Tonkeeper 보안 리뷰 | 개인 키 관리, 코드 감사 및 지갑 위험 평가

서론: Tonkeeper의 보안에 관심을 가져야 하는 이유는 무엇입니까?

암호화폐 지갑 업계에서 보안은 투자자들의 주요 관심사입니다. TON(The Open Network) 블록체인의 급속한 확장으로 점점 더 많은 사용자가 TON 토큰과 NFT를 저장하고 전송하기 위해 Tonkeeper를 선택하고 있습니다. 하지만 Tonkeeper는 정말 안전한가요? 누가 개인 키를 관리하나요? 코드는 감사를 받았나요? 사용자 자금이 분실된 사례는 있었나요?

이 글에서는 개인적 경험, 커뮤니티 피드백, 사용자 사례, 제3자 미디어 보도, 다른 지갑과의 비교를 통해 Tonkeeper의 보안 및 위험 요소를 종합적으로 분석합니다.

1. 톤키퍼 회사 및 배경

1.1 기본 정보

• 앱 이름 : Tonkeeper Wallet

• 공식 홈페이지 : https://tonkeeper.com

• 개발자 : Tonkeeper Labs (회사 등록 정보는 아직 완전히 공개되지 않았으며, 해당 팀은 TON 재단과 긴밀한 협력 관계를 유지하고 있습니다)

• 지원 블록체인 : The Open Network (TON)

• 다운로드 채널 : Apple App Store, Google Play, 공식 APK

1.2 역사와 발전

• 2021년: Tonkeeper가 공식 출시되어 TON 커뮤니티에서 추천하는 지갑 중 하나가 되었습니다.

• 2022년: Telegram 커뮤니티에 빠르게 퍼져 대부분의 TON 사용자에게 첫 번째 선택이 되었습니다.

• 2023년: NFT 관리 및 DeFi 플러그인 지원 출시.

• 2024년: 다운로드 수가 500만 건을 돌파하여 TON 생태계에서 가장 높은 시장 점유율을 가진 지갑이 되었습니다.

1.3 팀 배경

• Tonkeeper Labs : Coinbase Wallet처럼 전체 주주 구조를 공개하지는 않지만, 개발자들은 종종 TON 공식 포럼 토론에 참여합니다.

• TON 재단 ( https://ton.org )과 협력 관계를 유지하여 지갑과 블록체인 생태계의 개발을 공동으로 촉진합니다.

2. 지갑 아키텍처에 대한 자세한 설명

2.1 관리되지 않는 로직

Tonkeeper는 비보관형 지갑 입니다.

• 개인 키는 서버에 저장되지 않고 사용자 기기의 로컬에만 존재합니다.

• 이 니모닉 문구는 지갑을 복구하는 데 사용됩니다. 손실은 자금을 영구적으로 잃는 것을 의미합니다.

• 비밀번호를 잊어버렸을 때 검색 기능이 없습니다.

2.2 니모닉

• 기본적으로 12개의 영어 단어가 생성됩니다.

• 사용자는 수동으로 복사하고 저장해야 합니다.

• 클라우드(예: Google Drive, iCloud)에 데이터를 저장하는 경우 유출 위험이 있습니다.

2.3 보안 위험

• 사용자의 휴대폰이 루팅/탈옥된 경우 Tonkeeper의 보안이 상당히 약화됩니다.

• 일부 가짜 Tonkeeper APK는 설치 중에 복구 문구를 훔칩니다.

3. 오픈소스 코드 및 감사

3.1 오픈소스

• 일부 프런트엔드 코드는 오픈 소스입니다. GitHub 주소: https://github.com/tonkeeper

• 핵심 암호화 모듈은 완전히 공개되지 않았으며 MetaMask와 Trust Wallet만큼 투명하지 않습니다.

3.2 커뮤니티 감사

• 2023년에 TON 커뮤니티 보안팀은 Tonkeeper 코드에 대한 보안 테스트를 실시하여 주요 취약점은 발견하지 못했지만 과도한 권한이 있음을 지적했습니다.

• 아직까지 빅4 감사 회사(딜로이트, PwC 등)에서는 완전한 보안 보고서를 발행하지 않았습니다.

3.3 위험

• 핵심 모듈은 오픈 소스가 아닙니다 → 외부에서 완벽하게 검증할 수 없습니다.

• 제한된 지역 사회 검사 → 적용 범위 부족.

4. 권한 및 개인정보 보호 분석

4.1 권한 요구 사항

Tonkeeper를 설치할 때 앱에서 요청하는 권한은 다음과 같습니다.

