 개의 QR코드를 순차적으로 화면에 표시합니다. 마치 슬라이드처럼 QR코드가 바뀌면서 카메라가 각 조각을 스캔하고 기기 내부에서 다시 조립합니다.
BBQr 표준
23편에서 언급한 BBQr은 비트코인 데이터를 효율적으로 QR코드에 담기 위해 설계된 표준입니다. 압축과 분할을 결합해 더 큰 데이터도 안정적으로 전송할 수 있게 합니다. 콜드카드 Q를 포함한 최신 에어갭 기기들이 이 표준을 채택하고 있습니다.
왜 이런 복잡한 과정이 필요한가
큰 데이터를 한 번에 담을 수 있는 QR코드를 만들면 격자가 너무 세밀해져서 스캔 오류가 자주 발생합니다. 여러 개의 작은 QR코드로 나누는 것이 실제로는 더 안정적이고 빠릅니다.
6. SD카드 방식의 데이터 흐름
QR코드와 전혀 다른 방식이지만 같은 목표(에어갭 유지)를 달성하는 방법입니다.
1단계: PC에서 PSBT 파일 저장
스파로우 같은 소프트웨어에서 미서명 거래(PSBT)를 만들고 이를 SD카드에 파일로 저장합니다.
2단계: SD카드를 물리적으로 옮긴다
USB나 네트워크 연결이 아니라 카드 자체를 손으로 빼서 하드웨어 지갑에 직접 끼웁니다.
3단계: 기기가 파일을 읽고 서명
하드웨어 지갑이 SD카드의 파일을 읽어서 거래 내용을 화면에 보여주고, 승인 시 서명합니다. 서명된 결과를 다시 SD카드에 새 파일로 저장합니다.
4단계: SD카드를 다시 PC로
카드를 다시 PC에 꽂으면 소프트웨어가 서명된 거래 파일을 읽어서 비트코인 네트워크로 전송합니다.
SD카드 방식의 핵심: "물리적 매체 교환"
전기 신호가 아니라 메모리 카드라는 물체 자체가 이동합니다. 이것이 "에어갭"이라는 이름의 본래 취지(물리적 공기 간극)에 가장 가까운 방식입니다.
7. QR코드 vs SD카드 — 정량적 비교
두 방식의 실용적 차이를 정리합니다.
| 필요 하드웨어 | 카메라 내장 필수 | SD카드 슬롯만 필요 |
| 속도 | 빠름(즉시 스캔) | 카드를 물리적으로 옮겨야 해서 약간 느림 |
| 대용량 처리 | 다중 QR/BBQr로 분할 필요 | 파일 용량 제한 거의 없음 |
| 신뢰성 | 조명, 화면 각도에 영향받을 수 있음 | 안정적, 환경 영향 적음 |
| 휴대성 | 카메라 내장 기기만 가능 | 카드 슬롯 있는 모든 기기 |
| 대표 기기 | 콜드카드 Q, NGRAVE ZERO | 콜드카드 Mk4, 일부 트레저 모델 |
실용적 선택 기준
빠른 거래가 잦고 환경이 안정적이면 QR코드 방식이 편리합니다. 큰 멀티시그 거래나 안정성을 중시한다면 SD카드 방식이 유리할 수 있습니다. 23편에서 다룬 콜드카드 Q는 둘 다 지원해 상황에 맞게 선택할 수 있습니다.
8. 에어갭이 막을 수 없는 것 — 한계를 알아야 진짜 보안이다
에어갭이 만능 해결책이라고 오해하면 위험합니다. 균형 잡힌 이해를 위해 한계를 짚습니다.
막을 수 없는 것 1: 공급망 공격(Supply Chain Attack)
기기를 제조하거나 배송하는 과정에서 악성 칩이나 변조된 펌웨어가 미리 심어진다면 에어갭은 이를 막지 못합니다. 23편에서 강조한 공식 채널 구매와 봉인 번호 확인이 바로 이 위협에 대한 대응책입니다. 에어갭과 공급망 보안은 서로 다른 문제입니다.
막을 수 없는 것 2: 물리적 탈취와 강압
기기와 PIN을 동시에 빼앗기면 에어갭 여부와 무관하게 자산이 위험해집니다. 23편에서 다룬 BrickMe PIN, Duress PIN은 이 위협에 대응하는 별도의 보안 계층입니다.
