정품 가격에 팔리는 위조품…씨드 구문 탈취 노려

브라질의 한 보안 연구자가 중국 온라인 마켓플레이스에서 구입한 렛저(Ledger) 하드웨어 월렛이 사용자의 암호화폐(crypto)를 탈취하기 위해 제작된 정교한 위조품이었다는 사실을 밝혀내 업계에 경고음을 울리고 있다.

해당 연구자는 레딧(Reddit) 'ledgerwallet' 채널에 익명으로 게시물을 올려 "이것은 공황을 유발하려는 것이 아니라 심각한 경고로서 알리는 것"이라며 "이 사기 조직의 규모에 솔직히 아직도 충격을 받았다"고 밝혔다.

어떻게 작동하는가

연구자가 구입한 기기는 렛저 나노 S 플러스(Ledger Nano S Plus)로, 공식 스토어와 동일한 가격에 판매됐으며 패키지와 제품 목록 역시 정품처럼 보였다. 그러나 이미 컴퓨터에 설치된 정품 렛저 라이브(Ledger Live) 앱에 연결하자 렛저의 내장 '정품 확인(Genuine Check)' 절차에서 즉시 실패했다.

이에 기기를 분해한 결과, 민감한 지갑 데이터를 탈취하도록 설계된 변조 하드웨어와 펌웨어가 확인됐다. 특히 칩 표면의 마킹이 긁혀 있었고, 기기 내부에 와이파이(WiFi)와 블루투스(Bluetooth) 안테나가 내장돼 있었다. 정품 렛저 하드웨어는 개인 키(private key)를 완전히 오프라인 상태로 유지하도록 설계돼 있어, 이는 명백한 위조 증거다.

표적은 '처음 사용하는 사람'

이 위조품의 주요 표적은 렛저를 처음 사용하는 초보자다. 정품 박스에 들어있는 QR 코드는 보통 렛저 라이브 공식 앱으로 안내하지만, 위조품 박스의 QR 코드는 가짜 정품 확인 화면을 보여주는 악성 앱으로 유도한다. 이 과정을 따라가면 결국 씨드 구문(seed phrase)이 사기범에게 노출되고, 이후 언제든 자금이 인출될 수 있다.

펌웨어를 추가 분석한 결과, 부팅 완료 후 제조사 이름이 상하이에 본사를 둔 중국 반도체 기업 에스프레시프 시스템즈(Espressif Systems)로 표시됐다. 해당 기업은 상하이 증시에 상장된 공개 기업이다.

이미 수천만 원 피해 발생…잇따르는 렛저 사칭 공격

이번 위조 기기 사건은 렛저 사용자를 겨냥한 일련의 공격 중 최신 사례다. 이달 초에는 애플 앱스토어(Apple App Store)에 가짜 렛저 라이브 앱이 등록돼 50명 이상의 피해자가 합계 약 950만 달러(한화 약 130억 원)의 피해를 입었다. 해당 악성 앱은 정상적인 앱으로 가장해 스토어에 등재된 뒤 내용을 교체하는 방식으로 심사를 통과했으며, 애플이 뒤늦게 삭제 조치를 취했다.

하드웨어 공급망 공격, 소셜 엔지니어링(social engineering), 승인 사기 등 자기 수탁(self-custody) 방식을 선택한 사용자를 노리는 수법은 갈수록 정교해지고 있다.

보안 수칙

연구자는 "렛저 라이브는 반드시 ledger.com에서만 다운로드하고, 하드웨어도 ledger.com에서만 구입하라"고 강조했다. "기기가 정품 확인을 통과하지 못하면 즉시 사용을 중단하라"는 조언도 덧붙였다.