[보안뉴스 / 7.11.] 메타마스크 취약점, 브라우저에서 비밀번호 버튼 클릭하는 순간 해킹

해시어스, 메타마스크 취약점 ‘CVE-2022-32969’ 공개하고 주의 당부
브라우저에서 비밀번호 버튼 클릭 시 메모리에 자동 저장돼 디지털 자산 탈취 우려
사용자 1,000만 명 이상의 글로벌 주요 지갑인 만큼 업데이트 등 보안 주의 필요

[보안뉴스 원병철 기자] 글로벌 디지털 자산 지갑 ‘메타마스크’ PC 버전에 디지털 자산을 탈취당할 수 있는 취약점이 있는 것으로 확인돼 사용자의 주의가 요구된다. 양자 보안 기술 기반 디지털 자산 관리 기업 해시어스(대표 송창녕)는 메타마스크의 취약점 분석 결과를 공개하고 보안에 각별한 주의를 기울일 것을 당부했다.

해시어스와 글로벌 얼라이언스는 최근 이더리움 기반 디지털 자산 지갑 메타마스크(MetaMask)의 취약점을 분석했다. 악마의 취약점(Demonic vulnerability, CVE-2022-32969)이라 이름 붙은 이 취약점은 메타마스크 10.11.3 이전 버전의 지갑을 크롬과 같은 PC 브라우저에서 사용할 때 확인된다.

브라우저에서 메타마스크 지갑의 ‘비밀번호 복구 문구 조회(Show Secret Recovery Phrase)’를 클릭하면 브라우저 자체의 메커니즘으로 인해 지갑을 복구하기 위한 문구(니모닉)를 유출할 수 있다. 브라우저는 페이지의 텍스트를 로컬 디스크에 저장(캐시)해 다음에 같은 페이지를 열 때 이전 페이지를 신속하게 복원한다. 이 같은 브라우저 메커니즘이 메타마스크 지갑 비밀번호 페이지의 텍스트까지 저장하는 보안 취약점이 확인된 것이다.

해시어스와 글로벌 얼라이언스는 분석한 취약점을 이용해 모의 해킹을 진행, 디지털 자산이 탈취될 수 있음을 보여줬다. 먼저 로컬 디스크에 입력된 캐시가 어디에 저장되었는지 경로를 확인한 뒤 해당 캐시가 데이터 입력 후 언제 기록되는지 확인했다. 즉, 개인정보가 저장되는 시간과 저장 위치를 확인해 모의해킹을 실행, 실제 문자 형태의 비밀번호 탈취될 수 있음을 입증한 것이다.

메타마스크 디지털 자산 지갑은 1,000만 명 이상의 사용자가 사용할 만큼 대중적인 데다, 메타마스크를 인용해 개발된 지갑도 상당하기 때문에 업계에서는 이번 취약점을 심각하게 보고 있다. 또한, 이 취약점은 지갑 외 일반적인 응용 프로그램을 통해서도 읽을 수 있어 물리적으로 접근하지 않고도 얼마든지 해킹할 수 있다는 점도 위협적이다. 메타마스크는 취약점을 인지한 뒤 패치를 완료했으며 현재 사용자는 지갑을 업데이트를 하면 취약점으로 인한 해킹 우려를 덜 수 있다.

이번 취약점 분석을 총괄한 해시어스 송창녕 대표는 “취약점 패치가 완료되었다고 해도 사용자가 업데이트 하지 않으면 해킹 위협에 상시 노출되어 있는 것”이라며, “사용편의성 뿐만 아니라 보안을 위해서라도 업데이트를 반드시 해야 한다”고 전했다.

한편, 모바일 앱과 브라우저로 서비스하는 디지털 자산 지갑 메타마스크는 2016년 런칭해 최근까지 꾸준하게 사용자가 증가해, 미국 필리핀 베트남 영국 등 글로벌에서 주요 지갑으로 자리 잡았다. 이더리움 인프라 개발 기업 컨센시스(ConsenSys)에 발표에 따르면 2021년 8월 메타마스크 사용자는 1,035만 4,279명으로, 1년 전인 2020년 7월 대비 19배 성장했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>