가상자산 ‘콜드월렛’도 보안상 문제가 있다는 주장이 제기됐다.
17일 독립 NFT 개발자 ‘푸바(foobar)’는 “렛저 사 하드웨어 월렛 사용을 당장 중단하고, 신속하게 마이그레이션을 진행하라”면서 “렛저사는 의도적으로 자신의 상품에 백도어를 설치했다는 사실을 공개적으로 인정했다”고 경고했다.
하드웨어 월렛은 사용자의 개인키를 USB 등 분리된 하드웨어에 저장하는 형태의 장치를 말한다. 핫월렛과 달리 통상 하드웨어로 구성돼 있어 해킹 등으로의 피해로부터 안전하다고 여겨진다.
콜드월렛 사용자 개인 키는 블록체인 네트워크 상에서 트랜잭션을 인증하는 데 사용되는 중요한 정보다. 상시 온라인에 연결돼 있는 특성 상 해킹으로부터 자유롭지 않다. 물리적 열쇠처럼 이를 컴퓨터나 스마트폰으로부터 완전히 분리하는 것이 콜드월렛 구동 원리다.
이번에 논란이 된 기능은 렛저사가 지난 16일 새롭게 선보인 ‘렛저 리커버’ 솔루션이다. 이 기능은 이용자가 추가 비용을 지불할 경우 사용자 ‘시드문구’를 3조각으로 쪼갠 후 암호화해 각각 다른 외부 저장소로 보내는 역할을 수행한다.
시드문구(복구문구)는 하드웨어 월렛이 물리적으로 손상 혹은 분실되는 경우에도 월렛과 보유 가상자산에 대한 접근 권한을 복구할 수 있는 비공개 키다. 이 문구는 무작위로 생성된 12~24개 단어로 이뤄지며, 기본적으로 사람이 읽을 수 있는 형태로 표기된다.
이 문구는 월렛 생성 시 이용자에게 한 번만 알려주고 어떤 서버에도 저장되지 않는다. 이용자가 시드문구를 분실할 경우 월렛 개발사도 복구해 줄 수 없기 때문에 영원히 지갑이 잠기게 된다. 실제로 시드문구 분실로 손실된 비트코인의 규모는 지난해 5억4500만달러(약 7300억원)에 달했던 것으로 집계됐다. 렛저사는 새롭게 선보인 복구 기능이 이러한 시드문구 분실 문제를 해결하기 위한 보호장치라고 설명했다.
하지만 크립토 업계 전문가들은 렛저 측이 이용자로부터 받은 시드문구를 합치고 해독해 원본 보안키를 복구할 수 있을 가능성을 우려한다. 원본 보안키 시드문구를 확보하면 이용자의 가상자산에 자유롭게 접근할 수 있기 때문이다.
무딧 굽타 폴리곤랩스 최고정보보호책임자(CISO)는 “이는 끔찍한 아이디어이며, 절대 해당 기능을 활성화하지 말라”며 “3조각으로 나뉘어진 키는 렛저 측에 의해 충분히 재구성이 가능하다”고 지적했다.
앞서 렛저에서 발생한 해킹으로 인해 대규모 개인정보 유출 사건이 일어났던 점도 불안을 가중시키고 있다. 지난 2020년 렛저 하드웨어 월렛에서 발생한 해킹 사건으로 인해 약 100만건 이상의 고객 이메일주소와 약 27만건의 고객 실제 주소, 전화번호 등이 유출된 바 있다.
렛저 측 “렛저 리커버 기능은 백도어 프로그램이 아니며, 렛저를 포함한 누구도 월렛에 백도어를 통해 접근할 수 없다”면서 “이용자는 해당 기능의 사용 여부를 자유롭게 선택할 수 있다”고 해명했다.
이형두 기자 dudu@etnews.com
