BIP39

BIP39(Bitcoin Improvement Proposal 39)는 니모닉 코드(mnemonic code) 단어를 설명하는 일반적인 산업 표준이다.

개요[편집]

BIP39는 복구 단어를 만드는 방식과 관련되어있다. 복구 단어는 니모닉 코드 단어(mnemonic code words)라고 하는데, 니모닉 코드를 사용한다.^[1] 니모닉 코드 단어는 순서대로 나열된 영어 단어에서 시드(seed)를 만드는 방법이다. 니모닉 코드를 사용하면 HD 지갑을 쉽게 복원할 수 있다. 니모닉 코드 단어열은 12~24 단어로 구성된다.^[2]

시드와 니모닉 코드[편집]

개인 키의 안전한 백업과 검색을 위한 인코딩 방법은 여러 가지다. 현재 가장 선호하는 방법은 단어 시퀀스를 이용하는 것으로, 올바른 순서로 단어 시퀀스를 입력하면 개인 키를 다시 만들 수 있다. 이것을 니모닉(mnemonic)이라고 부르며 BIP39에서 표준화되었다. 요즘 많은 암호화폐 지갑에서 이 표준을 사용하여 백업과 복구를 위해 호환 가능한 니모닉으로 시드 임포트, 익스포트가 가능하다. ^[3] 왜 이러한 접근을 선호하는지 밑의 예제를확인해보면 알 수 있다.

16진수 표현

FCCF1AB3329FD5DA3DA9577511F8F137

니모닉 단어 12개 표현

wolf juice proud gown wool unfair
wall cliff insect more detail hub

실제로 나열된 16진수 시퀀스를 받아 쓸 때는 오류가 발생할 확률은 매우 높다. 반면에 니모닉 단어에서 알려진 단어들의 목록은 중복성이 커서 다루기가 쉽다. 만약 실수로 틀린 철자의 'inzect'가 기록되었다면, 지갑을 복구할 때 'inzect'는 유효하지 않은 단어이므로 대신 'insect'를 사용해야 하는 것을 빠르게 판단할 수 있다.^[3] 이것은 HD 지갑을 관리할 때 시드를 어떻게 보관해야 하는가와 관련된 문제다. 데이터 손실이 발생해 지갑을 복구하기 위해서는 시드가 필요하므로 백업은 매우 중요하다. 그래서 시드는 디지털 백업보다는 종이에 써서 보관하는 편이 더 좋다. 요약하면, HD 지갑의 인코딩을 위한 복구 단어 목록을 사용하는 것이 오류 없이 고쳐 쓰고, 종이에 기록하고, 읽고, 안전하게 내보내고, 개인 키들을 다른 지갑으로 가져오는 가장 쉬운 방법이다.

니모닉 코드 단어[편집]

니모닉 코드 단어는 결정적 지갑을 파생하기 위한 시드로 사용되는 난수를 인코딩한 단어 시퀀스다. 단어 시퀀스는 시드를 다시 만들 수 있고, 그것으로 지갑과 모든 파생된 키들을 다시 만들 수 있다. 니모닉 단어를 사용하는 결정적 지갑을 구현한 지갑 애플리케이션은 지갑을 처음 만들 때 12개에서 24개의 단어 시퀀스를 보여준다. 이 단어 시퀀스는 지갑 백업이고 같거나 호환되는 지갑 애플리케이션에서 모든 키를 복구하고 다시 만드는 데 사용된다.^[3] 니모닉 단어 목록을 사용하면 사용자가 쉽게 읽을 수 있고 정확하게 바꿔 쓸 수 있으므로 지갑을 백업하기가 더 쉽다.

