코인베이스, '믿을 수 없는' 시드 구문 복구 과정으로 비판받아

코인베이스의 '믿을 수 없는' 복구 방식, 보안 논란 촉발

3월 19일, 한 선임 보안 연구원이 코인베이스의 지갑 복구 기능이 사용자의 전체 니모닉 시드 구문을 평문으로 입력하도록 요구하는 것에 대해 공개적으로 비판했습니다. 블록체인 보안 회사 슬로우미스트(SlowMist)의 설립자 Yu Xian은 소셜 미디어에서 이러한 관행을 "믿을 수 없다"고 묘사하며, 근본적인 보안 위험을 강조했습니다. 사용자가 웹 양식에 마스터 키를 입력하거나 붙여넣도록 요구하는 것은 클립보드 공격, 키로거, 피싱 사기에 노출시켜 시드 구문을 항상 오프라인으로 유지해야 한다는 핵심 보안 원칙을 사실상 무효화합니다. 이러한 설계 선택은 디지털 환경을 보호할 책임을 전적으로 사용자에게 전가하며, 기술적으로 능숙한 개인에게도 중대한 실패 지점이 됩니다.

시드 구문 취약점, 1억 7,600만 달러 상당 비트코인 도난 혐의로 이어져

노출된 시드 구문과 관련된 정확한 위험은 최근 영국 고등법원 사건에서 극명하게 드러났습니다. 원고 Ping Fai Yuen은 그의 아내가 감시 카메라를 은밀히 사용하여 그의 시드 구문과 지갑 자격 증명을 기록하여 약 1억 7,600만 달러 상당의 비트코인 2,323개를 훔쳤다고 주장합니다. 법원 문서에 따르면, 이 자금은 2023년 12월에 71개의 다른 주소로 옮겨졌습니다. 이 사건은 물리적 근접성만으로도 시드 구문이 시각적으로 노출될 경우 어떻게 손상될 수 있는지를 보여주는 극적인 실제 사례를 제공합니다. 이 도난 혐의는 사용자가 마스터 비밀 키를 어떤 디지털 또는 관찰 가능한 형식으로도 노출할 필요가 없는 복구 프로세스의 중요성을 강조합니다.

업계, 패스키 기술을 이용한 '시드리스' 지갑으로 전환 추진

사용자가 관리하는 시드 구문의 내재된 약점에 직접 대응하여, 업계는 더욱 강력한 인증 방법으로 나아가고 있습니다. 비트코인 인프라 회사 Breez는 최근 Passkey 로그인 기능을 SDK에 통합하여, 개발자들이 일상적인 접근을 위해 기존의 12단어 구문에 의존하지 않는 자체 관리 지갑을 구축할 수 있도록 했습니다. FIDO2 WebAuthn 표준을 기반으로 하는 이 기술은 Face ID 또는 지문 스캔과 같은 장치 내 생체 인식을 사용하여 사용자를 인증하고 키를 파생시킵니다. 개인 키는 Apple의 Secure Enclave 또는 Android의 Titan 칩과 같은 장치의 보안 하드웨어에서 절대 벗어나지 않으므로 온라인 위협으로부터 보호됩니다. 이러한 변화는 친숙한 장치 수준의 보호를 중심으로 보안 모델을 재구성하여, 주류 사용자에게 자체 관리를 더 안전하고 접근하기 쉽게 만드는 것을 목표로 합니다.