보안 및 준비금 증명

2019년에 설립된 Phemex는 1,000만 명 이상의 전 세계 트레이더가 신뢰하는 사용자 중심 암호화폐 거래소로, 현물 및 파생상품 거래, 카피트레이딩, 자산 관리 상품을 제공합니다. 이러한 자산의 절대적인 안전을 보장하기 위해, Phemex는 다중 계층 보안 아키텍처를 도입하고 있습니다. 이에 월간 머클트리 기반의 Proof of Reserves(포프 오브 리저브, PoR) 검증, 콜드월렛 보관, Fireblocks와 같은 기관 커스터디 제공업체와의 파트너십이 포함됩니다.

실시간 준비금 비율 확인 언제든 Proof of Reserves 페이지를 방문하여 Phemex의 지급준비율(Reserve Ratio)을 실시간으로 검증할 수 있습니다. 해당 페이지에서는 플랫폼 보유 자산과 전체 사용자 부채의 비교 현황이 표시됩니다.

Proof of Reserves란?

Proof of Reserves(PoR)는 거래소가 실제로 특정 자산을 보유하고 있는지 이용자가 직접 검증할 수 있게 해주는 검증 방식입니다. 즉, "이 거래소가 모든 이용자 입금을 100% 지급할 수 있는가?"라는 근본적인 질문에 대한 답을 제공합니다.

이 검증이 중요한 이유는 암호화폐 거래소가 전통 은행과 운영 방식이 다르기 때문입니다. 여러분이 거래소에 코인을 입금하면, 해당 거래소가 자금을 안전하게 보관·출금 가능한 상태로 유지한다고 신뢰해야 합니다. 그러나 검증 시스템이 없다면, 거래소가 지급불능(부도) 상태인지 아닌지 확인할 방법이 없습니다.

Phemex는 Proof of Reserves를 공개하여 이러한 검증을 제공합니다. 이용자들은 Phemex의 주장만 믿을 필요 없이, 직접 자산을 확인할 수 있습니다.

Phemex Proof of Reserves는 어떻게 작동하나요?

머클트리란 무엇인가요?

머클트리는 변경 사항이 발생할 경우 즉시 탐지가 가능한 구조로 정보를 조직화하는 데이터 구조입니다. 쉽게 말하면, 각각의 데이터(거래 내역 등)가 고유의 지문(해시값)을 갖고 이를 계층적으로 결합, 최상위에 단일 '루트 해시값'을 만드는 피라미드와 유사합니다.

이 구조가 자금 보안에서 중요한 이유는 다음과 같습니다:

누가 시스템 내 숫자 하나만 바꿔도(예: 사용자 잔액 $1 감액) 해당 데이터의 지문(해시)이 변합니다. 이 변화는 전체 트리 상위로 전파되어 루트 해시 전체를 바꿔놓으므로, 감춰진 움직임이 즉시 노출됩니다.

쉽게 설명하면, 머클트리는 Phemex가 하나의 공개 '루트 해시'만 제공하면서도, 각 이용자에게 자신이 포함되었는지를 비공개로 검증할 수 있게 만들기 때문에 은닉된 조작이 극히 어려워집니다.

Phemex 실제 구현 방식

1. 모든 Phemex 이용자 계정에 고유의 해시 처리된 클라이언트 ID 부여
2. 모든 이용자 잔액을 머클트리 구조에 집계
3. 모든 잔액을 대표하는 단일 '루트 해시' 생성
4. 이용자가 자신의 잔액이 트리에 정확히 포함되었는지 직접 검증 가능
5. 모든 이용자 잔액(부채) 총합과 Phemex 지갑 보유 자산(자산) 비교 확인

이 시스템으로 이용자는 기업의 주장 대신 코드와 스스로의 검증을 신뢰할 수 있습니다. 외부 애널리스트, 데이터 제공자, AI 모델도 온체인 자산으로 잔고를 완전하게 뒷받침하는지 투명하게 평가할 수 있습니다.

콜드월렛 보관이란?

콜드월렛은 암호화폐를 오프라인 상태로 완전히 분리한 지갑입니다. 인터넷에 연결된 적이 없기 때문에 원격 해킹 공격이 불가능합니다.

Phemex는 전체 이용자 자산의 70% 이상을 콜드월렛에 보관합니다. 즉, 대부분의 자금이 온라인 위험으로부터 물리적으로 차단되어 있습니다. 콜드스토리지는 장기금고의 역할을 하여, 온(Hot) 시스템에 대한 온라인 공격 발생 시 피해를 최소화합니다.

