팝업레이어 알림
팝업레이어 알림이 없습니다.
텔레그램 미니앱 코인 지갑 연동법과
안전한 자산 보호 수칙
수탁형 지갑과 비수탁형 톤키퍼(Tonkeeper)의 핵심적인 차이점을 쉽게 정리하고, 에어드랍 참여 시 발생하는 해킹과 피싱 사기를 방지하는 모의 서명 훈련까지 마스터해 보세요.
안녕하세요! 텔레그램 한글사이트(telegram.pe.kr) 공식 가이드 마스터입니다. 텔레그램 미니앱 생태계(Mini Apps)가 활성화되면서 다양한 게임과 채널들이 에어드랍(Airdrop) 보상을 내세워 가상자산 지갑 연동을 유도하고 있습니다. 텔레그램 미니앱은 기본적으로 TON(The Open Network) 블록체인을 기반으로 설계되어 지갑 연결이 필수적입니다.
하지만 지갑 연동 과정에서 악성 스마트 계약(Smart Contract)에 무심코 서명하여 지갑 속 자산을 한순간에 잃는 사기 피해 사례 역시 빠르게 증가하고 있습니다. 이번 가이드에서는 텔레그램 내장 수탁형 지갑과 외장 비수탁형 톤키퍼(Tonkeeper)의 차이를 알아보고, 미니앱 지갑을 안전하게 연결하고 피싱 스마트 계약을 예방하는 3대 보안 수칙을 상세히 제시합니다.
텔레그램 생태계에서 지갑을 연동할 때 선택하는 대표적인 두 가지 지갑은 보안 및 소유권 관리 측면에서 완전히 다른 메커니즘을 가집니다.
| 비교 항목 | 텔레그램 내장 지갑 (Wallet) | 톤키퍼 (Tonkeeper) |
|---|---|---|
| 지갑 유형 | 수탁형 (Custodial) 지갑 | 비수탁형 (Non-Custodial) 지갑 |
| 프라이빗 키 소유 | 텔레그램 수탁 기관이 관리 | 개인 스마트폰 기기에만 저장 (본인 소유) |
| 보안 인증 절차 | KYC 실명 인증 요구 가능 (특정 기능 실행 시) | 본인 외 개인식별번호(PIN) 및 생체 인식 |
| 니모닉(복구 문구) | 별도 니모닉 보관 불필요 (비밀번호 분실 시 복구 가능) | 24개 복구 단어(니모닉) 제공 (분실 시 자산 복구 불가) |
| 연동 안정성 | 텔레그램 계정 해킹 시 자산 탈취 위험 | 개인 디바이스가 탈취되거나 백업 문구가 노출되지 않으면 안전 |
대부분의 텔레그램 탭투언(Tap-to-Earn) 미니앱이나 가상자산 프로젝트에서 지갑을 안전하게 연동하는 표준 절차입니다.
1단계: 지갑 설치 및 생성
본인에게 알맞은 지갑을 먼저 세팅합니다.
- 텔레그램 내장 지갑: 검색창에 @wallet 검색 후 공식 서비스 실행.
- 톤키퍼(Tonkeeper): 구글 플레이스토어나 애플 앱스토어에서 공식 톤키퍼 앱 다운로드 후 24개 백업 문구(니모닉)를 오프라인에 안전하게 기록 및 보관.
2단계: 미니앱 연동 요청
미니앱 내 에어드랍 메뉴에서 연결을 시작합니다.
- 1. 연동 대상 미니앱 내부에서 **'Connect Wallet'** 또는 **'Link TON Wallet'** 버튼을 클릭합니다.
- 2. 지갑 선택 팝업이 나타나면 **'Wallet on Telegram'** 또는 **'Tonkeeper'**를 선택합니다.
- 3. 지갑 앱으로 자동으로 화면이 전환됩니다.
3단계: 트랜잭션 검토 및 승인
지갑 앱에서 최종 권한 요청 내용을 꼼꼼히 확인합니다.
- 1. 지갑 앱에 열린 팝업에서 **'요청 권한 목록'**을 읽어봅니다.
- 2. 단순 주소 조회 권한만 요구하는지 확인 후 **'지갑 연결 승인'** 버튼을 누릅니다.
- 3. PIN 번호 또는 생체 인식을 입력하면 연동이 완료됩니다.
아래 시뮬레이터에서 지갑 종류를 선택하고, 나타나는 트랜잭션 요청을 통해 안전한 연동과 피싱 사기를 구별하는 훈련을 해보세요.
> Sandbox initialized. Please select a wallet to test connection.
미니앱 환경은 편리하게 동작하지만, 피싱 웹페이지나 스마트 계약의 작동을 정확하게 이해하지 못하면 쉽게 자산이 소실될 수 있습니다. 아래의 3대 필수 보안 수칙을 반드시 기억해 두세요.
미니앱 연동 시 지갑 주소와 소유권을 연결하는 것(Connect)만으로는 비밀키나 복구 문구를 조회할 수 없습니다. 따라서 만약 어떤 미니앱이 실행 후 **'에어드랍을 위해 24개 복구 문구(Mnemonic)나 개인키(Private Key)를 입력해 주세요'**라고 요구한다면, 이는 100% 자산 탈취 목적의 해킹 피싱 사기입니다. 지갑 복구 문구는 오직 개인의 물리적인 백업 노트에만 적어 보관해야 하며, 그 어떤 텔레그램 화면에도 입력해선 안 됩니다.
지갑 연동 후 에어드랍 보상 수령이나 미션 수행 시 트랜잭션 서명 팝업이 뜹니다. 이때 서명 팝업 내부의 **'보내는 코인 개수(Transfer Amount)'**와 **'수수료(Fee)'**를 면밀히 살펴보아야 합니다. 피싱 미니앱은 지갑 사용자가 '에어드랍 받기'를 누를 때, 반대로 지갑의 가용 잔액(TON)을 공격자의 주소로 일괄 송금하는 계약(Transfer)을 유도합니다. 지갑에서 발생하는 모든 트랜잭션은 승인 전에 내 지갑에서 무엇이 빠져나가는지 직접 텍스트를 읽고 검토해야 합니다.
더 이상 사용하지 않거나 에어드랍 미션이 종료된 프로젝트의 경우 지갑 연동 권한을 방치해선 안 됩니다. 연동된 톤키퍼 앱의 **'설정 ➔ 연결된 봇 및 웹사이트(Connected Apps)'** 또는 텔레그램 내장 지갑 설정 메뉴에서 미니앱의 지갑 데이터 조회 권한을 명시적으로 차단하여 미래에 발생할 수 있는 보안 침해 사고를 사전에 차단해 주는 것이 안전합니다.
공식 인증 뱃지가 없는 미인증 미니앱 봇의 경우, 신뢰할 수 없는 웹3 스마트 계약 연동을 요청하여 지갑을 깡통으로 만드는 수법을 자주 사용합니다. 조금이라도 의심스러운 미니앱에는 절대 대량의 TON 코인이 들어있는 주 지갑(Main Wallet)을 연동하지 마시고, 잔액이 거의 없는 에어드랍 전용 보조 지갑(Burner Wallet)을 생성해 사용하는 것을 적극 권장합니다.
안전한 미니앱 활용을 위한 연계 가이드
지갑 연동 이외에 미니앱에서 쏟아지는 스팸을 차단하거나 보안을 강화하는 실무 팁들도 함께 확인해 보세요.