이메일: 2017년 8월 16일. 7.4 BTC = 32,390달러
이제는 잊어버린 핀 번호가 이명이 되어 들릴 지경이다. 모든 소리의 배경이 되고, 무시하기도 어렵고, 귀찮아 죽을 지경이 됐다. 머리가 이상해져 버린 걸까? 20대나 30대였다면 핀 번호를 기억해 낼 수 있었을까? 트레조의 제조업체인 사토시 랩스에서 보내온 이메일을 보자 나 자신에게 미안 마음까지 들었다.
“트레조 펌웨어 보안 업데이트 1.5.2”라는 제목이었다.
이메일에 따르면, 이 업데이트는 “1.5.2 이전의 펌웨어 버전이 설치된 모든 장치에 영향을 미치는 보안 문제”를 수정하기 위한 것이었다:
침입자들이 이 문제를 악용하려면, 장치에 침입해야 할 것이며, 프로세스의 케이스를 파괴해야 합니다. 또한 특수 제작된 펌웨어로 장치를 플래싱해야 합니다. 장치가 손상되지만 않으면, 시드는 안전하므로 가능한 한 빨리 펌웨어를 1.5.2 버전으로 업데이트해야 합니다. 펌웨어 1.5.2 버전을 사용하면 그런 공격 경로가 제거되고 장치가 안전하게 유지될 것입니다.
트레조의 방탄 보안에 취약성이 있다면, 그것을 활용할 수 있지 않을까? 나는 r/TREZOR에 들어가 사람들이 어떤 말을 하고 있는지 알아보았다. 첫 번째 찾은 것은 이메일에 언급된 악용 사례를 이용해 트레조의 해킹 방법을 알고 있다고 말한 사람의 미디엄 포스트 링크였다. 이 포스트의 제목은 “트레조 - 보안 결함으로 인 개인 키 노출!”이었다.
저자는 포스트에 해체된 트레조 사진과 24개의 핵심 단어 및 핀 번호가 담긴 모니터 스크린숏이 담아놨다. 또한 주문형 트레조 펌웨어에 대한 링크를 포함시켰지만, 사용 방법은 설명하지 않았다. 포스트를 두 번 읽고 난 후에야 저자의 이름이 “Doshay Zero404Cool”란 것을 알았다. 5개월 전 래딧에서 대화를 나눴던 그 사람이었다! 예전 zero404cool이 보내온 메시지를 보려고 들어갔더니, 마지막 대화를 나누고 2달 후에 또 다른 메시지가 도착해 있었다:
안녕하세요, 핀 번호를 알아내셨나요? 그렇지 않다면, 트레조 안에 든 비트코인이 작은 금액인가 보네요. 그렇다면 복구할 가치도 거의 없겠죠. 현재 가격으로 비트코인을 회수하게 되면 50/50으로 나눠야 할 것입니다.
zero404cool의 제안을 받아들일까 생각하다가, “The Internet of Money”의 저자 안드레아스 M. 안토노포울로스(Andreas M. Antonopoulos)라는 비트코인 전문가에게 먼저 연락해보기로 했다. 연구소에서 안드레아스를 몇 차례 인터뷰한 적이 있었기 때문이다. 그는 비트코인 세계에서 아주 존경받는 보안 컨설턴트였다.
그는 내가 만난 누구보다도 비트코인에 대해 잘 알고 있었다. 8월 20일 그에게 이메일을 보내, 트레조 안에 갇혀 있는 3만 달러 상당의 비트코인에 접근할 수 없는 상황을 설명했다. 트레조의 보안 취약성으로 비트코인을 회수할 수 있는지도 물었다.
“글에 적혀 있는 트레조의 보안 취약성은 실제로 사실이며, 아직 1.5.2 버전으로 업데이트를 하지 않았다면, 이를 통해 비트코인을 회수할 수 있습니다.”
업데이트를 하지 않았던 게 행운이라고 생각했다. 왜냐하면 업데이트한 펌웨어를 다시 다운그레이드 하면 스토리지가 삭제되어 시드 단어와 핀 번호가 영구히 지워지기 때문이었다.
안드레아스는 계속해서 “트레조 및 관련 소프트웨어에 꿰고 있는 10대 “코딩 전문가”를 안다.”라고 알려주었다. 15세 아이로 이름이 살림 라시드(Saleem Rashid)였다. 영국에 살고 있었다. 안드레아스는 한 번도 그 아이를 만나본 적은 없지만, 슬랙에서 여러 번 메시지를 주고 받았다고 말했다. 트레조의 제조업체인 사토시 랩스도 살림 대해 알고 있었고, 실험할 몇 가지 개발용 트레조를 제공해 주었다고 했다. 안드레아스는 텔레그램 앱을 통해 살림과 채팅해 보라고 했다.
몇 분 후 안드레아스가 살림을 소개했다.
“마크는 꽉 닫혀버린 트레저의 주인으로 기적을 바라고 있습니다.”
안드레아스는 계획에 대해 이렇게 설명했다: 살림이 내 것과 같은 펌웨어로 트레조 하나를 초기화한 후, 완벽해질 때까지 복구 해킹을 연습한 다음, 텔레그램을 통해 활용 프로그램을 내게 보낸다. 나는 트레조를 하나 더 사서 살림의 프로그램을 익숙해질 때까지 설치해 실행하는 연습을 한다. 그런 다음 (내 7.4 비트코인이 담긴) “기존 트레조에서 실행”한다.
하지만 안드레아스는 우리가 작업을 진행하기에 앞서 “기대와 비용에 대해 분명히 해 두는 게 좋겠습니다. 성공의 가능성뿐만 아니라 실패의 가능성(더 높다)에 대해서 말입니다.”라고 말했다.
나는 살림에게 내가 해야 할 일에 대해 단계별로 동영상을 보내 달라고 했다. 선불로 0.05 비트코인(200달러)을 먼저 주고, 비트코인을 다시 찾게 되면 0.2 비트코인(800달러)를 주겠노라고 했다. 살림이 동의했다. ‘만일 작업에 예상보다 더 많이 소요되면, 알려 달라. 그러면 그에 따른 비용을 추가로 지급하겠다.’라고 덧붙였다.
아마존에서 두 번째 트레조를 주문했다. 그동안 살림은 오픈 소스 운영 체제인 ‘Ubuntu Linux’가 필요하다고 했다. 구형 맥북 에어에 설치했다.
(…. 계속)
<출처: Wired, “‘I FORGOT MY PIN’: AN EPIC TALE OF LOSING $30,000 IN BITCOIN”>
This page is synchronized from the post: ‘3만 달러어치의 비트코인을 잃어버린 슬픈 이야기 (5)’