안드로이드 25% 탑재 미디어텍 칩서 부트 ROM 취약점…모바일 지갑 PIN·시드 탈취 우려

안드로이드 스마트폰의 핵심 칩에서 치명적인 보안 취약점이 발견됐다. 공격자가 단 1분 안에 스마트폰 속 암호화폐 지갑의 PIN과 시드 문구(seed phrase)를 탈취할 수 있다는 분석이 나오면서 모바일 지갑 보안에 대한 우려가 빠르게 확산되고 있다.

보안 기업 레저(Ledger)의 연구팀은 최근 미디어텍(MediaTek) 칩셋에서 발견된 하드웨어 수준 취약점을 공개했다. 문제의 칩은 ‘디멘시티 7300(Dimensity 7300)’으로, 전 세계 안드로이드 기기의 약 25%에 사용되는 것으로 알려졌다. 해당 칩이 탑재된 기기에는 솔라나 스마트폰 ‘솔라나 시커(Solana Seeker)’도 포함되어 있어 암호화폐 사용자들의 불안이 커지고 있다.

연구팀에 따르면 공격자는 스마트폰에 물리적으로 접근한 뒤 USB 케이블을 연결하는 방식만으로도 공격을 시도할 수 있다. 특히 취약점은 스마트폰 운영체제가 부팅되기 전 단계에서 발생하기 때문에 일반적인 보안 소프트웨어나 앱 보안으로 막을 수 없다.

부팅 단계 노린 ‘부트 ROM 취약점’… 소프트웨어 패치로도 해결 불가

이번 취약점의 핵심은 ‘부트 ROM(Boot ROM)’이다. 부트 ROM은 스마트폰 칩 제조 단계에서 영구적으로 기록되는 코드로, 운영체제보다 먼저 실행된다. 한 번 제조되면 이후 업데이트나 패치로 수정할 수 없다.

레저 보안팀은 칩이 부팅되는 순간 정밀한 전압 변조와 전자기 펄스를 이용해 보안 검증 단계를 건너뛰도록 만드는 방식의 공격을 시연했다. 이른바 ‘글리치(glitch)’ 공격으로 불리는 기법이다.

이 공격이 성공하면 ARM 아키텍처에서 가장 높은 권한 수준인 ‘EL3(최상위 권한)’에 접근할 수 있다. 이 단계에 도달하면 스마트폰의 보안 영역까지 완전히 통제할 수 있게 된다.

연구팀은 실험에서 약 1초 간격의 시도로 공격을 반복했고, 결국 스마트폰의 데이터 파티션을 오프라인에서 복호화하는 데 성공했다. 이 과정에서 암호화폐 지갑의 개인키, PIN 번호, 시드 문구 등 민감 정보가 모두 노출될 수 있는 것으로 확인됐다.

수백만 대 안드로이드 영향… 모바일 암호화폐 지갑 신뢰성 흔들

문제는 이미 생산된 스마트폰에서는 이 취약점을 완전히 제거할 방법이 없다는 점이다. 해당 하드웨어 구조 자체에 결함이 있기 때문이다.

미디어텍은 2025년 5월 해당 문제에 대한 보고를 받았지만, “물리적 접근이 필요한 공격은 일반적인 보안 모델에서 주요 위협으로 간주되지 않는다”는 입장을 밝힌 것으로 전해졌다. 그러나 스마트폰에 암호화폐 자산을 직접 보관하는 사용자가 늘어난 현실에서는 이러한 대응이 충분하지 않다는 지적이 나온다.

실제 데이터도 이를 뒷받침한다. 블록체인 보안 통계에 따르면 2024년 한 해 동안 발생한 암호화폐 도난 규모는 약 34억1000만 달러(약 5조380억 원)에 달했다. 특히 개인 지갑을 직접 노린 공격이 전체 피해의 44%를 차지했다. 2022년에는 이 비중이 7.3%에 불과했다.

레저의 최고기술책임자(CTO)는 “스마트폰은 애초에 금고처럼 설계된 장치가 아니다”며 “상당한 규모의 암호화폐 자산을 보관하고 있다면 모바일 지갑 대신 전용 하드웨어 지갑을 사용하는 것이 바람직하다”고 강조했다.

