2026년 6월 초, 하드웨어 지갑 업계에서 가장 주목받는 기업이 최대 경쟁사의 연구소로부터 공격을 받았습니다. 그 결과는 실험실 수준의 칩 익스플로잇이 실제로 어디까지 도달할 수 있는지를 드러내는 드문 공개 사례가 되었습니다.
Ledger Donjon이 칩에 실제로 한 일
Ledger의 사내 연구팀 Donjon은 보정된 1064 nm 레이저를 사용해 Trezor의 TROPIC01 보안 요소를 디캡슐화하고, 부팅 및 업데이트 경로에서 펌웨어 서명 검증을 무력화했습니다. 비인가 코드 실행을 증명하기 위해 Donjon은 장치 식별 응답에서 칩이 "HACK"이라는 문자열을 반환하도록 강제했습니다 . 이는 침습적인 물리적 공격으로, 실험실에서만 가능한 방법이며 원격 또는 소프트웨어 익스플로잇이 아닙니다.
한줄 요약: Ledger의 Donjon 팀은 1064 nm 레이저로 Trezor Safe 7의 TROPIC01 칩을 디캡슐화하고 펌웨어 검증을 우회해 칩 비밀의 일부를 추출했습니다. 이 공격은 물리적 접근과 전문 실험 장비를 필요로 하며, Trezor는 사용자 자금·키·PIN이 위험에 처한 적이 없다고 밝혔습니다.
공개 일정은 계획적이었습니다. Donjon은 2026년 1월 말, TROPIC01을 설계한 Trezor의 자매 회사 Tropic Square에 레이저 결함 주입 공격을 공식 통보했으며, 조율된 공개 발표는 2026년 6월 3일 게시됐습니다 . 애초에 Tropic Square가 독립 감사를 위해 Donjon에 칩 샘플을 직접 제공한 것이었습니다.
초기 경보 이후, Tropic Square의 자체 분석에서 두 번째로 더 복잡한 경로가 발견됐습니다. 이는 MAC-and-Destroy를 타깃으로 합니다. MAC-and-Destroy는 TROPIC01의 카운터 없는 롤백 불가 PIN 검증 경계로, 각 시도가 저장된 해시를 확인하거나 재시도 카운터를 초기화하는 대신 하드웨어 상태를 비가역적으로 소모하는 방식입니다 . 이 후속 발견은 주목할 만합니다. 무차별 대입 공격 및 롤백 저항성에 대한 핵심 주장에 의문을 제기하기 때문입니다.
기술 기록을 추적하는 독자들을 위한 주의사항: CVE 식별자가 아직 부여되지 않았으며, Donjon의 전체 기술 문서도 공개되지 않았습니다. 강화된 실리콘이 출시될 때까지 세부 정보는 공개가 보류됩니다 . 현재로서는 공개된 내용이 독립적으로 재현 가능한 익스플로잇 코드가 아닌 Trezor와 Tropic Square의 영향 평가에 근거합니다.
Trezor가 자금은 여전히 안전하다고 말하는 이유 — 그리고 아키텍처가 중요한 이유
Trezor의 핵심 주장은 TROPIC01만 공략해서는 지갑을 열 수 없다는 것입니다. Safe 7의 어떤 단일 칩도 완전한 비밀을 보유하지 않기 때문입니다. 장치는 세 가지 독립 구성 요소에 신뢰를 분산시켜 개인 키, 지갑 백업, PIN 자체가 Donjon이 공격한 칩에 저장되지 않습니다 . 공격자는 모든 레이어를 동시에 무력화해야 합니다.
2025년 10월 21일 출시된 Safe 7에서 이 세 레이어는 각각 고유한 역할을 합니다 :
| 구성 요소 | 지갑에서의 역할 |
|---|---|
| TROPIC01 (오픈 보안 요소) | PIN 적용, 장치 인증, 지갑 생성을 위한 엔트로피 |
| Infineon OPTIGA Trust M | TROPIC01의 출력을 검증하고 최종 비밀 조각을 추가하는 두 번째 보안 요소 |
| STM32U5G 메인 MCU | 임시 복호화 키를 조합하는 160 MHz ARM Cortex-M33 |
PIN 흐름은 다자 간 연산으로 작동합니다. TROPIC01은 일회용 하드웨어 슬롯을 소모하고 변환된 값을 제공하며, OPTIGA는 그 값을 검증하고 자체 비밀 조각을 추가합니다. 그런 다음에야 MCU가 지갑을 복호화하는 임시 키를 조합합니다 . 이 키는 휘발성 메모리에 잠시만 존재하며, 어떤 단일 구성 요소에도 통째로 저장되지 않습니다.
