15세 천재해커 "암호화폐지갑 해킹해 게임도"

하드웨어 암호화폐지갑 '비트파이(Bitfi)'를 해킹해 게임까지 돌린 사례가 공개됐다. 안전한 암호화폐 보관 목적으로 출시된 기기가 제작 의도와 전혀 다른 용도로 조작될 수 있다는 점에서 비상한 관심을 모은다. 암호화폐지갑 보급과 함께 그 보안성에도 관심이 고조될 전망이다.

보안전문가 라이언 카스텔루치(Ryan Castellucci)는 지난 7월말 "비트파이 하드웨어 구성이 일종의 '저가 안드로이드 폰'같고, 와이파이(Wi-Fi)를 통해 네트워크에 연결돼야 동작하는 기능을 갖고 있다"고 지적했다. 이어 "누가 이걸로 둠을 돌릴수도 있겠다"고도 덧붙였다.

그런데 이 일이 최근 실제로 일어났다. 15세 천재 해커로 불리는 살림 라시드(Saleem Rashid)가 비트파이 기기를 해킹했다. 해킹된 기기로 고전 1인칭 슈팅 게임 '둠(Doom)'의 안드로이드 버전을 구동하는 영상이 9일 트위터에 공개됐다. 게임 실행과 터치스크린 조작이 원활한 모습이었다.

천재 해커 살림 라시드가 비트파이 암호화폐지갑 기기를 해킹해 고전게임 둠을 구동한 영상 한 장면. [사진=Abe Snowman 트위터]

물론 암호화폐지갑 기기를 해킹했고 전혀 엉뚱한 용도로 쓸 수 있는 것이 드러났더라도, 암호화폐지갑에 필요한 보안이 갖춰지지 않았다고 단정지을 수는 없다. 암호화폐지갑의 주된 역할은 이용자의 암호화폐 출금 거래에 서명할 때 필요한 '키'를 안전하게 보관하는 것이다.

실제 암호화폐 계정의 자산에 피해를 입힐 수 없다면 기기를 해킹해 엉뚱한 용도로 쓸 수 있다더라도 문제라고 단정지을 수는 없다. 실제로 살림 라시드의 영상을 대신 트위터에 게재한 시스템 엔지니어 '에이브 스노맨'이 이같은 반박을 받았다.

둠 구동 영상을 본 한 트위터 이용자가 "당신이 여전히 어떤 코인에도 접근하지 못했으니 이건 아무 의미 없다"고 지적하자, 에이브 스노맨은 "우리가 특정 (해킹) 경로를 파는 중이라 어쩌면 그리 될 수도 있다"며 "마무리되면 공격 방법과 상세정보를 공개하겠다"고 답했다.

라이언 카스텔루치가 암호화폐지갑 비트파이의 하드웨어 기판을 모습을 본 뒤 누군가 둠을 구동할지도 모르겠다고 농담한 트윗.

스노맨은 이어 "게임을 플레이하려면 임의 코드 설치와 실행, 저장소 및 램 읽기 및 쓰기, 프레임버퍼 쓰기, 터치스크린 입력 읽기, 이런 몇 가지 권한 등급을 획득해야 한다"며 "이제 코인을 훔칠 방법을 생각해 보면, 이것과 좀 겹치는 경우가 있을 것"이라고 덧붙였다.

스노맨은 또 "내장된 보안요소(secure enceval)가 단 하나도" 없으니 비트파이의 하드웨어를 바꿔야 한다며 "5인치 스크린과 4GB 스토리지로 안드로이드를 구동하는 미디어텍 쿼드코어 폰은 알리바바에서 8~12달러면 살 수 있으니 (비트파이는) 환불받고 싶다"고 말했다.

10일 살림 라시드는 "커스텀 제작된 기기는 전용 마이크로컨트롤러와 보안 구성요소, 디스플레이, 버튼을 포함한다(즉, 비쌀만하다)"며 "반면 비트파이 기판은 (저가형 폰에서) SIM슬롯과 카메라 모듈을 떼어낸 것을 확연히 보여주며 전혀 보안 요소가 없다"고 평했다.

비트파이는 지난 6월 19일 미국에서 처음 소개됐다. 기기를 제조한 동명의 회사 '비트파이'는 보도자료에서 자사 암호화폐 지갑 하드웨어를 '진정으로 해킹이 불가능한 오픈소스 암호화폐 지갑'이라고 홍보했다. 백신업체 창업 경력이 있는 투자자 존 맥아피와도 손잡았다.

15세 해커로 알려진 살림 라시드가 비트파이 사용자와 논쟁하며 남긴 트윗. 자신이 먼저 해킹했던 암호화폐 지갑 렛저(Ledger)는 보안요소를 품고 있었는데 비트파이는 전혀 그렇지 않다고 비판.

6월말부터 정식 시판에 들어간 비트파이의 가격은 120달러(약 13만5천원)다. 제조사와 협력한 존 맥아피는 지난달 비트파이의 보안을 뚫는 사람에게 상금을 지급하겠다고 선언했다. 그가 내건 상금은 최초 10만달러(약 1억1천만원)였다.

이후 보안전문가들은 비트파이가 보안루트에 접근 가능한 저가 안드로이드 폰이라는 점, 기기엔 있어선 안 될법한 이용자 추적기(trackers)를 포함한 바이두 앱을 품고 있다는 점을 밝혀냈다. 어떤 전문가들은 비트파이 제조사 및 롬의 시스템 파티션을 페이스트빈에 공개했다.

둠 게임을 구동한 살림 라시드 외에 펜테스트파트너스, 오버소프트 등이 해킹을 했다고 주장했지만 인정되지 않았다. 존 맥아피는 지난 3일 "비트파이의 해킹은 누군가 코인을 가져갔을 때 발생하는 것"이라며 "모든 해킹이라 알려진 사례 모두 코인을 갖지 못했다"고 반박했다.