현재 구글과 보안 업계는 2026년 3월 안드로이드 보안 업데이트에 소프트웨어 차원의 완화 조치를 포함할 계획이다. 다만 하드웨어 결함 자체를 제거할 수는 없다는 점에서, 모바일 기반 암호화폐 보관 모델의 신뢰성에 대한 논쟁은 한동안 이어질 가능성이 크다.

기사요약 by TokenPost.ai

🔎 시장 해석

안드로이드 스마트폰에 널리 사용되는 미디어텍 디멘시티 7300 칩에서 하드웨어 수준 취약점이 발견되며 모바일 암호화폐 지갑의 보안 신뢰성이 흔들리고 있다.

이 취약점은 운영체제 이전 단계인 부트 ROM에서 발생해 일반 보안앱이나 소프트웨어 패치로 완전히 해결할 수 없다는 특징이 있다.

물리적 접근과 USB 연결만으로도 지갑의 PIN과 시드 문구를 탈취할 수 있어 수백만 대 안드로이드 기기가 잠재적 공격 대상이 될 수 있다.

암호화폐 사용자 증가로 스마트폰이 개인 금고처럼 활용되는 흐름 속에서 모바일 지갑 보관 구조의 근본적 리스크가 다시 부각되고 있다.

💡 전략 포인트

모바일 기기만으로 암호화폐 자산을 장기 보관하는 방식은 물리적 공격에 취약할 수 있다.

상당한 규모의 자산은 스마트폰 지갑이 아닌 하드웨어 지갑 또는 멀티시그 지갑에 분산 보관하는 전략이 권장된다.

스마트폰 분실·도난 상황을 고려해 시드 문구를 디지털 기기에 저장하지 않는 것이 중요하다.

향후 스마트폰 제조사와 칩셋 기업들이 ‘보안 칩(Secure Element)’ 설계를 강화하는 방향으로 기술 경쟁이 확대될 가능성이 있다.

📘 용어정리

부트 ROM(Boot ROM): 스마트폰 칩 내부에 제조 단계에서 영구 기록되는 초기 부팅 코드로 운영체제보다 먼저 실행되는 보안 핵심 영역.

글리치 공격(Glitch Attack): 전압·전류·전자기 신호를 순간적으로 변조해 칩의 보안 검사를 우회하는 하드웨어 해킹 기법.

EL3 권한: ARM 시스템에서 가장 높은 보안 권한 단계로 해당 권한을 획득하면 시스템 보안 영역까지 제어할 수 있다.

시드 문구(Seed Phrase): 암호화폐 지갑을 복구할 수 있는 12~24개의 단어로 구성된 개인키 백업 문구.

💡 자주 묻는 질문 (FAQ)

Q.

이번 스마트폰 보안 취약점은 왜 중요한가요?

미디어텍 디멘시티 7300 칩의 부트 ROM에서 발생하는 하드웨어 취약점으로, 공격자가 스마트폰에 물리적으로 접근해 USB를 연결하는 것만으로 암호화폐 지갑의 PIN과 시드 문구를 탈취할 수 있습니다. 부트 ROM은 제조 단계에서 고정되기 때문에 기존 소프트웨어 업데이트만으로 완전히 수정하기 어렵다는 점이 문제입니다.

Q.

일반 사용자도 실제로 해킹 위험이 큰가요?

공격자는 스마트폰에 물리적으로 접근해야 하므로 원격 해킹보다 조건이 까다롭습니다. 하지만 스마트폰 분실, 도난, 수리 과정 등에서 기기가 공격자 손에 들어갈 가능성이 있기 때문에 모바일 지갑에 큰 금액을 장기간 보관하는 것은 위험할 수 있습니다.

Q.

이런 취약점이 있다면 암호화폐는 어떻게 보관하는 것이 안전한가요?

보안 전문가들은 스마트폰 지갑을 일상 결제용 소액 지갑으로만 사용하고, 장기 보관 자산은 하드웨어 지갑이나 멀티시그 지갑에 보관할 것을 권장합니다. 또한 시드 문구를 디지털 기기에 저장하지 말고 오프라인으로 안전하게 백업하는 것이 중요합니다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.