위협 모델 역시 순전히 물리적입니다. CoinDesk에 따르면, 익스플로잇을 수행하려면 물리적 접근, 분해 및 납땜 제거, 칩 뒷면 디캡슐화, 커스텀 보드 연결, 그리고 전문 운용자와 고가의 레이저 결함 주입 장비가 필요합니다. Trezor는 이 문제가 원격으로 악용될 수 없고, 지속적인 악성 펌웨어를 탑재한 장치를 대량 생산하는 것도 불가능하며, 고객 조치가 필요하지 않다고 밝혔습니다 .
"TROPIC01의 취약점은 사용자 자금을 위험에 빠뜨리지 않습니다," — Trezor CEO Matej Žák (source: CoinDesk).
심층 방어 설계가 핵심입니다. 단일 칩이 침해되더라도 해당 칩의 비밀 일부가 누출될 뿐, 지갑 전체는 아닙니다. 그렇기 때문에 The Block은 Trezor의 사용자 대상 안내가 여전히 Safe 7 소유자에게 아무런 조치도 필요하지 않다고 전하고 있다고 밝혔습니다.
다음 단계: 수정 일정과 동종(Donjon) 패턴
이 결함은 실리콘 자체에 존재하기 때문에, 이미 고객 손에 들어간 기기에서 펌웨어만으로는 완전한 패치가 불가능합니다. Trezor는 완전한 수정을 위해 새 하드웨어가 필요하다고 밝혔습니다. Tropic Square는 강화된 TROPIC01 개정판을 개발 중이며, The Block에 따르면 2026년 말 출시를 목표로 하고, 더 상세한 기술 내용은 2027년 봄에 공개될 예정입니다 .
당장의 대응책으로는, The Block에 따르면 TROPIC01의 MAINTENANCE 모드를 비활성화하면 주요 진입점이 차단되어 공격 난이도가 높아집니다 . 그러나 Trezor가 사용자에게 안내하는 지침은 변함이 없습니다. 공격이 물리적 개입이 필요한 고도의 실험실 수준이며 원격으로는 악용이 불가능하기 때문에, Safe 7 소유자는 별도 조치를 취할 필요가 없다는 것입니다 .
한 발 물러서면 하나의 패턴이 보입니다. Ledger의 Donjon 팀은 1년도 채 안 되는 기간에 경쟁사의 콜드 스토리지 제품 두 개에 대해 실험실 수준의 물리적 공격을 잇달아 공개했습니다.
- Tangem (2025년 9~10월): PIN 실패가 등록되기 전 전원을 차단하는 "테어링 공격(tearing attack)"으로, 약 5,000달러 규모의 장비에서 초당 약 2.5회의 시도가 가능해져 브루트포스 속도가 약 100배 빨라졌으며, 유통 중인 카드에는 패치가 불가능합니다 .
- Trezor TROPIC01 (2026년 6월): 탈캡슐화된 칩에 대한 레이저 결함 주입 공격으로, 물리적 점유, 납땜 제거, 전문 실험 장비가 필요합니다 .
제조사의 대응은 극명하게 갈렸습니다. Tangem은 심각성을 부인하고 버그 바운티를 거부해 공개 과정이 적대적으로 변했습니다. 반면 Trezor는 자사 칩을 해킨 경쟁사에 공을 돌렸습니다.
"이 취약점이 발견되고 검토되어 공개된 개방적인 과정이야말로 업계가 따라야 할 모범이라고 생각합니다." — Trezor CEO Matej Žák (source: CoinDesk).
트레이더들이 얻어야 할 교훈은 이렇습니다. 지금 당장은 아무 조치도 필요하지 않지만, Safe 7 구매자라면 2026년 말에 출시될 강화된 실리콘 배치를 확인한 뒤 이 사안이 완전히 마무리됐다고 판단하는 것이 좋습니다. 더 큰 시사점은 구조적인 문제에 있습니다. 보안 요소를 겨냥한 물리적 침투 공격이 이제 반복되는 감사 현실이 된 만큼, 자산을 안전하게 지키는 것은 단일 칩이 아닌 다층 방어(defense-in-depth)에 달려 있습니다.
최종 업데이트: 2026-06-04. Trezor, Tropic Square 및 2026년 6월 2~3일 공개된 업계 언론 보도를 기준으로 검토.
