5월 16일 Ledger는 최신 기능인 Ledger Recover를 공개하여 하드웨어 지갑의 "신뢰할 수 없음" 개념과 복구 기능과 관련된 보안 문제에 대한 논란과 오해를 불러일으켰습니다. Verichains는 하드웨어 지갑의 무신뢰성에 대한 시장 명확성과 개인 키에 직접 액세스할 수 있는 기능 도입이 보안에 미치는 영향을 제공하는 것을 목표로 합니다.
하드웨어 지갑은 개인 키를 저장하고 암호화폐 거래를 실행할 수 있는 물리적 장치입니다. 소프트웨어 지갑과 달리 하드웨어 지갑은 인터넷에 연결되어 있지 않아 해킹이나 악용 시도를 저지하고 물리적 위협으로만 제한하므로 "콜드 스토리지"로 분류됩니다. 소비자는 일반적으로 하드웨어 지갑을 무신뢰 솔루션으로 간주합니다. 왜냐하면 지갑 보안과 더 나아가 개인 키를 관리하는 데 전적으로 자신에게 의존하기 때문입니다.
하드웨어 지갑은 하드웨어 자체와 소프트웨어라는 두 가지 구성 요소로 구성됩니다. 하드웨어에는 버튼, 화면, 인클로저가 포함되어 있으며 무엇보다도 물리적 공격으로부터 장치를 보호하는 보안 요소가 포함되어 있습니다.
보안 요소는 일반적으로 전용 프로세서, 메모리 및 암호화 기능을 갖춘 변조 방지 칩, 즉 정말 안전한 소형 컴퓨터입니다. 이는 물리적 및 논리적 공격에 저항하도록 설계되어 민감한 데이터의 무단 액세스, 변조 및 추출로부터 보호합니다.
소프트웨어 측면에서 하드웨어 지갑이 작동하려면 운영 체제(OS)가 필요합니다. OS는 개인 키를 저장하고, 장치 로직을 관리하고, 하드웨어 지갑과 컴퓨터 또는 스마트폰의 소프트웨어 확장 간의 통신을 촉진하기 위한 안전한 디지털 환경을 구축합니다.
상황을 요약하자면, 신규 사용자가 암호화폐 경험을 더 쉽게 이해할 수 있도록 Ledger는 사용자가 비밀번호 복구와 유사하게 개인 키를 복구할 수 있는 옵션 기능인 Ledger Recover를 도입했습니다. 그러나 이 발표는 암호화폐 커뮤니티와 Ledger 고객으로부터 반발을 불러일으켰는데, 이들은 이 서비스가 자체 관리 특성을 손상시키고 추가적인 위험을 초래할 것이라고 주장했습니다. Ledger Recover의 보안 영향을 이해하려면 해당 기능을 이해하는 것이 중요합니다. 이 프로세스에는 비밀 복구 문구를 암호화하고 세 개의 조각으로 분할한 다음 별도의 보안 채널을 통해 백업 공급자에게 전송되는 과정이 포함됩니다. 각 조각은 서로 다른 국가의 서로 다른 회사에 의해 저장되므로 단일 개체가 완전한 백업을 소유하지 않도록 보장합니다. 이러한 암호화된 조각은 하드웨어 보안 모듈로 알려진 변조 방지 서버에 보관됩니다.
사용자의 신원을 확인하기 위해 Ledger Recover는 Onfido라는 신원 확인 공급자를 활용합니다. 아이디, 셀카 등 이용자의 식별정보는 암호화되어 안전하게 보관됩니다. 이를 통해 서비스는 사용자의 신원을 비밀 복구 구문의 암호화된 조각에 연결하여 사용자만이 개인 키를 복구할 수 있도록 보장합니다. 사용자가 지갑을 복원하려는 경우 Ledger Live에서 복구 프로세스를 시작합니다.
Verichains 공동 창립자인 Thanh Nguyen은 Ledger Recover 발표에 대한 트윗에서 이 기능이 사용자의 시드 문구 보안에 대한 심각한 우려를 불러일으키고 하드웨어 지갑과 관련된 일반적인 보안 가정을 깨뜨린다고 언급했습니다 .
이 아이디어에 대해 더 자세히 설명하고 Ledger Recover와 관련된 위험에 대해 논의해 보겠습니다.
