코이노미(Coinomi)가 해당 지갑의 보안 취약점이 한 사용자에 의해 발견되었으며, 이에 대해 개발자들의 협박 시도가 있었다고 전했다.

 

 

다중 코인 다중 플랫폼 암호화폐 지갑인 코이노미가 구글 스펠링 체크 API와 관련하여 보안 시드를 유출하는 보안 취약점으로 어려움을 겪은 것으로 보도되었다. 이 취약점은 이후 패치 되었으며, 이 취약점은 해당 지갑의 데스크톱 버전이 이전의 기존 시드로부터 복원하는 경우에만 영향을 주었다고 한다. 암호화폐 보안 연구가인 Warith Al Maawali는 이달 초에 있었던 이 취약점으로 인해 자금 손실이 있다고 주장하였으며, 며칠이 지나 보안 연구원인 Luke Childs가 이 내용을 공개적으로 밝혔다.

 

코이노미는 이번 취약점에 대한 공식 성명서를 발표하여 취약점의 세부 사항과 범위를 명확히 밝혔다. 또한, 코이노미는 Maawali가 17비트코인을 요구하였으며 이로써 자금이 손실되었다는 그의 주장에 의혹을 던졌다.

 

“최근 며칠간 Warith Al Maawali가 그의 연구 결과를 우리에게 전달하는 것을 계속해서 거부하면서 만일 우리가 17 BTC를 그에게 곧바로 지불하지 않으면 이를 대중에 공개하겠다고 협박했습니다. 그는 이 17 BTC가 해킹으로 도난된 자금(Warith Al Maawali에 따르면 구글에 의한 도난)을 메우는 데 사용될 것이라고 전했으며, 여전히 그의 통제 하에 있으며 (실제로는) 해킹 당하지 않았을 가능성이 있습니다…”

 

이 포스트의 말미에 코이노미는 Maawali의 메시지를 그들에 대한 협박의 시도로 명확히 분류하였다:

 

“앞으로 우리는 협박범들과 협상하지 않을 것이며, 우리는 우리가 지난 5년간 밤낮으로 서비스 제공에 노력해왔던 암호화폐 커뮤니티에 대해 완전히 개방적이고 투명하다는 점을 알아주시기 바랍니다.“

 

코이노미와 보안 연구가들 사이의 불편한 역사

 

코이노미는 과거에도 보안 연구원들과 마찰을 빚은 바 있으며, 가장 최신 취약점 문제와 관련된 동일한 인물들과의 사이에서 있었던 2017년의 마찰이 가장 큰 이목을 끌었다. 이후, 취약점으로 인하여 지갑의 공개 주소가 일반 텍스트 형식으로 유출되었다. 이에 대해 Childs는 해당 문제를 공개하기 일 주일 전 GitHub을 통해 코이노미에 해당 문제에 대한 해결책을 내놓을 것을 강하게 밀어붙였다. 해당 취약점이 발생한 결과 사용자들이 ‘당신의 FUD 때문에 안전하지 않은 상황에 처하게 되었다’는 것이다. 코이노미는 첫 번째 사건을 언급하며 최신의 취약점의 공개에 대한 그의 관여를 지목하였다:

 

“오늘처럼, 2017년에도 Luke Childs와 Jonathan Sterling은 그들의 조사 결과에 관해 우리가 이를 확인하기도 전에 공개하는 무책임한 행동을 한 바 있습니다(이들은 우리 지원 팀에 어떠한 요청도 하지 않았습니다. 당시 지원 팀을 통한 티켓 오픈은 우리와 연락을 취하기 위한 유일한 공식적인 방법이었습니다). 만일 그들의 보안에 관한 주장이 사실이었다면, 이는 코이노미 사용자들의 자금을 위험에 빠트릴 수 있었습니다.”

 

코이노미는 보안 연구원들에 관한 강력한 메시지와 함께 비판을 마쳤다:

 

“관련 문제에 대한 사항들이 종식된 후에 우리는 자신의 주장을 펼치느라 일반 대중의 안전을 소홀히 하며 무책임하게 행동한 이들의 이름을 기억해야 할 것입니다.”

 

코이노미, 커뮤니티의 참여와 버그 바운티로 보안을 강화하기 위해 끊임없이 노력하다

 

기술적 환경이 끊임없이 변화하고 있는 상황에서, 보안과 관련된 문제는 잠재적 위협의 끊임없이 진화하는 풍경 속에서 암호화폐의 최전선에 있다. 강력한 개발자 커뮤니티뿐만 아니라 보안 연구원들과의 강력한 관계는 보안 프로젝트를 강화하는 데 도움이 될 수 있다. 또한 대시의 버그크라우드(Bugcrowd) 프로그램과 같은 버그 바운티 프로그램은 연구원들이 시간과 자원을 투입하여 문제점을 발견하도록 하기 위한 구체적 인센티브를 제공하며, 이로써 연구원들이 그들이 발견한 문제점을 고발함으로써 수익을 얻으려는 협박 행위를 완화할 수 있다.