'가상자산' 지갑 브랜드, 대부분 보안 침해 테스트 누락

가상자산 지갑(월렙) 브래드 45개 중 6개만이 보안 데스트를 진행한 것으로 확인됐다.

10일(현지시간) 사이버 보안 인증 플랫폼 CER이 발표한 7월 보고서에 따르면, 가상자산 지갑 브랜드 45곳 중 6곳을 제외한 39 곳이 보안 침해 테스트를 누락했다.

이는 약 86.7%에 해당한다.

6곳만이 모의 침투 테스트를 마쳤으며, 또 그중 절반만이 최신 버전 제품에 대한 테스트를 마친 상태로 집계됐다.

또한 최신 버전 소프트웨어에 대한 보안 침해 테스트를 마친 브랜드는 각각 메타마스크, 젠고, 트러스트월렛 등으로 확인됐다.

제한적인 데이터로 이뤄진 분석에선 메타마스크, 젠고, 래비, 트러스트월렛, 코인베이스 월렛 등은 상대적으로 보안성이 뛰어난 안전한 지갑으로 나타났다.

하지만 모든 암호화폐 지갑 브랜드가 테스트를 완료했다는 증거를 공개하지 않아, 정확한 수치를 파악에는 어려움이 있었다고 보고서는 설명했다.

보고서는 가상자산 지갑 생태계에서 다양성은 플랫폼뿐만 아니라 보안 조치와 소프트웨어 개발 패러다임을 포함한다고 설명명했다.

또한 정기적이고 철저한 보안 평가는 견고한 보안 프레임워크의 기반 요소이기 때문에, 디지털 자산 환경의 동적 특성을 고려하여 모든 지갑 개발자에게 주기적인 감사 및 펜테스트를 개발 로드맵에 우선시하도록 권장한다고 주장했다.

실제로 보고서는 오픈 소스 소프트웨어와 제3자 주최 버그 바운티 간의 상호작용에 주목했다. 이러한 상호작용은 오픈 소스 커뮤니티와 전문적인 해킹 테스스터를 활용해 견고한 보안 레이어를 만들어낸다고 분석했다.

특히 오픈 소스 모델을 준수하는 지갑 개발자들에게는 버그 바운티 프로그램을 도입하는 것뿐만 아니라, 제3자 주최 옵션을 선택할 것을 권장했다.

이용자들에게는 보안이 최우선 고려 사항이 되야 한다고 강조했다.

먼저 해당 지갑의 평판과 역사를 통해 해킹 사례가 있는 지갑은 가장 안전한 선택이 아닐 수 있으며, 전체 앱 감사, 펜테스트 및 버그 바운티를 확인을 예로 들었다

한편, 이번 보고서는 ▲오픈 소스 지갑은 보안을 보장하지 않지만, 개발과 제3자 주최의 버그바운티에 의해 보안을 향상 시킬수 있다는 점 ▲대부분 지갑은 감사를 하지 않고 버그바운티에 중점을 둔다는 점 ▲ 하드웨어 지갑과의 통합은 소프트웨어 애플리케이션 보안을 향상시키지 않지만, 통합은 해킹 사고 발생 시 자금 손실 위험을 크게 줄여준다는 점 ▲더 많은 사용자를 보유한 지갑은 일반적으로 더 많은 보안에 투자한다는 점 등을 주요 사항으로 꼽았다.

[email protected]