암호화폐 비밀 키 보관해주는 하드웨어 지갑, 펌웨어에 취약점 존재해
원격에서나 공급망 공격 통해 저장된 정보 탈취 및 앱 침해 가능
[보안뉴스 문가용 기자] 암호화폐 교환소와 개인의 암호화폐 지갑들은 현재 사이버 공격자들이 가장 눈여겨보고 있는 공격 목표다. 암호화폐는 새롭게 떠오르고 있는 금융 분야로, 회의론도 다수 존재하지만 일부 전문가들은 이 시장이 올해 말까지 1조 달러 규모로 성장할 것이라고 내다보기도 한다. 공격자들 입장에선 매력적이지 않을 수 없다.
[이미지 = iclickart]
그래서 여러 보안 전문가들이 각종 방어책을 개발해내고 있다. 그 중 하나가 하드웨어 지갑인데, 여기에 암호 키를 저장해 지갑 소유자가 보다 더 안전한 인증 과정을 거칠 수 있게 된다. 하드웨어이니 해커가 물리적으로 피해자에게 접근해 소매치기라도 하지 않는 한 공격을 성공시키지 못한다는 게 하드웨어 지갑의 개념이다. 그러나 최근 연구 결과, 하드웨어 지갑도 결코 안전하지 않다는 게 드러났다.
보안 전문가 세르게이 볼로키틴(Sergei Volokitin)에 의하면 “소프트웨어 공격을 통해 하드웨어 지갑 플랫폼이며, 많은 하드웨어 지갑의 기초가 되는 시큐어 엘레멘트(Secure Element)를 무력화시킬 수 있다”고 한다. “취약점은 지갑의 신뢰 실행 환경(Trusted Execution Environment, TEE)의 운영 시스템에 존재합니다. 이 취약점을 악용하면 메모리를 고립시키고, 지갑이 비밀 정보를 뱉어내게 만들 수 있습니다.”
비밀 키를 안전하게 저장하고자 고안된 하드웨어이지만, 소프트웨어의 오류 때문에 몇 가지 공격을 성공시킬 수 있게 된다는 게 볼로키틴의 설명이다. “공격 시나리오로는 원격 해킹, 물리적 접근, 공급망에 대한 공격 등이 있습니다.” 볼로키틴은 상세한 내용을 8월에 열릴 블랙햇(Blackhat) 행사에서 공개할 예정이라고 한다.
이 취약점을 성공적으로 익스플로잇 할 경우, 하드웨어 지갑에 물리적으로 접근할 수 있는 모든 사람들이 키와 데이터를 훔쳐낼 수 있다. 게다가 이론적으로는 공급망 공격을 통해 지갑에 대한 제어권을 처음부터 공격자가 가져올 수도 있다. 이런 경우 사용자가 아무것도 모른 채 하드웨어에 데이터를 집어넣을 때, 해당 데이터는 전부 공격자의 수중에 들어가게 된다. “비현실적인 공격 시나리오라고 느낄 수도 있겠지만, 암호화폐의 가치를 생각해봤을 때, 그리고 해커들의 집요함을 고려했을 때, 절대 비현실적이지 않습니다.”
“암호화폐용 하드웨어 지갑은 설계 개념부터 그리 안전하다고 볼 수 없습니다. 공격을 막는 건 결국 그 안에 저장된 비밀 키 하나거든요.” 볼로키틴의 설명이다. 또한 “하드웨어가 아무리 튼튼하고, 사용자가 아무리 잘 보관한다고 해도 결국 펌웨어가 안전한 만큼만 안전한 게 하드웨어 보안 장치의 한계”라는 건 익히 알려져 있던 사실이라고 그는 강조했다.
“암호화폐용 하드웨어 지갑이라고 해도, 그 안에 암호화폐 관련 솔루션들이 들어간다는 것만 빼고는 일반 보안 장비들과 그리 다르지 않습니다. 심지어 제가 이번 연구를 진행하면서 침해에 성공한 애플리케이션 중 하나는 FIDO 인증을 위한 보안 애플리케이션이었습니다. 하드웨어 지갑만이 아니라 다양한 보안 장비에서 활용 가능한 앱이죠. 즉, 이번 연구를 통해 발견된 취약점이, 단순히 하드웨어 지갑에만 국한된 게 아니라는 뜻입니다.”
그러면서 볼로키틴은 “최종 사용자, 그것도 일반인 사용자가 자신이 보유하고 있는 하드웨어 보안 장비를 평가한다는 건 매우 어려운 일”이라고 지적한다. “자신이 사용자이면서, 자기가 얼마큼 위험에 노출되어 있는지 알 수 있는 방법이 몇 개 되지 않습니다. 제조사가 적용된 기술을 알아서 공개하지 않는 이상에는요.”
