Ledger 연구원들이 Trezor Safe 7에서 칩 결함을 발견했지만, 사용자 자금은 위험하지 않은 것으로 나타났습니다

트레저(Trezor)와 칩 제조업체 트로픽 스퀘어(Tropic Square)는 트레저 세이프 7(Trezor Safe 7) 지갑에 사용되는 TROPIC01 보안 요소 칩에서 하드웨어 취약점을 발견했다고 발표했습니다. 

해당 취약점은 경쟁사인 레저(Ledger)의 보안 연구팀인 돈존(Donjon)이 실시한dent 감사 과정에서 발견되었습니다. 트레저(Trezor)는 현재까지 사용자 자금과 개인 키는 유출되지 않았다고 주장하고 있습니다. 

레저의 트레저 감사 결과는 무엇을 드러냈습니까? 

트레저의 직접적인 경쟁사인 레저의 보안 부서인 돈존 팀의 연구원들이 결함을 발견했습니다 감사를 진행하던 중 TROPIC01 보안 요소 칩에서 트로픽 스퀘어, 하드웨어 설계 및 펌웨어 소스 코드가 공개된 최초의 보안 요소 칩으로 알려져 있습니다.

연구진은 레이저 결함 주입이라는 첨단 기술을 사용했습니다. 연구진은 칩 패키지를 물리적으로 열고 실리콘에 정밀한 적외선 레이저를 쏴서 서명 검증 과정을 방해했습니다. 이를 통해 해당 칩에서 자신들이 만든 무단 코드를 실행할 수 있었습니다.

트로픽 스퀘어는 평가를 위해 돈존에 상용 칩 샘플을 제공했고, 돈존 팀은 2026년 1월 말에 해당 결함을 보고했습니다. 

돈존의 조사 결과를 접한 트로픽 스퀘어의 엔지니어들은 칩의 PIN 보호 기능과 관련된 추가적인 비밀 정보를trac할 수 있는 유사한 공격 경로를 발견했습니다. 

트로픽 스퀘어나 트레저가 사용자 보안을 강화하기 위해 할 수 있는 일은 무엇일까요? 

해당 취약점이 하드웨어 수준에 있기 때문에 기존 Safe 7 기기의 경우 소프트웨어 업데이트를 통해 패치할 수 없다고 트레저는. 트로픽 스퀘어는 이미 해당 결함을 해결한 새로운 칩을 생산 중이며, 사용자는 별도의 조치를 취할 필요가 없다고 밝혔습니다.

회사 측은 강조했습니다 Safe 7이 세 가지 독립적인 물리적 보안 계층을 사용하며dent TROPIC01 칩은 그중 하나일 뿐이라고 

해당 취약점을 악용하려면 기기를 물리적으로 소유하고, 분해하고, 칩 패키지의 뒷면을 캡슐화 해제하고, 특수 레이저 결함 주입 장비에 접근해야 합니다.

블록체인 보안 회사인 사이버스(Cyvers)는 이번 공격이 실제 사용 환경에서는 "실용성이 매우 낮다"고 밝혔습니다. 사이버스의 CEO인 데디 라비드(Deddy Lavid)는 "하드웨어 지갑 보안은 실험실에서 칩이 공격받을 수 있는지 여부만으로 평가해서는 안 된다"고 말했습니다. 그는 피싱, 시드 구문 도용, 블라인드 서명 등이 대부분의 사용자에게 훨씬 더 큰 위협이라고 주장했습니다.