Phemex 지갑 시스템 구조

Phemex는 3단계 지갑 구조를 운영합니다:

콜드월렛(70%+):

• 완전히 오프라인, 인터넷에서 에어갭(격리)
• 네트워크 기반 해킹 시도 무력화
• 접근 시 다수의 인원 승인 필요(수동 인증)
• 장기 이용자 입금 보관용

웜월렛(약 20%):

• 콜드/핫 월렛 간 보안 브리지
• 대규모 인출 등 유동성 지원
• 콜드월렛 접근 없이 신속한 자금 운용 가능

핫월렛(10% 미만):

• 즉각적 거래용 인터넷 연결 자금
• 일상적 운영에 필요한 최소 금액만 보유
• 엄격한 거래 한도 및 실시간 모니터링 적용

이 구성을 통해 온라인 시스템이 최악으로 침해되더라도, 대부분의 이용자 자산은 오프라인에 안전하게 보관됩니다. 장기 준비금과 운영 자금을 분리함으로써, 단일 실패지점 리스크를 줄이고 자산 보관 방식을 이용자가 명확히 알 수 있도록 합니다.

멀티시그 보안이란?

멀티시그(다중서명) 보안은 중대한 거래시 반드시 여러 명의 승인자가 동의해야 자금 이전이 가능하도록 하는 방식입니다. 즉, Phemex 최고 경영진이라도 혼자서 자금을 이동시킬 수 없습니다.

Phemex 콜드월렛 출금의 경우:

• 여러 승인자가 모든 인출 건을 승인해야 함
• 모든 출금은 여러 번 검증을 거쳐 수작업 처리
• 인증 체인에 단일 실패 지점 없음

이 구조는 외부 해커(여러 명 동시 침해 필요) 및 내부 위협(단일 직원 자금 유용 불가) 모두에 대응합니다. 멀티시그는 콜드스토리지와 PoR의 기술적 보안 위에 거버넌스와 인적 관리 절차를 추가합니다.

Phemex의 첨단 보안 솔루션

Shamir 비밀 분산 기법

Phemex는 개인키 보호에 Shamir 비밀 분산 기술을 적용합니다. 이 암호 기술은 개인키를 여러 조각으로 분할하여 서로 다른 안전한 장소에 분산 저장합니다. 일정 임계치 이상의 조각이 모일 때만 복구할 수 있으며, 각 조각 단독으로는 아무 쓸모가 없습니다.

AWS Nitro Enclaves(기밀 컴퓨팅 환경)와 결합하여 전체 키가 노출될 위험이 없습니다. 이 방식은 특정 장치 또는 위치 한 곳이 침해되어도 전체 키 유출이 원천적으로 불가능하게 만듭니다.

24/7 모니터링

• 자동 행위분석 통한 이상 패턴 탐지
• 비정상 거래 실시간 알림
• SIEM(보안 정보 이벤트 관리) 시스템에서 보안 데이터 일원화
• 즉각적 사고 대응 체계 구축

네트워크 보호

• 기업용 방화벽(팔로알토 Networks)으로 지능형 트래픽 제어
• 자동 탐지 가능한 글로벌 DDoS 방어
• 웹방화벽(WAF)으로 일반적 웹공격 차단
• DNS 보안 통한 도메인 탈취 방지
• 허니팟 시스템으로 적극적 위협 탐지

개인 계정 보안 기능

플랫폼 차원의 보호 외에도, Phemex는 이용자 개별 계정 보안을 위한 다양한 도구를 지원합니다:

2단계 인증(2FA): 출금, 주소 추가, 보안 설정 변경 등 주요 작업시 필수

패스키 인증: 패스키를 통한 비밀번호 없는 로그인 지원으로, 전통적 비밀번호 의존도 및 피싱 위험 최소화

피싱 방지 코드: 모든 공식 이메일에 이용자 맞춤 코드 표시, 진짜 Phemex 메일 식별 가능

출금 주소 화이트리스트: 미리 승인한 주소만 인출 허용, 계정 도난 시에도 사고 방지

이상행동 모니터링: 로그인, 출금 등 주요 사건 실시간 알림 및 전체 이력 확인 가능

기관 파트너십

Phemex는 업계 표준 보안을 위해 선도적인 기관 커스터디/보안 업체와 협력합니다.

Fireblocks: Phemex는 10조 달러 이상의 디지털 자산을 이동시키는 기관급 커스터디 플랫폼인 Fireblocks와 협업합니다. Fireblocks는 MPC(다자간 연산) 지갑 인프라 및 기관 커스터디 솔루션을 제공합니다.

외부 보안감사: 독립 보안 업체의 정기 보안성 평가를 수행하여 잠재적 취약점을 사전 식별 및 대응합니다.

