2026년 6월 3일, Trezor와 Tropic Square 는 Trezor Safe 7 하드웨어 지갑에 사용되는 TROPIC01 칩에서 취약점이 발견되었음을 공개적으로 발표했습니다. 이 발표는 Ledger Donjon 연구팀과의 협력 하에 이루어졌으며, 사용자 투명성과 보안을 향한 양사의 노력을 강조하는 계기가 되었습니다.
이 취약점이 발견되었음에도 불구하고, Trezor Safe 7 사용자의 자금은 여전히 안전하며 기기 보유자가 취해야 할 조치는 전혀 없습니다. 취약점은 기기에 존재하는 세 가지 물리적 보안 계층 중 오직 하나에만 영향을 미치며, Trezor가 채택한 계층형 아키텍처의 효과성을 다시 한 번 입증합니다.
Summary
취약점의 세부 사항: 정교하지만 실질성은 낮은 공격
발견의 배경
첫 번째 TROPIC01 칩이 2025년 중반에 출시된 후, Tropic Square는 칩에 대한 독립적인 평가를 위해 Ledger Donjon 보안팀을 참여시켰습니다. 2026년 1월, Ledger Donjon은 매우 특정한 실험실 환경에서 레이저 결함 주입(Laser Fault Injection) 유형의 공격을 성공적으로 수행하여, 펌웨어 서명 검증을 우회하는 데 성공했다고 Tropic Square에 통보했습니다.
이 발견을 바탕으로, Tropic Square의 엔지니어 팀은 TROPIC01 칩의 PIN 기능과 관련된 또 다른 비밀을 추출할 수 있는, 취약점을 악용하는 추가적인 복잡한 방법을 찾아냈습니다. Trezor를 포함한 모든 파트너가 통보를 받았으며, 이 취약점은 조율된 방식으로 공개되었습니다.
제한적인 영향: Trezor Safe 7의 다중 보안 계층
이 취약점은 Trezor Safe 7의 세 가지 물리적·독립적 보안 계층 중 하나인 TROPIC01 칩에만 영향을 미칩니다. TROPIC01만이 손상되었다고 해서, 사용자 자금을 보호하는 마지막 방어선인 PIN에 접근할 수 있는 것은 아닙니다. 또한 개인 키와 지갑 백업은 TROPIC01 칩에 저장되지 않고 여러 구성 요소에 분산되어 있어, 단일 실패 지점을 제거합니다.
설명된 공격을 수행하려면 기기에 대한 물리적 접근, 특수한 실험실 장비, 그리고 고도의 전문 지식이 필요합니다. 이 취약점이 실제로 악용되었다는 증거는 없으며, Trezor Safe 7은 단 한 번도 침해된 적이 없습니다.
Trezor Safe 7 사용자에게 의미하는 것
조치 불필요: 보안은 그대로 유지
사용자 입장에서는 이 발견이 실질적인 위험을 초래하지 않으며, 어떠한 조치도 요구되지 않습니다. 취약점은 하드웨어 수준에 존재하며, 원격 펌웨어 업데이트로 해결할 수 없습니다. 그러나 바로 이 계층형 설계 덕분에, 단일 칩의 결함이 전체 보안을 훼손하지 못합니다.
현실 세계의 위협 환경에서, 피싱은 여전히 자산을 스스로 보관하는 사용자에게 가장 큰 위협으로 남아 있습니다. 물리적 접근과 고급 장비가 필요한 취약점은 대부분의 사용자에게 실질적인 위험이 되지 않습니다.
Trezor CEO 마테이 자크(Matej Žák)의 발언
Trezor의 CEO인 마테이 자크(Matej Žák)는 TROPIC01 — 오픈 소스이자 검증 가능한 칩 — 을 통합하기로 한 결정이 최대한의 투명성과 보안을 보장하기 위한 선택이었다고 강조했습니다. 이 기기는 여러 개의 독립적인 보안 계층을 갖추도록 설계되어, 어떤 구성 요소도 치명적인 취약점의 단일 지점이 되지 않도록 했습니다.
자크는 조율된 공개와 기업 간 협력이 전체 업계를 강화하는 데 얼마나 중요한지 강조했습니다. 그는 “사용자의 PIN, 백업, 자금의 키는 결코 단일 칩에만 의존하지 않습니다. 이는 의도적이고 투명한 설계의 결과입니다.”라고 밝혔습니다.
Trezor가 투명성을 선택하는 이유
오픈 소스 보안 모델
Trezor가 이번 공개를 선택한 이유는 자금이 위험에 처했기 때문이 아니라, 투명성에 기반한 보안 모델을 촉진하기 위해서입니다. 회사는 보안이 은폐에서 비롯된다는 생각을 거부합니다. 폐쇄형 시스템과 NDA로 보호되는 칩은 불투명한 설계 뒤에 위험을 숨기며, 사용자가 직접 검증할 수 없는 것에 맹목적으로 의존하도록 만듭니다.
투명성은 사용자가 자신의 기기가 실제로 어떤 보안 상태에 있는지 알고 이해할 수 있게 해 줍니다. 취약점을 찾아 공개하는 일은 브랜드 입장에서 불편할 수 있지만, 바로 그것이 생태계를 더 견고하고 신뢰할 수 있게 만듭니다.
보안의 진화: 공동의 책임
보안은 기술과 함께 진화합니다. 이에 발맞추는 유일한 방법은 발견 사항을 커뮤니티와 공개적으로 공유하는 것입니다. 오늘의 공개는 이러한 관점에서 이루어진 것으로, 순전히 이론적인 위험일지라도 누구나 이를 알고 평가할 수 있도록 합니다.
더 자세히 알고 싶은 분들을 위해, 전체 기술 자문(technical advisory)은 Tropic Square 블로그에서 확인할 수 있습니다.
Trezor: 셀프 커스터디의 개척자
2013년에 설립된 Trezor는 하드웨어 지갑 개념을 처음으로 고안했으며, 오늘날에는 전 세계 200만 명이 넘는 사용자를 보유한 셀프 커스터디 분야에서 가장 신뢰받는 이름입니다. 회사는 사용자가 자신의 디지털 자산을 완전히 통제할 수 있도록 하는 오픈 소스 보안 도구를 개발하고 있습니다. Trezor Safe 7은 최고 수준의 보호와 투명성을 제공하도록 설계된 회사의 대표 제품입니다.
—
요약하자면, TROPIC01 칩의 취약점은 기술적으로 의미가 있음에도 불구하고, Trezor Safe 7 사용자 자금의 보안을 훼손하지 않습니다. Trezor와 Tropic Square가 채택한 투명하고 협력적인 접근 방식은 디지털 보안 산업 전체에 모범이 되는 모델입니다.
