저자: 리즈

편집자: 셰리

배경

이전 호 Web3 보안 초보자를 위한 함정 방지 가이드에서는 클립보드 보안에 대해 다루었습니다. 최근 한 피해자가 SlowMist 보안팀에 연락하여 TikTok에서 변조된 콜드 월렛을 구매하여 약 5천만 위안(약 6천만 원) 상당의 암호화폐 자산을 도난당했다고 알렸습니다. 이번 호에서는 모두가 신뢰하는 도구인 하드웨어 월렛에 대해 중점적으로 다루지만, 그 사용에 대한 많은 오해가 있습니다.

 (https://x.com/SlowMist_Team/status/1933799086106538101)

하드웨어 지갑은 개인 키가 오프라인에 저장되기 때문에 암호 자산을 보호하는 데 신뢰할 수 있는 도구로 여겨져 왔습니다. 그러나 암호 자산의 가치가 지속적으로 상승함에 따라 하드웨어 지갑에 대한 공격 수단 또한 진화했습니다. 가짜 하드웨어 지갑, 가짜 펌웨어 업데이트/인증, 피싱 웹사이트, 그리고 정교하게 설계된 사회 공학적 함정까지, 많은 사용자가 의도치 않게 함정에 빠져 결국 자산을 약탈당했습니다. 겉보기에 안전해 보이는 기기에도 숨겨진 백도어가 존재하며, 공식 이메일처럼 보이는 이 이메일은 실제로는 공격자가 보낸 것입니다.

이 글에서는 하드웨어 지갑 구매, 사용, 보관의 세 가지 주요 측면에 초점을 맞추고, 일반적인 위험을 분류하고, 실제 사례를 기반으로 전형적인 사기 수법을 분석하며, 사용자가 암호화된 자산의 보안을 효과적으로 보호할 수 있도록 실용적인 보호 방안을 제시합니다.

구매의 위험

구매와 관련된 사기에는 크게 두 가지 유형이 있습니다.

• 가짜 지갑: 기기는 정상으로 보이지만 펌웨어가 변조된 상태입니다. 사용 후 개인 키가 은밀하게 유출될 수 있습니다.
• 실제 지갑 + 악의적인 유도: 공격자는 사용자의 보안 지식 부족을 이용하여 비공식적인 채널을 통해 "초기화된" 기기를 판매하거나 사용자가 가짜 지원 애플리케이션을 다운로드하도록 유도한 다음 피싱이나 사회 공학적 수단을 통해 수확을 완료합니다.

일반적인 사례를 살펴보겠습니다.

한 사용자가 전자상거래 플랫폼에서 하드웨어 지갑을 구매했습니다. 포장을 뜯어보니 사용 설명서가 스크래치 카드처럼 생겼습니다. 공격자는 기기를 미리 활성화하고 니모닉을 획득한 후, 하드웨어 지갑을 다시 포장하고 위조된 사용 설명서를 첨부하여 비공식적인 경로를 통해 판매했습니다. 사용자가 활성화 코드를 스캔하고 설명서에 따라 해당 지갑 주소로 자산을 이체하자, 자금은 즉시 유출되어 가짜 지갑의 일반적인 코인 절도 수법에 해당했습니다.

이러한 유형의 사기는 하드웨어 지갑을 처음 사용하는 사용자를 대상으로 합니다. 관련 배경 지식이 부족하여 사용자는 "공장 사전 설정 니모닉 문구" 자체가 심각한 보안 문제라는 사실을 인지하지 못합니다.

 (https://www.reddit.com/r/ledgerwallet/comments/w0jrcg/is_this_a_legit_productbought_from_amazon_came/)

이러한 유형의 "활성화 + 재패키징" 루틴 외에도 보다 은밀하고 고수준의 공격 방법인 펌웨어 수준 변조가 있습니다.

기기의 펌웨어는 겉보기에는 멀쩡해 보이지만 백도어가 심어져 있습니다. 펌웨어 검증과 분해 검증은 비용이 많이 들고 누구나 할 수 있는 기술이 아니기 때문에, 사용자에게는 이러한 유형의 공격이 거의 눈에 띄지 않습니다.

사용자가 이러한 기기에 자산을 입금하면 숨겨진 백도어가 조용히 작동합니다. 공격자는 원격으로 개인 키를 추출하고, 거래에 서명하고, 자산을 자신의 주소로 이체할 수 있습니다. 이 모든 과정은 조용하게 진행되며, 사용자가 이를 알아차릴 때는 이미 늦은 경우가 많습니다.