• 네트워크 접속

• 장치 저장소(데이터 캐싱용)

• 카메라 사용 권한(스캔 코드로 결제)

4.2 지역 사회의 우려

• 일부 사용자는 Reddit에서 Tonkeeper의 안드로이드 버전이 너무 많은 권한을 요청한다고 보고했습니다.

• 저장 권한으로 인해 맬웨어가 데이터를 훔치기가 더 쉬워질 수 있습니다.

📌 참고: Reddit - Tonkeeper 권한 토론

5. 보안 사고 사례 라이브러리

사례 1: 가짜 APK 사기

• 시간 : 2024년 11월

• 사용자 : 이바노프 씨(러시아)

• 손실량 : 약 2,000톤

• 과정 : 가짜 Tonkeeper APK를 다운로드한 후 니모닉 문구를 입력하자 자산이 도난당했습니다.

사례 2: 앱 충돌

• 시간 : 2025년 1월

• 사용자 : Chen 씨(중국 본토)

• 손실 : 약 500 USDT

• 진행 상황 : 업데이트 후 시스템이 다운되어 고객센터에서 제때 대응하지 못해 자산 이전이 지연되었습니다.

사례 3: 거래 지연

• 시간 : 2024년 12월

• 사용자 : Mr. Johnson (미국)

• 상황 : 톤키퍼의 서명 속도가 느리고, 전송 지연이 1시간을 초과합니다.

6. 커뮤니티 평판 및 제3자 보고서

• CoinTelegraph : Tonkeeper를 "TON 생태계에서 가장 널리 사용되는 지갑"이라고 불렀습니다.

• WikiFX : Tonkeeper의 등록된 회사 배경 부족에 의문을 제기합니다.

• Reddit 및 Telegram : 대부분 사용자는 그 간단함을 알고 있지만 자금 보안에 대해 우려합니다.

7. Tonkeeper와 경쟁사 비교

8. 규정 준수 및 향후 규제

• 톤키퍼는 독립적인 금융 라이선스를 가지고 있지 않습니다.

• 앞으로 EU나 미국이 지갑 서비스 제공업체를 규제하게 되면 Tonkeeper는 KYC를 수행해야 할 수도 있습니다.

• 하드웨어 지갑 제조업체 Ledger는 TON을 통합할 계획이며, 이는 Tonkeeper 사용자를 다른 곳으로 돌릴 수 있습니다.

9. 개인적인 경험

• 다운로드 및 설치 : 공식 웹사이트 에서 다운로드하는데 1분이 소요됩니다.

• 지갑 생성 : 12개의 니모닉을 생성하고 UI를 명확하게 만듭니다.

• 결제 받기 : 50 TON을 받으시면 5초 이내에 귀하의 계좌에 입금됩니다.

• 이체 : 20톤 이체, 0.02톤 취급 수수료, 10초 확인.

• NFT 관리 : 텔레그램 사용자 이름 NFT가 성공적으로 표시되었습니다.

10. 흔한 사기 수법과 예방

1. 가짜 APK : 해커가 Tonkeeper를 사칭합니다.

2. 피싱 사이트 : Google 광고를 통해 전달됨.

3. 가짜 고객 서비스 사기 : 텔레그램 그룹의 개인 채팅.

👉 예방 제안:

• 다운로드 전에 도메인 이름을 확인하세요: tonkeeper.com

• 니모닉을 공유하지 마세요

• 대량의 자금을 보관하려면 콜드 월렛을 사용하세요

11. 안전 관행 권장 사항

• 다중 서명 지갑 : 거래 서명 임계값을 높입니다.

• 하드웨어 지갑 : Ledger, Trezor와 같은 콜드 지갑은 대량의 자산을 저장합니다.

• 핫 및 콜드 조합 : Tonkeeper 핫 월렛 + Ledger 콜드 월렛 조합.

12. 위험 요약

• 장점 : 편리하고 강력한 생태적 지원.

• 단점 : 오픈 소스 부족, 감사 미흡, 고객 서비스 부족.

13. 결론 및 투자자 추천

⚠️결론 :
Tonkeeper는 TON 생태계에서 가장 흔한 지갑 중 하나이지만 보안성은 중간 수준입니다.

• 소액의 일상 거래에 적합합니다.

• 대량의 자금을 장기적으로 보관하는 데 적합하지 않습니다.

• 콜드 월렛과 다중 서명 솔루션과 함께 사용하는 것이 좋습니다.