Nostr는 안전한가? 개인정보 보호와 보안, 솔직한 평가
Nostr가 보호하는 것, 유출되는 것, 그리고 특정 위협 모델을 잘 또는 poorly 다루는 방식. 2026년의 솔직한 보안 평가.
"Nostr은 안전한가"는 "안전"이 다양한 의미를 가지기 때문에 로드된 질문입니다. 계정이 금지될 위험으로부터 안전한가? 그렇습니다. 스팸 발송자로부터 안전한가? 부분적으로만. 정부가 당신의 게시물을 추적할 위험으로부터 안전한가? 당신이 하는 일에 따라 다릅니다. 계정을 잃을 위험으로부터 안전한가? 개인 키를 올바르게 백업하는 경우에만.
이 가이드는 솔직한 평가입니다. Nostr이 보호하는 것, 유출되는 것, 그리고 특정 위협이 당신에게 중요한 경우 이를 사용하는 방법을 다룹니다.
간단한 대답. Nostr은 암호학적으로 건전합니다. 프로토콜 자체는 원격으로 해킹할 수 없습니다. 개인 키가 걱정할 유일한 공격 표면입니다. 공개 게시물은 설계상 공개입니다. DM은 암호화되지만 메타데이터 비공개는 아닙니다. Nostr은 대부분의 플랫폼보다 폐쇄로부터 더 안전하며, 스팸과 괴롭힘에 대해서는 비슷하거나 더 안 좋습니다.
준비되면, @nostr.blog 주소 받기
Nostr이 암호학적으로 보호하는 것
세 가지이며, 강력한 보장이 있습니다.
당신의 게시물 위조. 당신이 서명하는 모든 이벤트는 개인 키로 서명됩니다. 개인 키 없이 공개 키에 대해 검증되는 이벤트를 다른 당사자가 생성할 수 없습니다. 서명이 나쁜 위조된 이벤트를 보는 모든 클라이언트는 이를 조용히 삭제합니다. 이는 Bitcoin이 거래에 사용하는 것과 동일한 암호화이며, 10년 이상 adversarial 압력 하에서 지탱해왔습니다.
전송 중 게시물 변조. Relay는 서명된 이벤트 중 하나를 수정할 수 없습니다. 서명이 끊어질 것입니다. 당신의 이벤트를 제공하지 않을 수 있지만, 수정할 수는 없습니다. 모든 클라이언트는 표시하기 전에 서명을 검증합니다.
당신의 신원이 플랫폼으로 "폐쇄"되는 것. 폐쇄할 플랫폼이 없습니다. 당신의 신원은 당신의 기기에 있는 키 쌍입니다. 아무도 이를 비활성화할 수 있는 권한이 없습니다.
이 세 가지는 완벽합니다. 약점은 다른 곳에 있습니다.
Nostr이 보호하지 않는 것
여러 가지이며, 노출 정도는 다양합니다.
공개 게시물은 공개입니다
kind:1 이벤트 (짧은 게시물)를 작성하면, 이는 의도적으로 이를 보유한 모든 relay에 연결된 누구나 읽을 수 있습니다. 개인정보 보호 없음. 이는 소셜 네트워크의 기능이지 버그가 아니지만, 처음 사용하는 사람들은 때때로 "분산화"가 "비공개"를 의미하지 않는다는 것을 잊습니다.
IP 주소가 relay에 유출됩니다
클라이언트가 relay에 WebSocket 연결을 열면, relay는 당신의 IP를 봅니다. 읽기 세션 동안 relay는 당신이 구독한 필터를 보며, 이는 당신이 따르는 계정, 당신이 보는 해시태그, 당신이 읽는 direct-message 스레드를 말해줍니다. 이는 당신의 관심사에 대한 메타데이터이며, 당신이 연결하는 모든 relay에 표시됩니다.
완화 방법: Nostr을 VPN이나 Tor를 통해 실행하세요. 읽기와 쓰기에 다른 relay를 사용하세요. 당신이 신뢰하는 relay를 선택하세요. 일부 클라이언트 (Amethyst, Coracle)는 이를 다른 클라이언트보다 더 잘 처리합니다.
Direct Message 메타데이터가 표시됩니다
Nostr DM은 메시지의 내용을 암호화합니다. 레거시 NIP-04 표준 아래에서, 발신자와 수신자는 이벤트 태그에서 명확하게 표시됩니다. 더 새로운 NIP-44 (NIP-17 gift-wrap 포함) 아래에서, 메타데이터는 모호하지만 2026년에 도입이 부분적입니다.
실제로 의미하는 것: relay는 alice@nostr.blog이 bob@nostr.blog와 이야기하고 있다는 것을 볼 수 있지만, 그들이 무엇을 말하고 있는지는 읽을 수 없습니다. 진정한 비공개 통신의 경우, Signal과 같은 전용 도구를 사용하세요. Nostr의 DM은 일반적인 주고받음에는 좋지만 내부고발에는 좋지 않습니다.
