Edgen Crypto·Oct 14 2025, 14:38최근 발견된 '픽스내핑(Pixnapping)'이라는 안드로이드 취약점은 화면의 시각 정보를 재구성할 수 있어, 시드 문구 및 2FA 코드와 같은 민감한 정보를 노출하여 암호화폐 지갑 보안에 심각한 위협이 됩니다.
'픽스내핑(Pixnapping)'이라는 새로운 안드로이드 취약점이 확인되었으며, 암호화폐 지갑 복구 문구 및 2단계 인증(2FA) 코드의 보안에 상당한 위험을 초래합니다. 이 결함은 악성 애플리케이션이 민감한 화면 정보를 재구성할 수 있도록 하여 모바일 암호화폐 사용자에게 직접적인 영향을 미칩니다. 이 취약점은 구글 픽셀 및 삼성 갤럭시 모델을 포함한 다양한 안드로이드 기기에 영향을 미치며, 구글의 초기 패치 노력에도 불구하고 지속되고 있습니다.
연구원들은 안드로이드 애플리케이션 프로그래밍 인터페이스(API)를 활용하여 다른 애플리케이션이 표시하는 콘텐츠에 접근하고 재구성하는 '픽스내핑' 공격을 발견했습니다. 이 방법은 공격자가 제어하는 반투명 오버레이 내의 특정 픽셀 색상을 조작하여 악성 소프트웨어가 시간이 지남에 따라 화면상의 비밀을 추론하고 재구성할 수 있도록 합니다. 이 기술은 기존 브라우저 완화 조치를 우회하고 비브라우저 애플리케이션을 손상시킬 수 있어, 암호화폐 지갑 복구 문구 및 2FA 코드와 같은 매우 민감한 데이터를 취약하게 만듭니다. 복구 문구는 화면에 장시간 노출되기 때문에 특히 취약합니다. 구글이 애플리케이션이 동시에 흐리게 처리할 수 있는 활동 수를 제한하는 패치를 구현했지만, 연구원들은 이후 해결책을 발견하여 취약점이 지속되고 있음을 나타냅니다. 10월 13일 현재, 구글과 삼성 간의 공개 및 완화 일정 조정이 진행 중이며, 구글은 이 문제를 심각도가 높은 것으로 분류하고 버그 현상금 지급을 계획하고 있습니다.
'픽스내핑' 취약점의 지속은 모바일 암호화폐 사용자에게 불확실하고 잠재적으로 약세적인 심리를 조성합니다. 안드로이드 기기에서 시드 문구 및 2FA 코드에 대한 직접적인 위협은 사용자들이 온디바이스 암호화폐 거래에 대해 더 신중해지도록 만들 수 있습니다. 이러한 상황은 디지털 자산을 보호하려는 사용자들 사이에서 하드웨어 지갑과 같은 보다 안전한 저장 방법의 채택을 가속화할 수 있습니다. 더 넓은 Web3 생태계의 경우, 이 사건은 강력한 운영 체제 수준 보안의 중요성을 강조하며, 안전한 모바일 환경의 혁신을 촉진하고 모바일 중심 암호화폐 솔루션에 대한 투자자 심리에 영향을 미칠 수 있습니다.
'픽스내핑'으로 인한 위험을 완화하기 위해 전문가들은 사용자가 안드로이드 기기에 복구 문구 또는 기타 민감한 정보를 직접 표시하는 것을 피할 것을 강력히 권장합니다. 위협 연구원인 Vladimir S는 하드웨어 지갑이 제공하는 뛰어난 보안을 강조했습니다. 그는 스마트폰 기반 솔루션에 의존하는 것보다 하드웨어 지갑을 사용하는 것이 암호화폐 자산을 보호하는 더 안전한 대안이라고 밝혔습니다.
하드웨어 지갑은 개인 키를 특수하고 인터넷에서 격리된 칩 내에 격리함으로써 암호화폐 보안을 크게 향상시킵니다. 온라인에서 작동하며 맬웨어 또는 운영 체제 취약점에 취약한 소프트웨어 기반(핫) 지갑과 달리, 하드웨어 지갑은 모든 거래에 물리적 인증이 필요합니다. 연결된 장치로부터의 이러한 격리는 컴퓨터 또는 스마트폰이 손상되더라도 개인 키가 안전하게 유지됨을 의미합니다. 온보드 버튼 및 디스플레이 화면을 포함하는 물리적 확인 메커니즘은 무단 액세스, 피싱 시도 및 원격 공격에 대한 중요한 방어 계층을 제공합니다. 이 방법은 분산 금융의 핵심 원칙에 부합하며 진화하는 디지털 위협에 대한 강력한 보호를 제공하는 완전한 자기 보관 및 사용자 제어를 보장합니다.