막을 수 없는 것 3: 악성 QR코드/PSBT 자체의 내용 조작
PC가 악성코드에 감염된 상태라면, 에어갭 기기로 전달되는 QR코드 자체에 "공격자의 주소로 송금"이라는 조작된 내용이 담길 수 있습니다. 에어갭은 통신 채널의 보안만 보장하지, 그 채널로 전달되는 내용이 올바른지는 사용자가 직접 확인해야 합니다.
가장 중요한 사용자 행동 원칙
에어갭 기기 화면에 표시되는 수신 주소와 금액을 반드시 직접 눈으로 확인하고 승인해야 합니다. 23편에서 강조한 이 원칙이 에어갭의 한계를 보완하는 핵심입니다.
막을 수 없는 것 4: 사용자의 시드 구문 노출
24편에서 다룬 시드 구문이 외부에 노출되면 에어갭 기기 자체의 보안과 무관하게 자산을 잃습니다. 에어갭은 "거래 서명 과정"의 보안이고, 시드 구문 보관은 별개의 보안 영역입니다.
9. 에어갭을 지원하는 기기들 [2026]
2026년 현재 주요 에어갭 지원 기기들을 정리합니다.
콜드카드 Q/Mk4: QR(Q만)과 SD카드 모두 지원. 23편에서 상세히 다뤘습니다.
NGRAVE ZERO: 연결 옵션이 전혀 없는 완전 에어갭 기기. QR코드로만 통신. 광 센서 기반의 독자적 키 생성 방식 사용.
Keystone 3 Pro: QR 에어갭 지원. 오픈소스 펌웨어(22-1편 기준 검증 가능).
블록스트림 제이드(Blockstream Jade): PIN 보호와 오픈소스 유연성을 갖춘 오프라인 비트코인 지갑. QR 에어갭 지원.
엘리팔 타이탄(ELLIPAL Titan): 완전히 오프라인 상태를 유지하며 USB나 블루투스로 연결하지 않는 에어갭 지갑. QR코드 시스템으로 송금.
10. 일반 사용자가 에어갭을 직접 체감하는 순서
처음 에어갭 기기를 쓰면 생소합니다. 실제 체감 순서를 정리합니다.
- 25편에서 다룬 스파로우 같은 소프트웨어에서 보낼 주소와 금액을 입력합니다.
- "서명을 위해 표시" 또는 유사한 버튼을 누르면 화면에 QR코드(또는 SD카드 저장 안내)가 나타납니다.
- 에어갭 기기의 스캔 버튼을 누르고 화면의 QR코드를 향해 기기를 듭니다(또는 SD카드를 기기에 꽂습니다).
- 기기 화면에 거래 내용(수신 주소, 금액, 수수료)이 표시됩니다. 이 내용을 직접 눈으로 확인합니다.
- 맞다면 승인 버튼을 누릅니다. 기기가 새로운 QR코드(서명된 거래)를 보여줍니다.
- PC의 웹캠으로 그 QR코드를 다시 스캔하거나 SD카드를 PC에 다시 꽂습니다.
- 소프트웨어가 거래를 비트코인 네트워크에 전송합니다.
처음 한두 번은 어색하지만, 이 과정을 직접 경험하면 "내 키가 한 번도 PC에 닿지 않았다"는 사실을 체감할 수 있습니다.
11. 필자의 생각
💡 에어갭은 "느림"이 아니라 "의도된 마찰"이다
처음 에어갭 기기를 써봤을 때 QR코드를 두 번 스캔하는 과정이 번거롭게 느껴졌습니다. USB로 연결하면 한 번의 클릭으로 끝나는데 왜 이렇게 복잡하게 만들었을까 생각했습니다. 그런데 이 번거로움이 의도된 설계라는 것을 이해하고 나서 생각이 바뀌었습니다. 공격자도 이 물리적 과정을 똑같이 거쳐야 합니다. 원격으로는 절대 할 수 없습니다. 23편에서 언급했듯 보안은 때로 불편함으로 구현됩니다. 에어갭의 "느림"은 결함이 아니라 핵심 보안 메커니즘 그 자체입니다.
💡 공격 표면이라는 개념이 보안을 이해하는 데 가장 유용했다
이 글을 쓰면서 가장 중요하게 다루고 싶었던 것이 공격 표면이라는 개념입니다. 단순히 "에어갭이 안전하다"라고 외우는 것과 "통신 채널의 개수와 종류가 줄어들면 침투 가능 경로가 수학적으로 줄어든다"라고 이해하는 것은 다릅니다. 이 사고방식을 익히면 다른 보안 기술을 평가할 때도 같은 틀을 적용할 수 있습니다. 새로운 지갑이나 보안 제품을 볼 때 "이것의 공격 표면은 얼마나 넓은가"를 먼저 묻는 습관이 생겼습니다.