니모닉 단어를 브레인지갑(brainwallet)과 혼동하는데, 이들은 서로 같지 않다. 브레인지갑은 사람들이 비밀 키를 잘 관리할 수 있도록 만들어진 기술이다. 기억하기 쉬운 단어나 글자를 가지고 키를 생성해주는 방식이다.^[4] 니모닉 단어와 브레인 지갑의 가장 큰 차이점은 니모닉 단어는 지갑이 랜덤하게 생성한 단어를 사용자한테 보여주고, 브레인 지갑은 사용자가 선택한 단어들로 구성된다는 것이다. 니모닉 단어는 난수 생성 소스로 만들어지기 때문에 이 중요한 차이점이 니모닉 단어를 더욱 더 안전하게 한다.^[3]

이상적인 단어 목록은 다음과 같은 특성이 있다. 단어 목록은 고유 문자를 포함할 수 있지만 NFKD(Normalization Form Compatibility Decomposition)를 사용하여 UTF-8으로 인코딩해야 한다.

단어의 현명한 선택 : 단어 목록은 처음 네 글자를 입력하여 명확하게 식별할 수 있는 방식으로 작성된다.
유사한 단어 회피 : "build"와 "built", "woman"와 "women" 과 "quick"과 "quickly"와 같은 단어 쌍은 문장을 기억하지 어려울 뿐만 아니라, 오류가 더 많고 추측하기 더 어렵다.
정렬된 단어 목록 : 코드 단어를 보다 효율적으로 검색할 수 있도록 단어 목록이 정렬된다. (즉, 구현 시 선형 검색 대신 이진 검색 사용 가능) 또한 이를 위해 trie(접두사 트리)를 사용할 수 있다.^[1]

니모닉 코드는 BIP-39에 정의되어 있다. BIP39가 니모닉 코드 표준의 한 가지뿐임을 기억할 필요가 있다. 일렉트럼 비트코인(Electrum Bitcoin) 지갑에서 BIP39 이전에 사용한 다른 단어 세트인 다른 표준도 있다. BIP39는 트래저(Trezor) 하드웨어 지갑을 지원하는 회사가 제안했으며, 일렉트럼 구현과 호환되지 않는다. 그러나 BIP39는 현재 수십 개의 상호운용이 가능한 구현으로 광범위하게 산업계 절반에 걸쳐 지원받고 있으며, 사실상 업계 표준으로 고려되어야 한다. 더욱이 BIP39는 일렉트럼 시드와 달리 이더리움을 지원하는 복수화폐 지갑을 생산하는 데 사용할 수 있다.^[5] BIP39는 니모닉 코드와 시드의 생성을 정의하는데, BIP39에 정의된 니모닉 코드와 시드 생성을 9단계에 걸쳐 설명할 수 있다.^[3]

니모닉 단어 생성[편집]

엔트로피 생성과 니모닉 단어로 인코딩

니모닉 코드 시드 추출

암호학적으로 랜덤한 128~256 bits의 시퀀스 S를 만든다.
S의 SHA-256 해시값 중에서 앞(왼쪽)에서 S의 길이 / 32비트만큼을 체크섬으로 만든다.
2번에서 만든 체크섬을 S의 끝에 추가한다.
3번에서 만든 시퀀스와 체크섬의 연결을 11 bits 단위로 자른다.
각 각의 11비트를 2048(2^11)개의 미리 정의된 단어로 치환한다.
단어 시퀀스로부터 순서를 유지하면서 니모닉 코드를 생성한다.^[3]

니모닉 코드 : 엔트로피와 단어 길이

엔트로피(비트)	체크섬(비트)	엔트로피 + 체크섬(비트)	니모닉 길이(단어)
128	4	132	12
160	5	165	15
192	6	198	18
224	7	231	21
256	8	264	24

시드 생성[편집]

니모닉 단어는 128~256비트 길이의 엔트로피를 표현한다. 엔트로피는 키 스트레칭(key-stretching) 함수 PBKDF2를 통해서 512비트의 시드를 만드는 데 사용되며, 생성된 시드는 결정론적 지갑을 구축하고 키를 파생하는 데 사용된다. 키 스트레칭 함수는 니모닉과 솔트(salt)라는 두 개의 파라미터를 사용한다. 솔트의 목적은 무차별 대입 공격(brute-force attack)을 가능하게 하는 조회 테이블(lookup table) 생성을 힘들게 하는 것이다. BIP39 표준에서 솔트는 또 다른 목적을 갖는데, 솔트의 추가적인 보안 요소 역할을 하는 암호문 추가를 사용할 수 있게 해준다.

