레저 안드로이드 결함, 웹3 지갑 위험 노출

요약

**레저(Ledger)**의 연구에 따르면 안드로이드 스마트폰에서 물리적 공격자가 장치를 완전히 제어할 수 있는 치명적인 하드웨어 취약점이 발견되었습니다. 이 결함은 스마트폰 기반 웹3 지갑에 보관된 자금의 보안에 직접적이고 중대한 위협을 가합니다. 이 발견은 미국 사이버 보안 및 인프라 보안국(CISA)이 플래그 지정한 다른 안드로이드 취약점의 적극적인 악용을 포함한 최근의 보안 공개로 인해 이미 불안정한 시장에 나타났으며, 디지털 자산을 위한 안전한 플랫폼으로서 모바일 장치의 타당성에 대한 우려를 증폭시킵니다.

상세 내용

이 취약점은 불특정 범위의 안드로이드 장치 칩셋에 위치하며, 물리적으로 휴대폰을 소유한 공격자가 장치를 완전히 장악할 수 있도록 합니다. **레저(Ledger)**의 보안 연구팀에 따르면, 이러한 수준의 접근은 소프트웨어 기반 웹3 지갑에 저장된 개인 키를 포함한 민감한 데이터의 추출을 가능하게 할 것입니다.

이 문제는 **구글(Google)**과 CISA의 별도 경고로 더욱 복잡해집니다. **구글(Google)**은 다른 두 가지 치명적인 취약점인 CVE-2025-48633과 CVE-2025-48572가 "제한적이고 표적화된 악용" 상태에 있음을 확인했습니다. 이러한 결함은 원격 서비스 거부를 초래할 수 있습니다. 이에 따라 CISA는 연방 기관에 영향을 받는 장치를 패치하거나 폐기하도록 지시했으며, 이는 모든 사용자에게 강력한 권고입니다. 삼성(Samsung) 또한 자사 장치에서 추가적인 치명적 취약점을 인정하여 안드로이드 생태계 내 보안 위험의 만연한 특성을 더욱 강조했습니다.

시장 영향

이러한 폭로는 금융 애플리케이션, 특히 웹3 공간에서 모바일 장치에 대한 신뢰에 직접적인 도전을 제기합니다. 분산 금융(DeFi) 및 NFT 시장의 상당 부분은 모바일 지갑의 편리성에 의존합니다. 이 취약점은 사용자가 "핫" 모바일 지갑에서 하드웨어 지갑과 같은 더 안전한 "콜드" 저장 솔루션으로 자산을 마이그레이션하는 "안전으로의 도피"를 유발할 수 있습니다. 이 소식은 모바일 우선 사용자 경험에 크게 의존하는 플랫폼 및 애플리케이션에 하락 압력을 가할 가능성이 높습니다. 왜냐하면 이는 최종 사용자에게 상당한 마찰과 보안 관련 의구심을 유발하기 때문입니다.

전문가 의견

**레저(Ledger)**의 발견에 대한 직접적인 의견은 아직 공개되지 않았지만, 유사한 최근의 심각한 취약점에 대한 전문가들의 반응은 상황의 심각성을 보여줍니다. 최근의 치명적인 리액트(React) 결함에 대해 watchTowr의 CEO인 **벤 해리스(Ben Harris)**는 "공격자들이 이 취약점을 곧 악용하기 시작할 것으로 예상해야 합니다"라고 말했습니다.

**래피드7(Rapid7)**의 수석 연구원 **스티븐 퓨어(Stephen Fewer)**는 이러한 결함이 무기화되는 속도에 대한 배경 정보를 덧붙였습니다.

"기술적인 세부 정보와 익스플로잇 코드가 공개될 가능성이 높으므로, 익스플로잇은 곧 발생할 가능성이 높습니다. 따라서 이 취약점을 즉시 패치하는 것이 중요합니다."

이러한 정서는 제로데이 결함과 관련된 고위험 환경과 광범위한 공격이 시작되기 전에 조직과 사용자가 대응해야 하는 좁은 시간을 반영합니다.

광범위한 맥락

이 안드로이드 칩 결함은 고립된 사건이 아니라 기초 기술 구성 요소에서 발견되는 광범위한 취약점 추세의 일부입니다. **리액트(React)**와 같은 널리 사용되는 소프트웨어 라이브러리 및 **오픈AI(OpenAI)의 코덱스 CLI(Codex CLI)**와 같은 개발자 도구에서 최근 발견된 치명적인 결함은 공급망 위험의 시스템적 문제를 강조합니다. 이러한 사건들은 디지털 자산의 공격 표면이 사용자가 암묵적으로 신뢰하는 하드웨어 및 소프트웨어 스택 깊숙이 확장됨을 보여줍니다. 웹3 생태계의 경우, 이는 보안이 다층적인 문제이며 소비자용 스마트폰과 같은 단일 실패 지점에 의존하는 것이 자산 보유자에게 중대한 전략적 위험을 나타낸다는 원칙을 강화합니다.