개인 키 노출: 하드웨어 지갑 사용자는 일반적으로 자신이 개인 키에 액세스하고 지갑의 비밀 복구 문구를 보호할 수 있는 유일한 사람이라고 가정합니다. 그러나 복구 기능의 도입은 이전 조각화에 관계없이 두 개의 서로 다른 당사자와 복구 문구를 공유함으로써 이러한 가정에 도전합니다.
새로운 위험의 도입: 기능이 많아질수록 잠재적인 공격 벡터도 증가합니다. 사용자의 지갑에 직접 액세스할 수 있는 Ledger Recover의 경우 위험이 높습니다. 비밀 복구 문구의 암호화된 조각은 서로 다른 국가에 있는 두 개의 개별 회사에 의해 저장되어 두 가지 잠재적인 공격 벡터를 도입합니다. 결심한 공격자는 이러한 회사의 취약점을 악용하고 여러 조각을 수집하여 비밀 복구 문구에 액세스하려고 시도할 수 있습니다.
범용 대상: Ledger Recover는 선택 기능이지만 모든 Ledger 고객에게 존재하므로 참여를 원하지 않는 사람들에게는 불안감을 줍니다. 이 기능에 취약점이 있을 가능성을 완전히 무시할 수는 없습니다.
암호화폐 커뮤니티의 많은 반발로 Ledger는 새로운 기능의 출시를 연기했으며 소스 코드가 공개되고 감사 가능해지면 다시 출시될 예정입니다. 그러나 오픈소스 코드가 보안 감사를 통과하더라도 취약점이 없다는 보장은 없습니다.
보안 연구원으로서의 경험에 따르면 오픈 소스 라이브러리에 숨겨진 취약점이 있을 가능성은 항상 존재합니다. 가장 주목할 만한 것은 최근 인기 있는 오픈 소스 라이브러리에서 찾을 수 있는 MPC 지갑 및 디지털 자산 보관을 위한 인기 임계값 서명 체계에서 중요한 키 추출 공격을 발견한 것입니다.
동일한 트위터 스레드에서 Thanh은 Ledger가 Ledger Recovery를 선택하려는 사용자에게만 서비스를 제공하는 동시에 비밀 복구 문구의 노출을 허용하지 않고 설계상 레거시 모델을 유지하는 새로운 모델 출시를 고려해야 한다고 제안했습니다 . 이를 통해 이 기능을 선택 해제한 사용자는 특히 취약점이 발견되거나 악용될 때 Ledger Recovery와 관련된 잠재적 위험으로부터 보호받을 수 있습니다.
Ledger의 하드웨어 지갑에 대한 최근 논란은 완전히 신뢰할 수 없는 것이 아니며 커뮤니티의 많은 사람들의 보안 가정을 뒤집는다는 점을 지적합니다. 지갑/소프트웨어 제공자에게는 여전히 일정 수준의 신뢰가 필요하기 때문에 이는 처음부터 사실입니다. 다른 소프트웨어와 마찬가지로 제품 공급자의 펌웨어 업데이트는 항상 장치의 보안, 호환성 및 기능을 보장합니다. Ledger 또는 하드웨어 지갑 제공업체의 경우 펌웨어 업데이트는 보안 요소 내의 OS 또는 애플리케이션을 수정하여 잠재적으로 시드 문구에 대한 액세스 권한을 부여합니다. 따라서 선의의 펌웨어 업데이트를 제공하려면 Ledger에 대한 일정 수준의 신뢰가 필요합니다.
Ledger의 새로운 복구 기능 외에도 궁극적으로 Ledger와 그 파트너를 신뢰하여 사용자의 비밀 복구 문구와 개인 키를 보호하기로 한 결정은 신뢰와 위험 허용 범위를 행사하는 것입니다. 사용자는 비밀 복구 문구를 보호하기 위해 Ledger와 그 파트너에게 얼마나 많은 신뢰를 제공할 의향이 있으며, 사용 편의성과 접근성 향상을 위해 사용자는 얼마나 많은 위험을 감수할 의향이 있습니까? 사용자는 Ledger Recover를 선택하거나 대체 하드웨어 지갑을 고려할 때 정보에 입각한 결정을 내리기 위해 보안 및 유틸리티 요구 사항을 평가해야 합니다.