당신의 게시 패턴이 당신을 익명화해제할 수 있습니다
가명 Nostr 신원을 실행하더라도, 당신이 게시하는 시간, 당신이 게시하는 내용, 당신이 상호 작용하는 사람의 패턴은 당신의 신원을 좁힐 수 있습니다. 이는 모든 소셜 네트워크에서 참입니다. Nostr은 여기서 더 나쁘거나 더 좋은 노출을 가지지 않습니다.
현실 세계 익명화해제는 보통 크로스 포스팅에서 비롯됩니다. 당신이 가명 Nostr 계정에 사진을 게시하고 동일한 사진이 명명된 Twitter 계정에 표시되면, 둘은 이제 연결됩니다. 엄격한 가명을 유지하는 규율은 프로토콜의 일이 아니라 사용자의 일입니다.
가장 큰 실제 위협: 개인 키 손실
실제로, 대부분의 Nostr 사용자에게 중요한 공격은 해커, 정부, 또는 플랫폼이 아닙니다. 그것은 그들의 nsec 손실입니다.
생태계 전반에서 매주 발생하는 시나리오:
- 사용자가 키를 생성하고, iOS Keychain이 이를 가지고 있다고 가정하고, 절대 내보내지 않습니다. 기기가 삭제됩니다. 계정 사라집니다.
- 사용자가 nsec을 iCloud Notes에 "임시로" 저장합니다. 잊어버립니다. iCloud Notes는 Apple에서 읽을 수 있으므로 기술적으로 nsec은 백업되지만, 침해된 제공자에게 있습니다. 더 나쁜 것은 사용자가 그것이 어디에 있는지 잊습니다.
- 사용자가 nsec을 그들에게 "로그인"을 약속한 새로운 Nostr 웹사이트에 붙여넣습니다. 사이트는 피싱 사이트였습니다. 계정이 손상됩니다.
방어는 명확한 레이블이 있는 암호 관리자, 안전한 장소의 종이 백업, 그리고 신뢰하는 Nostr 클라이언트 외에는 절대 nsec을 붙여넣지 않는 것입니다. 우리의 백업 가이드에는 전체 플레이북이 있습니다.
Nostr의 스팸과 괴롭힘
솔직한 평가: 스팸과 괴롭힘은 Nostr의 실제 문제이며, 중앙화된 플랫폼과 비슷하거나 약간 더 높은 수준입니다.
이유: Nostr에는 중앙 조정 팀이 없습니다. 각 relay와 클라이언트는 자신의 필터를 적용합니다. 스팸 탐지는 커뮤니티 구축이며, 플랫폼 제공이 아닙니다. 새로운 사용자는 큐레이션된 플랫폼보다 더 많은 것을 봅니다.
방어: mute list, 콘텐츠 필터, web-of-trust 스코어링. 모든 주류 클라이언트에는 이들이 있습니다. 설정하는 데 몇 분 정도 걸리며 일일 사용을 훨씬 깔끔하게 만듭니다. 좋은 클라이언트 (Damus, Primal, Amethyst, 우리의 클라이언트)의 기본 설정은 합리적인 스팸 필터링이 활성화된 상태로 제공됩니다.
트레이드오프: 필터링되지 않은 콘텐츠에 완전한 노출을 원하지 않는 사용자는 중앙 집중식으로 조정된 플랫폼에서 약간 더 나쁩니다. 필터링되는 것을 제어하기를 원하는 사용자는 더 나쁩니다.
Nostr을 사용하지 말아야 할 사람
특정 위협 프로필은 잘 제공되지 않습니다.
통신을 위한 완전한 메타데이터 개인정보 보호가 필요한 사용자. Signal이 올바른 도구입니다. Nostr은 아닙니다. Nostr DM은 콘텐츠는 숨기지만 누가 누구에게 말하고 있는지는 숨기지 않습니다.
높은 adversarial 조건에서 실제 신원과 연결 불가능해야 하는 사용자. 국가 수준의 행위자가 적극적으로 당신을 익명화해제하려고 한다면, Nostr만으로는 충분하지 않습니다. Tor, 전용 기기 사용, 엄격한 게시 위생 유지와 결합하세요.
안전하게 느끼기 위해 플랫폼 수준의 콘텐츠 조정에 의존하는 사용자. Nostr은 조정 도구를 당신의 손에 넣습니다. 당신이 그 책임을 원하지 않으면, 전문적 조정이 있는 플랫폼이 더 나은 적합입니다.
특정 규제 요구 사항이 있는 사용자. 특정 규제 산업은 감사 추적, 콘텐츠 조정, 또는 데이터 상주 보장을 요구하며, 분산화된 프로토콜은 기본적으로 제공할 수 없습니다.
Nostr을 안전하게 사용하기 위한 구체적인 단계
합리적인 개인정보 보호와 보안을 신경 쓰는 일반적인 사용자의 경우:
- nsec을 백업하세요 E2E 암호화가 있는 암호 관리자에 생성하는 순간.
