Ledger, 경쟁사 제품 Trezor의 보안 취약점 경고
빠르게 변화하는 암호화폐 보안 세계에서 최첨단 하드웨어 지갑도 새로운 위협에 취약할 수 있다.
최근 암호화폐 지갑 제조사 Ledger의 연구 부서인 Ledger Donjon의 사이버 보안 전문가들이 경쟁 제품인 Trezor의 보안 취약점에 대한 우려를 표명했다. Trezor는 안전한 설계로 명성이 높지만, Safe 모델은 물리적 공격에 취약한 것으로 보인다. 기기는 듀얼 칩 구성과 인증된 보안 요소를 갖추고 있지만, Ledger는 이러한 모델들이 결단력 있는 해커로부터 완벽히 보호되지 않는다고 주장한다.
3월 12일자 블로그 게시물에서 Ledger는 새로운 Trezor Safe 기기가 PIN 및 암호화 비밀을 저장하기 위해 인증 받은 보안 요소(Optiga Trust M)와 함께 듀얼 칩을 사용하여 보안 기능을 개선했다고 언급했다. 그러나 Ledger는 중요한 암호화 작업이 여전히 마이크로컨트롤러에서 수행되고 있기 때문에 더 “고급 위협 모델에서 공격이 가능하다”고 지적한다.
사용되는 마이크로컨트롤러는 TRZ32F429라고 표시되어 있지만, 이는 실제로 특수 표시가 있는 BGA로 패키징된 STM32F429 칩이다. Trezor에 특화된 그 패키징에도 불구하고 전기적으로는 STM32F429와 동일하며, 이 칩 계열은 전압 글리칭에 취약하여 플래시 콘텐츠에 대한 읽기 및 쓰기 액세스를 가능하게 한다고 알려져 있다.
비록 Trezor Safe 기기가 변조 방지 메커니즘을 포함하고 있지만, Ledger는 이러한 방어가 결코 완벽하지 않으며 실제로 공격을 실행하는 것은 “시간과 공학적인 노력이 문제일 뿐”이라고 주장한다. 특히, 연구원들은 해당 공격이 “순전히 소프트웨어로” 실행될 수 있어 암호적으로나 시각적으로 탐지하기 “매우 어렵거나 불가능”하다고 강조한다.
이러한 위험에도 불구하고, Trezor Safe 기기는 암호화폐 하드웨어 보안의 진일보로 여겨지지만, Ledger는 공급망의 잠재적인 약점을 해결하기 위해 지속적인 주의가 필요하다고 강조한다.
연구 결과 발표 이후, Trezor는 X 계정을 통해 사용자들에게 자금이 “안전하게 유지되고 있다”고 안심시키며, Ledger Donjon이 Trezor Safe 3의 공급망 공격에 대한 일부 방어책을 우회하기 위해 “이전에 알려진 공격을 재사용했다”고 언급했다.
[COINJUN 기사]