 (https://x.com/kaspersky/status/1658087396481613824)

따라서 사용자는 브랜드 공식 웹사이트나 공식 인증 채널을 통해 하드웨어 지갑을 구매해야 하며, 편의성이나 저렴함을 이유로 비공식적인 플랫폼을 선택해서는 안 됩니다. 특히 중고 기기나 출처를 알 수 없는 신제품은 변조 또는 초기화되었을 가능성이 있습니다.

사용 중 공격 포인트

서명 승인의 피싱 함정

하드웨어 지갑은 개인 키를 분리할 수 있지만, "블라인드 서명"으로 인한 피싱 공격을 막을 수는 없습니다. 블라인드 서명은 백지 수표에 서명하는 것과 같습니다. 사용자는 거래 내용을 알지 못한 채 읽을 수 없는 서명 요청이나 해시 데이터 문자열을 확인합니다. 즉, 하드웨어 지갑의 보호 하에서도 사용자는 자신도 모르게 낯선 주소로의 이체를 승인하거나 악의적인 로직을 포함하는 스마트 계약을 실행할 수 있습니다.

블라인드 서명 공격은 교묘하게 위장된 피싱 페이지를 사용하여 사용자의 서명을 유도하는 경우가 많습니다. 지난 몇 년 동안 해커들은 이러한 수법을 통해 막대한 양의 사용자 자산을 훔쳐 왔습니다. DeFi 및 NFT와 같은 스마트 계약 시나리오가 지속적으로 확대됨에 따라 서명 작업은 더욱 복잡해졌습니다. 이를 해결하는 방법은 "보이는 대로 서명"을 지원하는 하드웨어 지갑을 선택하여 각 거래 정보를 기기 화면에 명확하게 표시하고 항목별로 확인할 수 있도록 하는 것입니다.

 (https://www.ledger.com/zh-hans/academy/%E4%B8%BB%E9%A2%98/ledgersolutions-zh-hans/10년 동안의 레저-안전-자기-보호-모두-보호)

"공식"에서 낚시하기

공격자들은 특히 "공식"이라는 명목으로 사기를 저지르기 위해 상황을 악용하는 데 능숙합니다. 예를 들어, 2022년 4월, 유명 하드웨어 지갑인 Trezor의 일부 사용자는 trezor[.]us 도메인 이름에서 피싱 이메일을 받았습니다. 실제로 Trezor의 공식 도메인 이름은 trezor[.]io입니다. 또한, 피싱 이메일을 통해 다음 도메인 이름이 유포되었습니다: suite[.]trẹzor[.]com.

이 "ẹ"는 일반적인 영어 글자처럼 보이지만, 사실 퓨니코드입니다. trẹzor의 실제 글자는 다음과 같습니다: xn--trzor-o51b.

공격자는 실제 보안 사고를 악용하여 사기 성공률을 높일 것입니다. 2020년 레저(Ledger)는 데이터 유출 사고를 겪었는데, 약 100만 명의 사용자 이메일 주소가 유출되었고, 9,500명의 고객 중 일부의 이름, 우편 주소, 전화번호, 그리고 구매 상품 정보가 유출되었습니다. 공격자는 이 정보를 확보한 후, 레저의 보안 및 규정 준수 부서를 사칭하여 사용자에게 피싱 이메일을 발송했습니다. 지갑을 업그레이드하거나 보안을 검증해야 한다고 주장하는 내용이었습니다. 이 이메일은 사용자가 QR 코드를 스캔하여 피싱 웹사이트로 이동하도록 유도했습니다.

 (https://x.com/mikebelshe/status/1925953356519842245) 

 (https://www.reddit.com/r/ledgerwallet/comments/1l50yjy/new_scam_targeting_ledger_users/)

일부 사용자는 특급 소포를 받았는데, 소포 안에 있는 기기의 외부 포장재는 수축 필름으로 포장되어 있었습니다. 소포에는 가짜 Ledger Nano X 지갑과 공식 레터헤드가 있는 가짜 편지가 들어 있었는데, 이는 이전 데이터 유출 사건에 대한 대응이며 사용자를 "더 안전한 새 기기"로 대체하기 위한 것이라고 주장했습니다.

 (https://www.reddit.com/r/ledgerwallet/comments/o154gz/package_from_ledger_is_this_legit/)

실제로 이 "신형 기기"는 악성 프로그램을 심기 위해 내부 회로 기판에 추가 USB 플래시 드라이브를 납땜하여 변조된 원장입니다. 가짜 설명서는 사용자에게 기기를 컴퓨터에 연결하고, 자동으로 나타나는 애플리케이션을 실행한 후, "마이그레이션" 또는 "복구"를 위해 원래 지갑의 니모닉 24개를 입력하라는 메시지를 표시합니다. 니모닉이 입력되면 데이터가 공격자에게 전송되고 자금이 도난당합니다.