자주 묻는 질문
TROPIC01 칩 결함으로 내 Trezor Safe 7 자산이 위험해지나요?
아닙니다. Safe 7은 심층 방어(defense-in-depth) 다중 칩 설계를 채택하고 있어, TROPIC01 칩 단독으로는 지갑 비밀 키 전체를 보유하지 않습니다. PIN 처리 흐름은 TROPIC01, Infineon OPTIGA Trust M 보안 요소, 메인 MCU 등 세 개의 독립 구성 요소로 분산되며, 일시적 복호화 키는 휘발성 메모리에서 극히 짧은 시간 동안만 조합될 뿐 어떤 단일 칩에도 통째로 저장되지 않습니다 . 공격자가 실제로 피해를 입히려면 세 계층을 동시에 모두 돌파해야 합니다. Trezor는 또한 이 문제가 원격으로 악용될 수 없으며 실제 악용 사례도 확인되지 않았다고 밝혔습니다 .
레이저 결함 주입(LFI)이란 무엇이며, 실행 난이도는 어느 정도인가요?
레이저 결함 주입은 정밀 조정된 레이저를 사용해 칩 내부 로직을 교란함으로써 보안 검사를 건너뛰게 하거나 보호된 값을 유출시키는 침습적 물리 공격입니다. 이번 사례에서 Ledger의 Donjon 팀은 TROPIC01을 탈캡슐화한 후 1064nm 레이저를 이용해 부팅 경로의 펌웨어 서명 검증을 무력화했습니다 . 이는 실험실 공격이지, 거리에서 벌어지는 공격이 아닙니다. 기기를 물리적으로 입수한 뒤 분해 및 납땜 제거, 뒷면 탈캡슐화, 맞춤형 연결 보드, 고가의 특수 레이저 장비, 그리고 전문 지식이 모두 필요합니다 .
Trezor는 Safe 7을 위한 펌웨어 수정을 출시할 예정인가요?
완전한 수정은 어렵습니다. 이번 결함은 하드웨어 수준의 문제이기 때문에, Trezor는 기존 기기에 대해 펌웨어만으로 완전한 원격 패치가 불가능하다고 밝혔습니다. 대신 Tropic Square는 2026년 말을 목표로 강화된 TROPIC01 실리콘 개정판을 준비 중이며, 더 자세한 기술 세부 사항은 2027년 봄에 공개될 예정입니다 . 현재 Trezor의 사용자 안내에 따르면 Safe 7 소유자는 별도 조치를 취할 필요가 없으며, 그 근거로 다중 계층 아키텍처가 당분간 충분한 보호 역할을 한다고 설명하고 있습니다 .
TROPIC01이란 무엇이며, 왜 중요한가요?
TROPIC01은 소비자용 하드웨어 지갑에 탑재된 최초의 완전 공개·감사 가능한 보안 요소입니다. 오픈 RISC-V 컨트롤러 코어와 맞춤형 암호화 보조 프로세서, 하드웨어 신뢰 루트를 기반으로 구축되었으며, 소스 코드가 누구나 검토할 수 있도록 공개되어 있습니다 . 대부분의 하드웨어 지갑 보안 요소가 외부에서 들여다볼 수 없는 독점 블랙박스라는 점에서 이는 매우 중요한 의미를 갖습니다. Trezor는 이번 공개를 오픈 모델의 타당성을 입증하는 사례로 규정했으며, CEO Matej Žák은 결함이 발견되고 공개된 이 과정이 "업계 전체가 지향해야 할 모범"이라고 말했습니다 .
이번 사안이 Ledger의 이전 Tangem 공격 공개와 연관이 있나요?
그렇습니다. 이번은 Ledger Donjon이 1년도 채 안 되는 기간 동안 경쟁사 콜드 스토리지 제품에 대해 발표한 두 번째 주요 공개 사례입니다. 2025년 9월~10월, Donjon은 Tangem 카드에 대한 "티어링 공격(tearing attack)"을 공개했는데, 이를 통해 4자리 PIN의 무차별 대입 공격 소요 시간을 약 5일에서 1시간 미만으로 단축할 수 있으며, 사용된 장비의 비용은 약 5,000달러로 추산되었습니다 . 두 사례의 차이점은 대응 방식에 있습니다. Tangem은 심각성에 이의를 제기하고 바운티 지급을 거부한 반면, Trezor는 경쟁사 연구진의 공로를 인정하고 자사의 다중 계층 방어 구조를 강조했습니다 .