PBKDF2 키 스트레칭 함수의 첫 번째 파라미터는 6번 단계에서 만든 니모닉이다.
두 번째 파라미터는 솔트이다. 솔트는 상수 문자열 "mnemonic"에 사용자가 지정한 암호문을 붙인 것이다.
PBKDF2는 니모닉과 솔트를 HMAC-SHA512로 2048번의 해싱해서 512 bits 값을 만들어 내는데, 이 값이 시드이다.^[3]

선택적 암호문[편집]

BIP39는 시드 생성에서 선택적 암호문(passphrase) 사용이 가능하다. 만약 암호문을 설정하지 않았다면 니모닉은 상수 문자열 'mnemonic'과 함께 솔트를 구성하여 연장되고, 주어진 니모닉으로부터 특정한 512비트 시드를 생성한다. 만약 암호문을 사용한다면 스트래칭 함수는 동일한 니모닉으로부터 다른 시드를 생성한다. 실제로, 단일 니모닉이 주어졌을 때 암호문이 다르면 다른 시드를 만들어낸다. 본질적으로 잘못된 암호문은 없다. 모든 암호문은 유효하며 각각 다른 시드를 만들어내고 가능한 한 초기화되지 않은 많은 지갑을 형성한다. 암호문이 충분히 복잡하고 길어서 실제로 무차별 대입 혹은 우연히 사용 중인 것을 추측해낼 가능성은 없다.^[5]

선택적 암호문은 두 가지 중요한 특징을 가지고 있다.

니모닉 자체만으로는 의미가 없도록 만들어서 니모닉 백업이 도난으로부터 보호될 수 있도록 하는 2차 팩터로 기능한다.
공격자의 협박 때문에 암호문을 가르쳐 줘야 할 경우는 진짜 암호문 대신 그럴 듯한 가짜 암호문을 제공한다. 그러면 대부분의 자금을 담고 있는 진짜 지갑 대신 적은 양의 자금이 있는 지갑으로 공격자의 주의를 돌릴 수 있다.

그러나 암호문의 사용은 손실의 위험 또한 가져온다는 점을 주목해야 한다.

만약 지갑의 주인이 의식을 잃었거나 사망했고 암호문을 알고 있는 사람이 없다면, 시드는 쓸모없어지고 지갑에 저장된 모든 자금을 영원히 잃게 된다.
반대로 소유자가 암호문을 시드와 동일한 위치에 백업하는 것은 2차 팩터를 사용하는 목적에 어긋난다.

암호는 매우 유용하지만 상속인이 암호화폐를 복구할 수 있는 가능성을 고려해야 하므로 신중하게 계획된 백업 및 복구 프로세스와 함께 사용해야 한다.

각주[편집]

↑ ^1.0 ^1.1 lanhaoxiang, 〈BIP39〉, 《깃허브》, 2019-02-15
↑ anpigon, 〈'블록체인'이더리움 공부 #2-HD 지갑과 니모닉 코드〉, 《비지베타》, 2018-09
↑ ^3.0 ^3.1 ^3.2 ^3.3 ^3.4 ^3.5 ^3.6 modolee, 〈4장 지갑〉, 《steemit》, 2018-10
↑ 문가용 기자, 〈블록체인, 이미 수많은 공격에 노출되어 있다〉, 《보안뉴스》, 2018-06-14
↑ ^5.0 ^5.1 박성훈, 류길성, 강동욱, Mastering Ethereum, J-Pub, 2019

참고 자료[편집]

박성훈, 류길성, 강동욱, Mastering Ethereum, J-Pub, 2019
lanhaoxiang, 〈BIP39〉, 《깃허브》, 2019-02-15
anpigon, 〈'블록체인'이더리움 공부 #2-HD 지갑과 니모닉 코드〉, 《비지베타》, 2018-09
modolee, 〈4장 지갑〉, 《steemit》, 2018-10
문가용 기자, 〈블록체인, 이미 수많은 공격에 노출되어 있다〉, 《보안뉴스》, 2018-06-14

같이 보기[편집]

이 BIP39 문서는 블록체인 기술에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.

