하드웨어 지갑 제조사 Trezor는 경쟁사 Ledger의 오픈소스 연구 부서가 자사의 최신 모델 두 개에서 보안 취약점을 발견한 후 이를 수정했습니다. Ledger Donjon은 최근 Trezor가 여러 보안 개선을 이루었으나, 여전히 Trezor Safe 3 및 5 모델의 마이크로컨트롤러에서 암호화 연산이 가능해 “고급 공격에 취약할 수 있다”고 밝혔습니다.
다행히도 Trezor는 이후 이 문제를 해결했으며, Ledger의 최고 기술 책임자 Charles Guillemet은 3월 12일 X 게시물을 통해 이를 확인했습니다.
“생태계 전체의 보안을 강화하는 것이 모두에게 도움이 되며, 암호화폐 및 디지털 자산의 광범위한 도입을 위해 필수적”이라고 Guillemet은 덧붙였습니다.
Trezor는 이미 PIN 코드 및 암호화 키를 보호하기 위한 “Secure Elements” 칩을 구현했습니다. 이는 Trezor의 일부 기기가 소프트웨어 변조를 통해 위협 행위자에게 사용자의 자금을 탈취당할 위험을 줄이도록 설계되었습니다.
Ledger는 3월 12일 게시물에서 “이 기능은 저렴한 하드웨어 공격, 특히 전압 글리칭을 효과적으로 차단한다”고 말했습니다.
이는 사용자들이 디바이스를 분실하거나 도난당하더라도 그들의 자금이 안전하다는 확신을 줍니다. 그러나 Ledger는 Trezor의 Safe 3 및 5 모델의 마이크로컨트롤러에서 또 다른 잠재적 공격 벡터를 발견했습니다.
Trezor는 변조된 소프트웨어를 탐지하기 위한 펌웨어 무결성 검사를 도입했지만, Ledger는 공격자가 이 보안 검사를 우회할 수 있는 가능성을 입증했습니다.
이 문제는 이후 Trezor에 의해 해결되었지만, Ledger와 Trezor 모두 구체적인 해결 방법을 공개하지 않았습니다. Cointelegraph가 Trezor에 연락했지만 즉각적인 응답을 받지 못했습니다.
Trezor는 X에서 사용자 자금이 안전하며 별도의 조치가 필요 없음을 확인했습니다.
그러나 Trezor가 이 문제를 펌웨어 업데이트만으로 해결할 수 있었는지 여부에 대한 질문에, 하드웨어 지갑 제공업체는 “안타깝게도 아니다”라고 답했습니다.
“사이버 보안 분야에서의 금과 같은 규칙은 간단합니다: 완벽한 것은 없다. 그래서 우리는 이미 공급망 공격에 대비한 다중 방어 체계를 구축했으며, 항상 사용자가 공식 판매처에서 제품을 구매할 것을 권장합니다.” Ledger 또한 보안 문제에서 자유롭지 않습니다.
2023년 12월, Ledger의 커넥터 라이브러리가 해킹되어 약 48만 4천 달러의 암호화폐가 도난당했고, 2020년 6월에는 Ledger 고객 약 27만 명의 주소가 유출된 바 있습니다.
