지난주 개최된 ‘Black Hat’ 보안 컨퍼런스에서 암호화폐 거래소가 구축하는 지갑의 보안체계가 약점이 될 가능성이 지적되었다. 거래소에는 고도의 보안이 필요하기 때문에 최첨단 기술이 도입되어 있는 경우가 많지만, 그 실장의 복잡성이 새로운 취약성으로 이어질지도 모른다고 전문가들은 말한다. 이를 코인포스트가 10일 보도했다.

[세 가지 공격 기법을 지적]

공개 키 암호 방식을 대체하는 기술로서 분산화된 키 발행과 서명을 위한 암호학을 사용한 역치서명방식(TSS)이 암호화폐 지갑에 실장되는 경우가 급증하고 있는 것으로 알려졌다. 하지만 비교적 새로운 기술인 데다 그 복잡성을 틈탄 전례 없는 공격방법이 발견됐다는 것이다.

온라인에서 이루어진 IT보안산업 컨퍼런스 ‘Black Hat USA’에서는 ‘KZen Networks’ 공동설립자 ‘Omer Shlomovits’가 지적한 TSS의 구현 과정에 있어서의 취약성에 대해, 암호학자인 Jean-Philippe Aumasson이 보다 자세하게 설명했다. 이 취약성에 대한 공격기법은 다음 세 가지 카테고리로 나뉜다고 한다.

1. 내부자에 의한 공격
2. 거래소와 고객의 관계를 악용함
3. 비밀 키 생성 시 악용

[내부자에 의한 공격]

우선 한 주요 암호화폐 거래소가 작성한 오픈소스 라이브러리의 취약성을 내부자가 악용할 가능성이 지적됐다. 이 라이브러리에서는 키 보유자가 사이트의 되돌리기 기능의 프로세스를 조작해, 다른 부분을 바꾸지 않고 키의 일부만 변경하거나 하는 것이 가능했다고 한다. 기존 키와 새로운 키 부분을 통합할 수는 없지만, 공격자는 서비스 거부를 야기함으로써 거래소가 자기 자금에 접근할 수 없게 하는 것이 가능해진다고 지적되었다.

또한 연구자에 의하면, 대부분의 비밀키 분산형 방식에서는 완전한 키는 아니더라도 키의 대부분이 올바르면, 거래가 승인되도록 설정되어 있다고 한다. 일부가 잘못 삭제되거나 파괴됐을 경우에도 완전히 키가 손실되지 않도록 하기 위한 예방 조치이지만, 공격자로서는 좋은 재료가 될 가능성도 있다.

다행히 코드가 공개된 지 1주일만에 이 취약성에 대해 연구자가 라이브러리 개발자에게 고지했기 때문에, 아마 어느 거래소도 이 라이브러리를 시스템에 짜넣기에는 이르지 못했을 것으로 알려졌다.

[거래소와 고객의 인증 프로세스 악용]

한 키 관리 회사가 제공한 오픈 소스 라이브러리에서도 키의 로테이션에 관한 취약성이 발견되었다. 이 취약성은 거래소와 고객이 서로 실시하는 인증에 실패한다는 것. 거래소가 고객에게 성실하지 않을 경우, 혹은 몰래 공격자에게 침입된 거래소가 여러 차례의 키 로테이션에 의해 사용자의 비밀키를 추측하는 것을 가능하게 할 우려가 있다는 것이다.

이 키 관리회사는 자사 제품에는 라이브러리를 사용하지 않지만, 다른 곳에서 사용됐을 가능성도 있다는 것이다.

[당사자에 의한 키 생성 시의 문제]

제로 지식 증명에서 사용하는 키로서 당사자가 몇 개의 랜덤한 값을 생성할 필요가 있다. 연구자가 발견한 것은, 대기업 거래소 바이낸스가 개발하여 오픈 소스 라이브러리에 있는 프로토콜이 이러한 값을 체크하지 않았던 것이었다.(바이낸스에 의해 3월에 수정이 완료됨)

앞서 나온 Shlomovits는 이 취약성은 치명적이라고 말했다. 악의 있는 당사자는 키 생성 시에 다른 관계자의 수치를 알 수 있도록 짜여진 특별한 메시지를 보내고, 그 후 얻은 정보를 이용해 전원 분의 비밀키를 손에 넣는 것이 가능해진다고 한다.

바이낸스는 고객에게 가능한 한 빨리 이 버전의 TSS 라이브러리를 업그레이드하도록 주의를 촉구했다.

[어려운 공격 방법]

이들 취약성을 이용한 공격을 실행하는 것은 실제로는 매우 어려운 일이라고 2명의 연구자는 인정하고 있다. 기술에 대한 전문지식을 갖고 있을 뿐 아니라, 거래소에서의 특별한 입장에서만 사용할 수 있다는 전제 때문이다. 하지만 널리 보급될 가능성이 있는 오픈소스 라이브러리에서 이런 취약성이 발견된 것은 그 영향력을 감안할 때 그냥 넘어가기 어렵다는 것이다.

또한, 분산형 키 방식은 보안 대책으로서 유망하지만, 구현은 복잡하고 실수를 범하기 쉽기 때문에 거래소가 구현함에 있어 주의를 환기하는 것도 발표의 목적 중 하나였다고 했다.

 

(先週開催された情報セキュリティ関連会議で、仮想通貨取引所が構築するウォレットのセキュリティの仕組みが、弱点となる可能性が指摘された。取引所には高度なセキュリティが必要とされているため、最先端の技術が導入されていることが多いが、その実装の複雑さが新たな脆弱性につながるかもしれないと暗号学者は語っている。)

코인코드 텔레그램, 카카오톡을 통해서 다양한 소식을 빠르게 받아보세요!

https://t.me/coincodekr (텔레그램 뉴스방. 대화 안 보고 싶으신 분들은 이쪽)

https://open.kakao.com/o/gSnaBipb (카톡 3번방 참여코드: coco)

https://open.kakao.com/o/gXDHnOQ (카톡 1번방) ※ 잠시 닫음

https://open.kakao.com/o/g5G0u0J (카톡 2번방) ※ 잠시 닫음

http://bit.ly/2TPjmK2 (코인코드 안드로이드 앱 다운로드)

[ 코인코드 (coincode.kr), 편하게 공유 하시고 출처만 남겨주세요. ]

※ 1인 블로그 코인코드의 모든 글은 코인코드의 의견이 아닌 해외 미디어 글을 의역한 것임을 밝힙니다. 코인코드는 팩트에 기반하지 않습니다! 그저 옮길 뿐!