블록체인 : 블록체인 기술^□^■^⊕, 합의 알고리즘, 암호 알고리즘, 알고리즘, 블록체인 플랫폼, 블록체인 솔루션, 블록체인 서비스

블록체인 기술	Bech32 • BTP • DRC-20 • EIP • IPFS • KRC-20 • NFT 마켓플레이스 • P2P • P2PKH • P2SH • PFP • PUF • SPV • TPS • TRC-20 • UTXO • 가나슈 • 가명성 • 가스 • 가십 • 가십 프로토콜 • 개념증명(PoC) • 검증가능지연함수(VDF) • 게스 • 고스트 프로토콜 • 공공예산 • 대체가능토큰 • 대체불가토큰(NFT) • 도지더리움 브릿지 • 디지털 자산 • 디지털 희소성 • 라운드 • 라운드 로빈 • 라이트하우스 • 랜덤 • 레그테크 • 레이든 • 리카르디안 계약 • 린스타트업 • 마스터키 • 마스트 • 메인넷 • 멜팅 • 믹싱 • 민팅 • 밈블윔블 • 반감기 • 베타넷 • 변경불가성 • 브릿지 • 블록체인 생태계 • 블록체인인공지능 • 블록체인 클라우드 서비스(BaaS) • 블룸필터 • 비블록체인 • 비앱 • 비콘체인 • 비트코인코어 • 빤통경제 • 수정 고스트 프로토콜 • 스냅샷 • 스마트 계약 • 스마트 브리지 • 스웜프로토콜 • 스크립트퍼브키 • 스테이킹 • 스텔스 주소 • 스핀오프코인 • 슬래싱 • 시크릿 컨트랙트 • 심플 컨트랙트 • 아토믹스왑 • 암호경제(크립토 이코노미) • 앵커링 • 언스테이킹 • 에어드랍 • 에폭 • 오프체인 오더락 • 오피리턴 • 옵코드 • 원토큰 문제 • 웨이 • 위스퍼 프로토콜 • 위임 • 유니스왑 • 유동성 • 이더리움 가상머신(EVM) • 이더리움 클라이언트 • 이중지불 • 익명성 • 인증된 익명 아이디 • 인터레저 프로토콜(ILP) • 자산화 • 잠금 스크립트 • 최소기능제품(MVP) • 컨소시엄 블록체인 • 컬러드코인 • 코인셔플 • 코인소각 • 코인에이지 • 코인조인 • 코인토싱 • 크립토노트 • 키스토어 • 타임락 • 테스트넷 • 토다 • 토큰 이코노미 • 토큰화 • 튜링완전 • 튜링불완전 • 트랜잭션 아이디(TxID) • 트러스트 컨트랙트 • 트루빗 • 트릴레마 • 파워 • 파티셔닝 • 퍼블릭 블록체인 • 페널티 • 프라이버시 • 프라이빗 블록체인 • 플랫폼 • 플러딩 • 피어 • 피투피(P2P) • 하이브리드 블록체인 • 합의 • 해시락 • 해시타임락(HTLC) • 해제 스크립트 • 확장성

해시	레인보우 테이블 • 매핑 • 머클경로 • 머클루트 • 머클트리 • 분산해시테이블(DHT) • 블록해시 • 스큐드 머클트리 • 온라인툴즈 • 이전블록해시 • 카뎀리아 • 해시 • 해시레이트 • 해시맵 • 해시충돌 • 해시테이블 • 해시파워 • 해시함수 • 해싱