💡 에어갭의 한계를 아는 것이 오히려 신뢰를 만든다
처음에는 에어갭의 한계(공급망 공격, 화면 내용 조작)를 짚는 것이 에어갭을 깎아내리는 것처럼 보일까 걱정했습니다. 그런데 반대였습니다. 어떤 보안 기술이든 만능이라고 주장하는 순간 신뢰가 깨집니다. 에어갭이 정확히 어떤 위협을 막고 어떤 위협은 막지 못하는지 명확히 알면, 그 빈틈을 다른 수단(23편 봉인 번호 확인, 24편 시드 구문 백업)으로 메울 수 있습니다. 한계를 아는 것이 진짜 보안의 시작입니다.
자주 묻는 질문 (FAQ)
Q1. 에어갭 기기는 인터넷이 전혀 필요 없나요?
기기 자체는 인터넷이 필요 없습니다. 다만 거래를 실제로 비트코인 네트워크에 전송하는 것은 연결된 PC나 스마트폰이 담당합니다. 에어갭은 "개인키가 있는 기기"와 "인터넷"을 분리하는 것이지, 거래 자체를 인터넷 없이 완료할 수 있다는 뜻은 아닙니다.
Q2. QR코드를 스캔할 때 카메라로 다른 정보가 유출될 위험은 없나요?
이론적으로 카메라는 입력만 받습니다(화면을 찍어서 읽기). 콜드카드 Q 같은 기기의 카메라는 QR코드 디코딩 용도로만 사용되도록 설계되어 다른 정보를 외부로 전송하는 기능이 없습니다. 22-1편에서 다룬 오픈소스 검증이 가능한 기기라면 이 점도 코드 수준에서 확인 가능합니다.
Q3. SD카드를 여러 번 재사용하면 안전한가요?
23편에서 언급한 대로 전용 카드를 따로 마련해서 사용하는 것이 안전합니다. 다른 용도로 쓰던 카드를 재사용하면 악성 파일이 남아있을 가능성이 있습니다. 새 카드를 구매해 하드웨어 지갑 전용으로만 쓰는 것을 권장합니다.
Q4. 모바일 폰으로도 에어갭 지갑을 구현할 수 있나요?
가능합니다. 일부 사용자는 와이파이와 셀룰러 기능을 영구적으로 제거하거나 비활성화한 중고 스마트폰에 오픈소스 지갑 앱(예: 시드사 이너 소프트웨어 버전)을 설치해서 직접 에어갭 환경을 만들기도 합니다. 다만 전용 하드웨어보다 검증이 까다롭고 일반 사용자에게는 권장되지 않습니다.
Q5. 에어갭 기기를 쓰면 23편의 BrickMe PIN, Duress PIN이 필요 없나요?
아닙니다. 서로 다른 위협에 대응하는 기능입니다. 에어갭은 원격 해킹을 막고, BrickMe PIN과 Duress PIN은 물리적 강압 상황에 대응합니다. 둘 다 함께 사용하는 것이 가장 견고한 보안입니다.
결론 — 가장 강력한 방화벽은 물리적 단절이다
에어갭을 한 문장으로 정리합니다.
"인터넷 연결 통로 자체를 물리적으로 제거해 원격 해킹의 공격 표면을 최소화하고, QR코드나 SD카드라는 단순한 데이터 매체로만 거래 정보를 주고받는 보안 방식."
QR코드와 SD카드는 서로 다른 방법이지만 같은 원리를 구현합니다. 전기적 양방향 통신 대신 단순한 데이터(이미지 또는 파일)만 교환한다는 것입니다.
다만 에어갭은 만능이 아닙니다. 공급망 공격, 물리적 강압, 화면 내용 조작까지 막아주지는 않습니다. 23편과 24편에서 다룬 다른 보안 수단들과 함께 사용해야 진짜 견고한 방어선이 완성됩니다.
다음 편에서는 비트코인 채굴자 항복(Miner Capitulation) — 해시레이트 급락 후 벌어지는 일을 다룹니다.
※ 이 글은 정보 제공을 목적으로 작성된 것이며, 특정 자산에 대한 투자를 권유하지 않습니다. 투자에 대한 모든 결정과 책임은 투자자 본인에게 있습니다.