- nsec을 웹사이트 양식이나 채팅에 붙여넣지 마세요. 웹 클라이언트에는 NIP-07 브라우저 확장을 사용하세요. 모바일 클라이언트에는 Amber 또는 내장 Keychain 스토리지를 사용하세요.
- 최소한의 신뢰가 있는 relay를 선택하세요. 주요 클라이언트의 기본 목록은 합리적입니다. 의심스러운 웹사이트에서 찾은 sketchy relay는 피하세요.
- 첫 날부터 mute list를 활성화하세요 클라이언트의 설정에서, 기본 스팸 필터링이 활성화되도록.
- DM을 "비공개 콘텐츠, 공개 메타데이터"로 취급하세요 NIP-17 gift wrap이 보편화될 때까지. 민감한 대화의 경우 Signal을 사용하세요.
- 모든 공개 게시물이 영구적이라고 가정하세요. Nostr의 게시물은 완전히 삭제할 수 없습니다. 삭제 요청은 다양한 효율성으로 relay에 도달합니다. 게시하기 전에 생각하세요.
이 습관 아래에서, Nostr은 대부분의 사용자에게 대부분의 플랫폼보다 더 안전합니다. 그것은 패닉 룸 수준의 개인정보 보호 도구가 아니며, 절대 그렇게 마케팅되지 않았습니다.
2026년에 개선되고 있는 것
생태계의 활발한 작업:
- NIP-44 + NIP-17 gift wrap DM 메타데이터 숨기기를 위해, 도입이 증가하고 있습니다.
- Mute list 표준화 클라이언트 전반에서 당신의 필터 작업이 깔끔하게 포팅되도록.
- Tor-by-default 옵션 더 많은 클라이언트에서.
- Hardware signer 통합 nsec을 당신의 주요 기기 밖에 유지하기 위해.
이들 중 어느 것도 프로토콜 의무는 아닙니다. 그들은 진행 중인 커뮤니티 노력입니다. Nostr의 보안 태세는 2026년에 2024년보다 낫고 계속 개선될 것입니다.
현실적인 평결
Nostr은 대부분의 사용자가 이를 사용하는 것에 대해 안전합니다. 게시, 읽기, 팔로우, zap, 비공식적으로 메시지. 당신의 신원은 빼앗길 수 없고, 당신의 게시물은 위조될 수 없으며, 당신의 개인 키가 보호해야 할 유일한 것입니다.
그것은 만능약도 아니고, 스파이 스릴러 수준의 익명화 도구도 아니며, Signal의 암호화된 메시징을 대체하는 것도 아닙니다. 그것은 실제 보안 속성과 실제 한계를 가진 잘 설계된 소셜 프로토콜이며, 당신이 하고 있는 일에 따라 속성의 어느 세트든 당신에게 중요할 수 있습니다.
자주 묻는 질문
누군가 내 Nostr 계정을 해킹할 수 있나요?
내 Nostr 게시물은 비공개인가요?
relay가 내 IP 주소를 볼 수 있나요?
내 Nostr 신원이 실제 이름과 연결될 수 있나요?
Nostr은 Twitter보다 안전한가요?
이어 읽기
Nostr란 무엇인가? 2026년을 위한 평문 안내서
Nostr은 소셜 미디어와 신원확인을 위한 단순하고 개방된 프로토콜입니다. 어떤 회사도 관리하지 않으며, 당신을 제외한 누구도 계정을 삭제할 수 없습니다. 평문으로 설명합니다.
14분 소요정체성과 NIP-05Nostr 키 설명: 두 개의 문자열로 표현되는 디지털 정체성
모든 Nostr 계정은 키 쌍입니다. 하나는 공개하고, 하나는 보호합니다. 그것이 무엇인지, 어떻게 작동하는지, 어떻게 인코딩되는지, 그리고 잃지 않는 방법을 알아봅시다.
18분 소요정체성과 NIP-05Nostr 키를 백업하는 방법(잃지 않고)
Nostr 개인 키의 구체적인 백업 옵션(안전성 순으로 정렬). 작동하는 것, 작동하지 않는 것, 그리고 백업을 계정 손실로 바꾸는 실수들.
15분 소요고급 · 기술Nostr DM이 정말 비공개인가? 솔직한 답변
Nostr DM은 암호화를 사용하지만 개인정보 보호 모델에는 허점이 있습니다. NIP-04, NIP-44, NIP-17 gift wrap이 무엇을 보호하는지, 그리고 언제 Signal을 대신 사용해야 하는지 알아봅니다.
16분 소요고급 · 기술Nostr가 스팸을 처리하는 방식: 2026년의 실제 방어
Nostr는 중재 팀이 없지만 스팸은 해결되지 않은 문제가 아닙니다. 실제로 작동하는 것: 작업 증명, 유료 릴레이, 웹 오브 트러스트 필터, 뮤트 리스트.
17분 소요