최근 양자 보안 기술 기반 디지털 자산 관리 기업 해시어스가 글로벌 디지털 자산 지갑 PC 버전의 취약점 분석 결과를 공개하고 보안에 각별한 주의가 필요하다고 경고의 메시지를 전했다.
해시어스와 글로벌 얼라이언스는 최근 이더리움 기반 디지털 지갑인 메타마스크(MetaMask)의 취약점을 발표했다. 일명 악마의 취약점(Demonic vulnerability, CVE-2022-32969)이라고 불리는 취약점이 메타마스크 10.11.3 이전 버전의 지갑을 크롬(Chrome)과 같은 웹 PC 브라우저에서 사용할 때 발견됐기 때문이다.
헤시어스는 ‘디지털 자산을 안전하게(Trust Your Digital Assets)’를 목표로 삼아 지난 6월에 설립된 양자 보안 기술 기반 디지털 자산 관리 기업이다. 기업은 loT와 양자 보안 전문 기업 노르마의 자회사로 양자 컴퓨터 보안 기술을 블록체인 분야에 접목하는 사업을 전개 중이다.
브라우저에서 메타마스크 지갑의 ‘비밀번호 복국 문구 조회(Show Secret Recovery Phrase)’를 누르면 브라우저 자체의 메커니즘으로 인해 지갑을 복구하기 위한 문구(니모닉)를 유출할 수 없는 것으로 밝혀졌다. 블라우저는 페이지의 텍스트를 로컬 디스크에 저장(캐쉬)해 다음에 같은 페이지를 열 때 이전 페이지를 신속하게 복원한다. 다만 해당 메커니즘이 메티마스크 지갑 비밀번호 페이지와 텍스트까지 저장하는 보안 취약점이 확인됐다.
세부적으로 브라우저에서 메타마스크 지갑 사용 시 비밀번호 복구 니모닉 유출을 통한 개인키 분실 위험이 존재한다. 이를 입증하기 위해 양사는 모의 해킹을 감행하고 결과적으로 디지털 자산이 탈취당할 수 있음을 입증했다.
먼저 로컬 디스크에 입력된 캐시가 어디에 저장되었는지 경로를 체크한 뒤 해당 캐시가 데이터 입력 후 언제 기록되는지 확인했다. 쉽게 설명해 개인 정보가 저장된 시간과 저장 위치를 확인해 모의 해킹을 감행, 실제 문자 형태의 비밀번호 가 탈취될 수 있음을 보여준 것이다.
이에 업계에서 1,000만 명 이상의 유저를 보유한 메타마크스가 가진 이번 취약점에 대해 경각심을 드러냈다. 더불어 응용 프로그램을 통해서도 읽을 수 있어 물리적으로 접근을 하지 않아도 얼마든지 해킹할 수 있다는 점도 시사됐다. 이에 메타마스크를 패치를 완료해 일단 취약점이 일단락됐다.
다만 해시어스 대표인 송창녕은 “취약점 패치가 완료되었다고 해도 사용자가 업데이트하지 않으면 해킹 위협에 상시 노출되어 있는 것”이라며 “사용의 편의뿐만 아니라 보안을 위해서라도 업데이트를 반드시 해야 한다”라고 설명했다. 이에 향후 메타마스크가 이번 취약점 해결 조치를 기점으로 안정성에 더욱 신경 쓰기를 바란다.
한편 지난 22일 블록체인 스타트업 아피프렌즈(ArtiFriends)는 사슬 메인넷을 지원하는 지갑 애플리케이션(앱) ‘가디(Guardee)’를 론칭했다고 전한 바 있다.
더욱 다양한 정보 및 방송 관련 소식은
공식 SNS 채널을 통해 확인 가능합니다.
