2019년 5월 7일, 보안 연구원인 Christian Reitter가 당사 바운티 프로그램을 통해 Ledger Nano S, Ledger Nano X를 비롯하여 OLED 화면을 사용하는 하드웨어 지갑의 취약성을 알렸습니다. 치명적이지 않은 취약성으로 생각되나, 당사는 Ledger Nano S 펌웨어 1.6을 통해 대응 조치를 취했습니다.
아래에서 자주 묻는 질문과 이에 대한 답변을 참고해 주세요. 취약성과 관련한 모든 정보를 알고 싶다면 당사 블로그 게시물을 확인해 주세요.
암호화폐가 Ledger 하드웨어 지갑에서 여전히 안전하게 보호되나요?
네. 현존하는 취약성 경우 이론적으로는 공격 가능성이 있으나 실제 입증되지는 않았습니다. 이 취약성을 이용하여 사용자를 공격하는 방식은 몰래 카메라를 설치하여 사용자가 PIN 코드를 입력하거나 시드를 초기화하는 모습을 녹화하는 것보다도 실용적이지 못합니다. 따라서 본 취약성은 치명적이지 않은 것으로 간주됩니다.
누군가 화면의 취약성을 악용할 확률은 어느 정도인가요?
확률은 매우 낮습니다. 잠재적 공격자는 해당 하드웨어 지갑에 사용되는 전력 측정에 필요한 전자 장치용 위조 USB 케이블을 만들어야 합니다. 그다음으로는 Ledger 공급망을 공격하여 제품 박스에 포함된 기존 USB 케이블을 아무도 눈치채지 못하게 바꾸어야 합니다. 또한, 사용자의 컴퓨터를 손상시켜 장치를 설정하는 동안 Ledger 하드웨어 지갑과 소통하며 화면에 표시되는 정보를 확실하게 알아내어 외부 서버로 보낼 수 있도록 해야 합니다. 이는 몰래카메라를 설치하여 공격 대상자를 감시하는 것보다 훨씬 비현실적입니다.
Ledger는 이런 취약점 경감을 위해 어떤 조치를 취할 것인가요?
당사는 화면에 표시되는 내용과 전력 소비 분석에서 추출할 수 있는 데이터 사이 의존성을 크게 줄여주는 두 가지 보호 조치를 개발했습니다. 해당 조치는 Ledger Nano S 펌웨어 1.6에 포함되며, Ledger Nano X에는 다음 펌웨어 업데이트부터 적용될 예정입니다. 기술과 관련된 자세한 내용은 당사 블로그 게시물을 참조해 주세요.
이 취약성의 영향을 받지 않으려면 어떻게 해야 하나요?
현재 다루고 있는 취약성은 장치를 사용 중일 때 사용자를 감시하는 행위로 이루어집니다. 이러한 취약점은 기술적인 조치를 아무리 많이 취하더라도 완벽하게 해결될 수 없다는 점을 명심해 주시기 바랍니다. 항상 최신 펌웨어 버전을 Ledger 장치에 설치했는지 확인해 주세요.
많이 걱정되는 분들은 Ledger Nano S가 장치 설정 중 안전하지 않은 컴퓨터에 연결되지 않도록 벽면 충전기를 사용하시거나, Ledger Nano X 경우 배터리 전원으로 사용하실 것을 권장합니다. 지금까지 하드웨어 삽입을 통해 공격을 시도한 정황은 발견된 바 없지만, 걱정된다면 귀하 소유의 USB 케이블을 사용하셔도 좋습니다.
Ledger Blue가 영향을 받았나요?
화면 취약성은 OLED 화면에 적용됩니다. Ledger Blue는 LCD 화면을 사용하므로 공개된 취약성의 영향을 받지 않습니다.
이 취약성이 악용된 사례가 있나요?
이 취약성이 악용되었다는 정황은 발견된 바 없습니다.
다른 질문이 있습니다
Ledger 지원 부서에 문의해 주세요. 언제든지 도와드리겠습니다.