그러므로 하드웨어 지갑을 사용하고자 하는 사람들이라면 장비 생산자에게 “보안 강화를 위해 제품에 어떤 기술을 적용했는지 물어봐야 한다”고 볼로키틴은 권한다. “하드웨어 제품의 보안을 위해 특별히 전문적인 연구를 실시하고, 그 방면에 오랜 경험을 갖춘 회사를 찾는 게 안전합니다. 하드웨어 지갑 생산 업체라면 버그바운티 등을 통해 외부 인력을 동원한 채 보안 점검을 받는 절차가 필요해보입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
원격에서나 공급망 공격 통해 저장된 정보 탈취 및 앱 침해 가능
[보안뉴스 문가용 기자] 암호화폐 교환소와 개인의 암호화폐 지갑들은 현재 사이버 공격자들이 가장 눈여겨보고 있는 공격 목표다. 암호화폐는 새롭게 떠오르고 있는 금융 분야로, 회의론도 다수 존재하지만 일부 전문가들은 이 시장이 올해 말까지 1조 달러 규모로 성장할 것이라고 내다보기도 한다. 공격자들 입장에선 매력적이지 않을 수 없다.
[이미지 = iclickart]
그래서 여러 보안 전문가들이 각종 방어책을 개발해내고 있다. 그 중 하나가 하드웨어 지갑인데, 여기에 암호 키를 저장해 지갑 소유자가 보다 더 안전한 인증 과정을 거칠 수 있게 된다. 하드웨어이니 해커가 물리적으로 피해자에게 접근해 소매치기라도 하지 않는 한 공격을 성공시키지 못한다는 게 하드웨어 지갑의 개념이다. 그러나 최근 연구 결과, 하드웨어 지갑도 결코 안전하지 않다는 게 드러났다.
보안 전문가 세르게이 볼로키틴(Sergei Volokitin)에 의하면 “소프트웨어 공격을 통해 하드웨어 지갑 플랫폼이며, 많은 하드웨어 지갑의 기초가 되는 시큐어 엘레멘트(Secure Element)를 무력화시킬 수 있다”고 한다. “취약점은 지갑의 신뢰 실행 환경(Trusted Execution Environment, TEE)의 운영 시스템에 존재합니다. 이 취약점을 악용하면 메모리를 고립시키고, 지갑이 비밀 정보를 뱉어내게 만들 수 있습니다.”
비밀 키를 안전하게 저장하고자 고안된 하드웨어이지만, 소프트웨어의 오류 때문에 몇 가지 공격을 성공시킬 수 있게 된다는 게 볼로키틴의 설명이다. “공격 시나리오로는 원격 해킹, 물리적 접근, 공급망에 대한 공격 등이 있습니다.” 볼로키틴은 상세한 내용을 8월에 열릴 블랙햇(Blackhat) 행사에서 공개할 예정이라고 한다.
이 취약점을 성공적으로 익스플로잇 할 경우, 하드웨어 지갑에 물리적으로 접근할 수 있는 모든 사람들이 키와 데이터를 훔쳐낼 수 있다. 게다가 이론적으로는 공급망 공격을 통해 지갑에 대한 제어권을 처음부터 공격자가 가져올 수도 있다. 이런 경우 사용자가 아무것도 모른 채 하드웨어에 데이터를 집어넣을 때, 해당 데이터는 전부 공격자의 수중에 들어가게 된다. “비현실적인 공격 시나리오라고 느낄 수도 있겠지만, 암호화폐의 가치를 생각해봤을 때, 그리고 해커들의 집요함을 고려했을 때, 절대 비현실적이지 않습니다.”
“암호화폐용 하드웨어 지갑은 설계 개념부터 그리 안전하다고 볼 수 없습니다. 공격을 막는 건 결국 그 안에 저장된 비밀 키 하나거든요.” 볼로키틴의 설명이다. 또한 “하드웨어가 아무리 튼튼하고, 사용자가 아무리 잘 보관한다고 해도 결국 펌웨어가 안전한 만큼만 안전한 게 하드웨어 보안 장치의 한계”라는 건 익히 알려져 있던 사실이라고 그는 강조했다.
“암호화폐용 하드웨어 지갑이라고 해도, 그 안에 암호화폐 관련 솔루션들이 들어간다는 것만 빼고는 일반 보안 장비들과 그리 다르지 않습니다. 심지어 제가 이번 연구를 진행하면서 침해에 성공한 애플리케이션 중 하나는 FIDO 인증을 위한 보안 애플리케이션이었습니다. 하드웨어 지갑만이 아니라 다양한 보안 장비에서 활용 가능한 앱이죠. 즉, 이번 연구를 통해 발견된 취약점이, 단순히 하드웨어 지갑에만 국한된 게 아니라는 뜻입니다.”
그러면서 볼로키틴은 “최종 사용자, 그것도 일반인 사용자가 자신이 보유하고 있는 하드웨어 보안 장비를 평가한다는 건 매우 어려운 일”이라고 지적한다. “자신이 사용자이면서, 자기가 얼마큼 위험에 노출되어 있는지 알 수 있는 방법이 몇 개 되지 않습니다. 제조사가 적용된 기술을 알아서 공개하지 않는 이상에는요.”
그러므로 하드웨어 지갑을 사용하고자 하는 사람들이라면 장비 생산자에게 “보안 강화를 위해 제품에 어떤 기술을 적용했는지 물어봐야 한다”고 볼로키틴은 권한다. “하드웨어 제품의 보안을 위해 특별히 전문적인 연구를 실시하고, 그 방면에 오랜 경험을 갖춘 회사를 찾는 게 안전합니다. 하드웨어 지갑 생산 업체라면 버그바운티 등을 통해 외부 인력을 동원한 채 보안 점검을 받는 절차가 필요해보입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)