최근 미디어텍의 디멘시티 7300 칩셋에서 심각한 보안 취약점이 발견되어, 안드로이드 스마트폰 사용자의 암호화폐 지갑에 대한 보안 신뢰가 크게 흔들리고 있다. 이 취약점은 공격자가 물리적으로 스마트폰에 접근해 USB 케이블을 연결함으로써, 단 1분 내에 암호화폐 지갑의 PIN 번호와 시드 문구를 탈취할 수 있는 위험을 내포하고 있다.

이 취약점은 약 25%의 전 세계 안드로이드 기기에 탑재된 디멘시티 7300 칩에서 발생하며, 안전하지 않은 하드웨어 구조가 문제로 지적되고 있다. 보안 기업 레저(Ledger)의 연구팀은 이 취약점을 하드웨어 레벨에서 발견하고, 이로 인해 모바일 지갑 사용자들의 불안감이 급증하고 있음을 알렸다. 특히 솔라나 스마트폰인 '솔라나 시커(Solana Seeker)'와 같은 장치에서도 해당 칩이 사용되고 있어, 암호화폐를 보유한 사용자들에게 더욱 불안 요소가 되고 있다.

이번 취약점의 핵심은 '부트 ROM'이라는 초기 부팅 코드에서 발생한다. 이는 제조 과정에서 영구적으로 기록되며, 이 후 운영체제가 부팅되기 전에 먼저 실행된다. 한 번 기록된 부트 ROM은 소프트웨어 업데이트를 통해 수정할 수 없기 때문에, 기존의 보안 소프트웨어로도 방어가 불가능하다. 연구팀에 따르면, 이 취약점을 악용하는 공격자는 스마트폰이 시작되는 순간을 노려 정밀한 전압 조정과 전자기 펄스를 통해 보안 검증 단계를 우회할 수 있는 '글리치(glitch) 공격'을 실행했다.

이 공격이 성공하면, ARM 아키텍처의 최상위 권한인 'EL3'에 접근하게 되어 스마트폰의 보안 영역까지 전면적으로 통제할 수 있게 된다. 연구팀은 실험 중에 약 1초 간격으로 시도하며 결국 데이터 파티션을 오프라인에서 복호화하는 데 성공, 암호화폐 지갑의 개인키 바우처 및 민감 정보가 유출될 가능성을 확인했다.

이러한 취약점은 이미 생산된 기기에서 완전하게 제거할 방법이 없다는 점에서 더욱 심각하다. 미디어텍은 이 문제를 2025년 5월에 확인했지만, 물리적 접근이 필요한 공격은 일반적인 보안 모델에서 주요 위협으로 간주되지 않는다는 태도를 보이고 있다. 그러나 암호화폐 자산을 모바일 스마트폰에 직접 보관하는 사용자가 증가하고 있는 만큼, 이러한 대응은 실질적인 리스크를 해결하지 못한다는 비판이 제기되고 있다.

2024년도 블록체인 보안 통계에 따르면, 암호화폐 도난 사건은 약 34억1000만 달러에 달하며, 그 중 44%는 개인 지갑을 겨냥한 공격이었다. 이러한 수치는 2022년의 7.3% 비율과 대조적으로, 개인 자산 보호의 필요성이 날로 증가하고 있음을 보여준다.

레저의 최고 기술 책임자는 “스마트폰은 본래 안전한 금고로 설계되지 않았다”며, 대규모 암호화폐 자산을 보유하고 있다면, 모바일 지갑보다는 전용 하드웨어 지갑을 사용하는 것이 현명하다고 강조했다. 구글과 보안 업계는 2026년 3월 안드로이드 보안 업데이트에 소프트웨어적인 완화 조치를 포함할 계획이지만, 하드웨어 결함은 여전히 남아 있어, 모바일 기반 암호화폐 보관 모델의 신뢰성에 대한 논란은 지속될 것이라는 전망이다.