양자 보안 기술 기반 디지털 자산 관리 기업 해시어스(대표 송창녕)가 글로벌 유명 디지털 자산 지갑 PC 버전의 취약점 분석 결과를 공개하고 보안에 각별한 주의를 기울일 것을 당부했다.

해시어스와 글로벌 얼라이언스는 최근 이더리움 기반 디지털 자산 지갑 메타마스크(MetaMask)의 취약점을 분석했다. 악마의 취약점(Demonic vulnerability, CVE-2022-32969)라 명명한 이 취약점은 메타마스크 10.11.3 이전 버전의 지갑을 크롬과 같은 PC 브라우저에서 사용할 때 확인된다.

브라우저에서 메타마스크 지갑의 ‘비밀번호 복구 문구 조회(Show Secret Recovery Phrase)’를 클릭하면 브라우저 자체의 매커니즘으로 인해 지갑을 복구하기 위한 문구(니모닉)를 유출할 수 있다. 브라우저는 페이지의 텍스트를 로컬 디스크에 저장(캐시)하여 다음에 같은 페이지를 열 때 이전 페이지를 신속하게 복원한다. 이 같은 브라우저 매커니즘이 메타마스크 지갑 비밀번호 페이지의 텍스트까지 저장하는 보안 취약점이 확인된 것이다.

브라우저에서 메타마스크 지갑 사용 시 비밀번호 복구 니모닉 유출을 통한 개인키 분실 위험이 있다.

해시어스와 글로벌 얼라이언스는 분석한 취약점을 이용해 모의 해킹을 진행, 디지털 자산이 탈취될 수 있음을 보여줬다. 먼저 로컬 디스크에 입력된 캐시가 어디에 저장되었는지 경로를 확인한 뒤 해당 캐시가 데이터 입력 후 언제 기록되는지 확인했다. 즉 개인 정보가 저장되는 시간과 저장 위치를 확인해 모의 해킹을 실행, 실제 문자 형태의 비밀번호 탈취될 수 있음을 입증한 것이다.

메타마스크 디지털 자산 지갑은 1000만명 이상의 사용자가 사용할 만큼 대중적인 데다 메타마스크를 인용해 개발된 지갑도 상당하기 때문에 업계에서는 이번 취약점을 심각하게 보고 있다. 또한 이 취약점은 지갑 외 일반적인 응용 프로그램을 통해서도 읽을 수 있어 물리적으로 접근하지 않고도 얼마든지 해킹할 수 있다는 점도 위협적이다. 메타마스크는 취약점을 인지한 뒤 패치를 완료 했으며 현재 사용자는 지갑을 업데이트를 하면 취약점으로 인한 해킹 우려를 덜 수 있다.

이번 취약점 분석을 총괄한 해시어스 송창녕 대표는 “취약점 패치가 완료되었다고 해도 사용자가 업데이트 하지 않으면 해킹 위협에 상시 노출되어 있는 것”이라며 “사용의 편의 뿐만 아니라 보안을 위해서라도 업데이트를 반드시 해야 한다”고 전했다.

한편, 모바일 앱과 브라우저로 서비스하는 디지털 자산 지갑 메타마스크는 2016년 런칭해 최근까지 꾸준하게 사용자가 증가, 미국 필리핀 베트남 영국 등 글로벌에서 주요 지갑으로 자리잡았다. 이더리움 인프라 개발 기업 컨센시스(ConsenSys)에 발표에 따르면 지난해 8월 메타마스크 사용자는 1035만4279명으로 1년 전인 2020년 7월 대비 19배 성장했다.

해시어스는 ‘디지털 자산을 안전하게(Trust Your Digital Assets)’를 기업 이념으로 2022년 6월 설립된 양자 보안 기술 기반 디지털 자산 관리 기업이다. 해시어스는 IoT 및 양자 보안 전문 기업 노르마의 자회사로서 양자 컴퓨터 보안 기술을 블록체인 분야에 접목한 사업을 전개한다. 대표적으로 블록체인 보안의 핵심인 스마트 컨트랙트 감사 컨설팅 ‘해시 오딧(Hash Audit)’을 서비스한다. 또 양자 컴퓨터 보안 기능이 탑재된 안전한 디지털 수탁 관리 서비스 ‘쿼스터디(Q-costudy)’와 지갑 ‘큐월렛(Q-Wallet)’을 통해 국내와 APAC 블록체인 기업들의 안전한 디지털 자산 관리를 지원한다.

★정보보안 대표 미디어 데일리시큐!★