뉴스
코인정보
라운지
커뮤니티
TPI 
매체소개
고객센터
0
하드웨어 지갑의 보안이 위태로워지고 있다. 특히 펌웨어 업데이트 기능이 무심코 넘기기 쉬운 **위험 요소**로 작용할 수 있다는 경고가 제기됐다. 사용자 자산의 최후 보루로 여겨져온 하드웨어 지갑이 오히려 공격에 노출되는 ‘취약한 출입구’가 될 수 있다는 지적이다.
TBCC의 최고기술책임자인 이고르 젬초프(Igor Zemtsov)는 하드웨어 지갑 내 펌웨어 업데이트가 단순한 보완 조치가 아니라 악의적으로 악용될 가능성이 있는 백도어라고 경고했다. 사용자들은 제조업체가 제공하는 새로운 업데이트를 신뢰할지, 아니면 구형 펌웨어에 머무를지를 선택해야 하는데, 두 가지 모두 자산 탈취로 이어질 수 있다는 설명이다. 그는 “암호화폐 세계에서 잘못된 선택은 곧 지갑이 비어버리는 결과를 초래할 수 있다”고 덧붙였다.
문제는 이미 현실화되고 있다. 세계 최대 하드웨어 지갑 제조사 중 하나인 레저(Ledger)는 2018년, 보안 연구원 살림 라시드(Saleem Rashid)가 치명적인 취약점을 공개하면서 신뢰에 금이 갔다. 해당 결함은 펌웨어를 악성 코드로 바꿔 사용자 지갑의 개인키를 탈취할 수 있도록 했고, 당시 약 100만 개의 기기가 위험에 노출됐었다.
2023년에는 하드웨어 지갑 브랜드 원키(OneKey)도 비슷한 위기를 겪었다. 화이트 해커들이 불과 몇 초 만에 펌웨어 보안을 뚫고 지갑에 접근했기 때문이다. 실제 피해는 발생하지 않았지만, 공격자들이 먼저 발견했다면 상황은 달라졌을 것이라는 평이 지배적이다. 여기에 ‘다크 스키피(Dark Skippy)’로 알려진 최신 공격 방식은 단 두 번의 서명된 트랜잭션만으로 사용자 복구 구절을 훔칠 수 있었다.
이에 대응해 일부 업체들은 펌웨어 업데이트 자체를 제거하는 전략을 택하고 있다. 탕젬(Tangem)은 출고 시점 이후 펌웨어 변경이 불가능한 제품을 내놓아, 업데이트로 인한 위험을 원천 차단한다. 물론 이 방식은 보안 취약점이 발견돼도 수정이 불가능하다는 단점이 있다. 하지만 젬초프는 “예측 가능한 구조는 보안에 있어 가장 중요한 요소”라며 어떤 변경 가능성도 없는 시스템이 오히려 더 안전할 수 있다고 강조했다.
현재 암호화폐 시장의 시가총액은 3월 기준 약 2.79조 달러(약 4,071조 원)에 달한다. 이처럼 거대한 자금이 움직이는 시장에서, 하드웨어 지갑 제공업체가 정부 또는 해커의 표적이 되지 않으리라고 장담할 수 없다. 젬초프는 하드웨어 지갑 기업들이 단순한 기능 추가와 편의성 개선에만 몰두하기보다는, 사용자에게 **진정한 보안 통제권**을 돌려주는 방향으로 전환해야 한다고 주장한다.
그는 끝으로 “보안은 편리함이 아닌 통제권에서 시작된다”며 “업데이트 절차가 불투명하거나 외부 개발자에 대한 신뢰에 기반한 구조는 결코 안전하지 않다”고 강조했다. 하드웨어 지갑을 선택할 때는 개발자 이력, 과거 보안 사고 대응 방식, 커뮤니티 평가 등 검증 가능한 정보를 기준으로 판단해야 하며, 보안은 가정이 아닌 사실에 근거해야 한다고 말했다.