중간자 공격

친구에게 편지를 보내는 상황을 상상해 보세요. 악의적인 우체부가 도중에 편지를 가로채서 내용을 몰래 변조한 후 다시 봉인합니다. 친구가 편지를 받았을 때, 그는 그 편지가 당신의 원래 편지라고 생각하며 전혀 알지 못합니다. 이것이 바로 중간자 공격의 핵심입니다. 하드웨어 지갑은 개인 키를 분리할 수 있지만, 거래는 여전히 휴대폰이나 컴퓨터의 지갑 애플리케이션과 USB, 블루투스, QR 코드와 같은 "메시지 채널"을 통해 완료되어야 합니다. 이러한 전송 링크는 "보이지 않는 우체부"와 같습니다. 어떤 링크든 통제되기만 하면 공격자는 조용히 지불 주소를 변조하거나 서명 정보를 위조할 수 있습니다.

OneKey 팀은 Trezor와 MetaMask에 대한 중간자 공격 취약점을 보고했습니다. MetaMask가 Trezor 기기에 연결되면 기기 내부의 ETH 공개 키를 즉시 읽고 소프트웨어 측의 다양한 파생 경로를 기반으로 주소를 계산합니다. 이 과정에는 하드웨어 확인이나 프롬프트가 없으므로 중간자 공격의 여지를 남깁니다.

로컬 맬웨어가 Trezor Bridge를 제어한다면, 통신 링크의 "불량 우편 배달부"와 마찬가지입니다. 공격자는 하드웨어 지갑과의 모든 통신 데이터를 가로채고 변조하여 소프트웨어 인터페이스에 표시되는 정보가 실제 하드웨어 상황과 일치하지 않게 만들 수 있습니다. 소프트웨어 검증 프로세스에 허점이 있거나 사용자가 하드웨어 정보를 신중하게 확인하지 않으면 중간자 공격이 성공할 수 있습니다.

 (https://zhangzhao.name/)

저장 및 백업

 (https://x.com/montyreport/status/1877102173357580680)

마지막으로, 저장은 백업만큼 중요합니다. 메모, 사진 앨범, 즐겨찾기, 전송 도우미, 사서함, 클라우드 노트 등 연결된 기기나 플랫폼에 니모닉을 저장하거나 전송하지 마십시오. 또한, 자산 보안은 해커 공격뿐만 아니라 예상치 못한 재해로부터도 보호해야 합니다. 종이 백업은 비교적 안전하지만, 제대로 보관하지 않으면 화재나 홍수와 같은 위험에 노출되어 자산 복구가 어려워질 수 있습니다.

따라서 니모닉 단어를 실제 종이에 적어 여러 안전한 장소에 보관하는 것이 좋습니다. 고가의 자산에는 내화 및 방수 금속판을 사용하는 것을 고려해 볼 수 있습니다. 동시에, 니모닉 단어의 보관 환경을 정기적으로 점검하여 안전하고 쉽게 사용할 수 있는지 확인하십시오.

결론

자산 보호를 위한 중요한 도구인 하드웨어 지갑의 보안은 사용자의 사용 방식에 따라 제한됩니다. 많은 사기 수법은 기기에 직접 침입하지 않고, "더 안전하게 보호해 준다"는 명목으로 사용자가 자산에 대한 통제권을 자발적으로 넘겨주도록 유도합니다. 이 글에서 언급된 다양한 위험 시나리오에 대응하여 다음과 같은 제안을 요약했습니다.

• 공식 채널을 통해 하드웨어 지갑을 구매하세요. 비공식 채널을 통해 구매한 기기는 변조될 위험이 있습니다.
• 기기가 활성화되지 않은 상태인지 확인하세요. 공식 웹사이트에서 판매하는 하드웨어 지갑은 새 제품이어야 하며, 활성화되지 않은 상태여야 합니다. 기기를 켠 후 활성화되었거나, 설명서에 "초기 비밀번호" 또는 "기본 주소"와 같은 비정상적인 메시지가 표시되는 경우, 즉시 사용을 중단하고 공식 웹사이트에 신고해 주세요.
• 주요 작업은 사용자가 직접 수행해야 합니다. 기기 활성화 과정을 제외하고 PIN 코드 설정, 바인딩 코드 생성, 주소 생성 및 니모닉 백업은 모두 사용자가 직접 수행해야 합니다. 제3자가 운영하는 모든 링크는 위험합니다. 일반적인 상황에서 하드웨어 지갑을 처음 사용할 때는 새 지갑을 최소 세 번 연속 생성해야 하며, 생성된 니모닉과 해당 주소를 기록하여 매번 같은 결과가 반복되지 않도록 해야 합니다.