블록	고아블록 • 그래핀 • 논스 • 마이크로블록 • 베이킹 • 북키퍼 • 브랜치블록 • 브로드캐스팅 • 블록 • 블록높이 • 블록바디 • 블록생성자 • 블록정보 • 블록타임 • 블록헤더 • 비츠 • 세그윗 • 엉클블록 • 완결성 • 제네시스블록 • 타임스탬프 • 프룻 • 프룻체인

체인	더블체인 • 라이트닝 네트워크 • 라이트닝 루프 • 루트체인 • 루프체인 • 메인체인 • 방향성 비순환 그래프(DAG) • 베리파이어블 프루닝 • 블록격자 • 블록체인 • 사용자 활성화 소프트포크(UASF) • 사용자 활성화 하드포크(UAHF) • 사이드체인 • 서브체인 • 소프트포크 • 오페라체인 • 오프체인 • 온체인 • 인터체인 • 차일드체인 • 체인 • 탱글 • 테스트체인 • 토카막 네트워크 • 포크 • 포크체인 • 퓨어체인 • 프로덕트체인 • 프루닝 • 프리포크 • 플라즈마 알고리즘 • 플라즈마캐시 • 플래시 계층 • 하드포크 • 해시그래프 • 홀로체인

노드	검증인(밸리데이터) • 기본노드 • 노드 • 라이트노드 • 랜덤노드 • 마스터노드 • 베이킹노드 • 보조노드 • 보증노드 • 슈퍼노드(슈퍼대표, 대표노드) • 슬롯 • 슬롯리더 • 엔드포인트노드(레인저노드) • 의회 네트워크 • 작업노드 • 종단노드 • 종자노드(시드노드) • 중계노드 • 지갑노드 • 채굴노드(마이닝노드) • 쿼럼 • 풀노드 • 합의노드

샤딩	네트워크 샤딩 • 데이터베이스 샤딩 • 동적샤딩 • 샤드 • 샤딩 • 스테이트 샤딩 • 알고리즘 샤딩 • 적응형 상태 샤딩 • 체인샤딩 • 트랜잭션 샤딩

채굴	병합채굴 • 사전채굴 • 에이식(ASIC) • 에이식부스트 • 에이식 저항 • 일드파밍 • 채굴 • 채굴 난이도 • 채굴량 • 탄소감축채굴 • 페어런치

탈중앙화	TVL • 거버넌스 • 다오(DAO) • 다이코(DAICO) • 닥(DAC) • 닥스(DAX) • 덱스(DEX) • 디앱(DApp) • 디지오(DGO) • 디튜브 • 디파이(DeFi) • 분산경제 • 분산원장(DLT) • 분산 클라우드 • 씨파이(C-Fi) • 오프체인 거버넌스 • 온체인 거버넌스 • 원장 • 준중앙화 • 중앙화 • 탈중앙화 • 탈중앙화 TPS • 탈중앙화 조직(DO) • 탈중앙화 지수(DQ)

분산아이디	DIDs • IETF • ToIP • 검증가능한 자격증명 • 검증인 • 디지털아이덴티티재단 • 발급자 • 보유자 • 분산아이디(DID) • 분산아이디 기관 • 분산아이디 인증(DID Auth) • 아이온 • 자기주권 • 자기주권신원 • 최소화된 자격증명 데이터 • 탈중앙화 키관리시스템 • 통합해석기

오라클	상호인증 블록체인 • 오라클 • 오라클 머신 • 오라클 문제 • 오라클 서비스 • 중간자

BIP	BIP • BIP9 • BIP16 • BIP32 • BIP39 • BIP43 • BIP44 • BIP47 • BIP49 • BIP63 • BIP70 • BIP84 • BIP141 • BIP148

ERC	ERC • ERC-20 • ERC-165 • ERC-223 • ERC-621 • ERC-721 • ERC-777 • ERC-827 • ERC-884 • ERC-998 • ERC-1155 • ERC-1404

위키 : 자동차, 교통, 지역, 산업, 기업, 단체, 업무, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반