출처: 토큰포스트
렛저(Ledger)가 최신 트레저(Trezor) 세이프 3과 세이프 5 하드웨어 지갑에 대한 상세 보안 보고서를 발표하며, 이전 모델보다 상당한 보안 개선에도 불구하고 암호화 작업에 마이크로컨트롤러 의존성으로 인한 공급망 공격 취약점이 남아있다고 지적했다.
13일(현지시간) 크립토뉴스에 따르면, 렛저 동존(Ledger Donjon)은 설립 이래 트레저 원(Trezor One)과 트레저 T와 같은 이전 트레저 모델을 포함한, 다양한 하드웨어 지갑에 대한 공개 보안 연구를 적극적으로 수행해왔다. 이러한 초기 기기들은 표준 마이크로컨트롤러에 의존하기 때문에 전압 글리칭과 같은 하드웨어 기반 공격에 매우 취약한 것으로 밝혀졌다.
2023년 말 트레저 세이프 3과 2024년 중반 세이프 5의 출시는 트레저에게 주요 보안 업그레이드를 가져왔다. 이전 모델과 달리, 새 모델들은 마이크로컨트롤러와 함께 EAL6+ 인증을 받은 보안 요소(Secure Element)를 통합했다.
렛저의 CTO인 찰스 길레메(Charles Guillemet)에 따르면, 보안 요소는 이제 PIN 확인과 키 저장을 처리하여 공격자가 기존 방식을 통해 사용자의 개인 키를 추출하기 어렵게 만들었다.
그러나 이러한 개선에도 불구하고, 렛저의 연구는 기기들이 여전히 잠재적 약점을 가지고 있음을 발견했다. 특히, 트랜잭션 서명과 같은 모든 암호화 작업은 여전히 펌웨어 조작에 취약한 마이크로컨트롤러에서 수행된다. 공격자가 제조 또는 운송 중(공급망 공격)에 기기에 접근하게 되면, 마이크로컨트롤러에서 실행되는 소프트웨어를 수정하여 사용자에게 도달하기도 전에 기기를 손상시킬 수 있다.
렛저의 보고서는 이러한 발견이 의미하는 바를 자세히 설명하며, 이러한 종류의 공격이 사용자가 하드웨어 지갑이 안전하다고 믿는 경우에도 사용자 모르게 자금의 완전한 원격 도난으로 이어질 수 있음을 분명히 하고 있다.
렛저 연구의 핵심 초점은 공급망 공격이 제기하는 위험이다. 트레저 세이프 3과 세이프 5 모델의 기본적인 문제는 펌웨어 무결성 검증 방법이다. 이 기기들 내부의 보안 요소는 PIN 보호가 강력하게 유지되도록 보장하지만, 마이크로컨트롤러에서 실행되는 펌웨어의 진위성을 증명하지는 않는다.
렛저의 분석에 따르면, TRZ32F429(맞춤형 STM32F429 칩)로 표시된 트레저 세이프 기기에 사용되는 마이크로컨트롤러는 전압 글리칭 공격에 취약하다. 이는 정교한 공격자가 기기의 플래시 메모리에 저장된 펌웨어를 읽고 수정할 수 있게 한다.
트레저는 진위성 검증을 위해 보안 요소와 마이크로컨트롤러 간의 사전 공유된 비밀에 의존하기 때문에, 공격자는 글리칭 공격을 통해 이 비밀을 추출하고 사용자에게 정품으로 보이면서 기기를 재프로그래밍할 수 있다.
이는 공격자가 생산 또는 유통 중에 공급망에 침투한다면, 정상적으로 기능하는 것처럼 보이지만 비밀리에 사용자 키를 노출시키거나 트랜잭션 세부사항을 수정하는 악성 펌웨어를 심을 수 있다는 것을 의미한다.
지갑을 직접 보유해야 하는 직접적인 물리적 공격과 달리, 공급망 공격은 기기가 고객에게 도달하기도 전에 대규모 손상을 가능하게 할 수 있다.
렛저의 보고서 이후, 사용자들은 자신들의 자금이 안전한지, 그리고 이 발견이 그들의 보안에 영향을 미치지 않을지 문의하고 있다.
X에서 유사한 사용자 요청에 응답하여, 트레저 팀은 자금이 안전하며 발견된 취약점은 이전에 알려진 공격이라고 언급했다.
그러나 일부는 알려져 있음에도 불구하고 왜 패치되지 않았는지 의문을 제기하고 있다. 이번 최신 발견은 특히 2024년 1월 보고서에서 보안 침해로 거의 6만 6천 명의 트레저 사용자의 연락처 정보가 노출된 후에 발생했다.
현재까지 트레저 팀은 보고서에 대한 공식 논평을 하지 않았지만, 트레저 사용자들은 팀이 어떤 말을 할지 또는 패치가 어떻게 배포될지 듣고 싶어한다.