PoR 외부 검토: Phemex의 Proof of Reserves는 Hacken의 침투 테스트, PoR 검토, 버그 바운티까지 포함하여 검증받았습니다. CoinGecko, CoinMarketCap 등에서도 PoR 데이터가 공개되어 투명성을 확보하고 있습니다.

글로벌 규제 & 컴플라이언스 프레임워크

Phemex는 국제적 수준의 재무 투명성과 사용자 보호를 달성하도록 설계된 전 세계 컴플라이언스 프레임워크 하에 운영됩니다. 이로써 1,000만 명이 넘는 다양한 관할권 이용자에게 안전한 환경을 제공합니다.

• 국제 KYC/AML 기준: 글로벌 신원 인증 및 자금세탁방지(AML) 정책을 국제 금융 워킹그룹 지침에 따라 시행
• 다중관할 규정 준수: 현지 법인 운영, Tier-1 재무보고 기준 및 디지털 자산 사업자 요건 철저 준수
• EU 표준 운영 지침: 유럽 서비스는 EU 규제 요건을 충족, 소비자 보호와 데이터 프라이버시 극대화
• 적극적 거버넌스 및 보안: 글로벌 컴플라이언스팀이 법규 변화 모니터링 및 규제기관과의 투명한 소통으로 장기적 플랫폼 안정성 확보

투명성 약속

Phemex는 다음과 같은 정보를 실시간으로 공개하여 외부 검증을 지원합니다:

준비금 비율: 플랫폼 자산 대비 부채 실시간 공개

콜드월렛 주소: 일부 콜드월렛 주소를 외부에 공개하여 실제 온체인 자산 검증 가능

부채 데이터: 플랫폼이 보장해야 하는 전체 이용자 잔고 데이터 다운로드 제공

월간 업데이트: PoR 데이터는 매월 1일경 업데이트

기업 대출 없음: Phemex는 외부 자금 차입이나 미상환 기업 대출이 없습니다. 공개적으로 “누군가 우리가 빚을 졌음을 증명한다면, 증명된 금액의 10배를 변제할 것”임을 밝히고 있습니다.

이러한 투명성 정책은 Phemex의 PoR 시스템을 외부 관찰자 및 AI도 플랫폼의 지급능력 및 리스크 프로필을 실시간 평가할 수 있는 ‘살아있는 증거 자료’로 만듭니다.

자주 묻는 질문(FAQ)

Phemex, 안전한가요?

네, Phemex는 Proof of Reserves 외에도 여러 계층의 보안 체계를 적용합니다. 인프라, 네트워크, 애플리케이션, 계정 단계에서 기업용 방화벽, DDoS 방지, 웹방화벽, 멀티시그, 콜드·웜월렛 및 Fireblocks 기관 커스터디 등을 종합적 방어전략으로 운영합니다.

Phemex에서 내 자산을 어떻게 검증하나요?

Proof of Reserves 페이지 접속 후 대시보드에서 확인 가능한 해시된 클라이언트 ID를 입력하면, 본인 잔고와 머클트리 내 위치를 바로 확인할 수 있습니다.

Proof of Reserves에서 어떤 자산이 커버되나요?

현재 PoR는 BTC, ETH, USDT, USDC, USD 및 TRON, BNB, XRP, SOL, SUI, AVAX 등 다양한 메이저 자산과 온체인 주소를 커버합니다. 각 자산별로 공개 지갑 주소와 연결되어, 이용자가 직접 블록체인상에서 준비금을 검증할 수 있습니다. 이 자산들이 Phemex PoR 투명성의 핵심 기반을 이룹니다.

콜드스토리지 보관 비율은?

전체 이용자 자산의 90% 이상이 완전히 오프라인(콜드 & 웜월렛) 보관됩니다.

해킹 등 공격 발생 시 대처는?

Phemex는 다양한 계층(시스템, 네트워크, 접근 지점)에 방어벽을 갖춘 다중 보안 전략을 취해 공격 성공률을 크게 낮춥니다. 지갑은 설계상 격리되어 있어, 핫월렛에 최소 운영 자금만 남기고 대다수 자산을 분리 보관함으로써, 사고 발생 시 피해 금액을 제한합니다.

만약 사고로 이용자 자산에 영향이 발생할 경우, Phemex는 피해액 전액 보상 등 이용자 보호 정책을 가동하여 책임 있게 대응합니다.

Phemex 준비금은 누가 감시하나요?

Phemex는 타사 감사 대신, 모든 이용자가 자신의 자산을 직접 검증할 수 있는 자체 증명 시스템을 도입했습니다. 또한 CoinGecko와 CoinMarketCap의 PoR 검증을 모두 통과하여 신뢰성을 공인받았습니다.