트러스트 월렛의 크롬 확장 프로그램 해킹 사건으로 인해 약 97억 원 상당의 피해가 발생했으며, 피해자들에 대한 보상이 기술적 문제로 인해 지연되고 있다. 지갑 제공업체인 트러스트 월렛은 최근 발생한 크롬 웹스토어의 버그 때문에 확장 프로그램이 일시적으로 삭제된 사실을 전하며, 이로 인해 주요 검증 기능 업데이트가 지연됐다고 밝혔다.
트러스트 월렛의 CEO인 에오윈 첸은 새 버전의 확장 프로그램이 피해자들이 지갑 소유권을 증명하고 보상 청구를 할 수 있도록 돕는 기능을 포함할 예정이었으나, 크롬 웹스토어의 배포 과정에서 오류가 발생해 출시가 중단됐다고 설명했다. 그는 구글이 문제를 인지하고 내부적으로 해결을 위해 노력하고 있다고 덧붙였다. 그러나 사용자들에게는 허위 확장 프로그램에 대해 주의를 당부했다.
이번 기술적 문제는 지난해 12월 말에 발생했던 보안 사고와 관련이 있다. 트러스트 월렛은 12월 25일, 크롬 확장 프로그램의 버전 2.68이 내부 검수 없이 악성 코드가 포함된 상태로 배포되었다고 공식 인정했다. 이 악성 확장은 사용자의 지갑 데이터와 복구 문구를 탈취하여 총 2,520개의 지갑에서 약 850만 달러, 즉 약 122억 6,950만 원 상당의 자산을 빼돌렸다.
트러스트 월렛은 피해를 입은 사용자 범위를 명확히 하였으며, 피해자는 12월 24일부터 26일 사이에 버전 2.68을 설치하고 지갑에 로그인한 사용자로 한정된다. 모바일 앱 사용자나 해당 시기를 벗어난 설치자, 다른 버전의 사용자는 영향을 받지 않았고, 이는 해킹의 피해 범위를 제한하는 데 기여했다.
보안 전문가들은 해당 악성 코드가 정상적인 소프트웨어처럼 위장되어 크롬의 심사를 통과하였으며, 사용자들이 시드 구문을 입력하자마자 즉시 여러 블록체인에서 자산 유출이 발생했다고 경고했다. 이러한 상황은 트러스트 월렛이 지난해 11월에 드러난 공급망 공격 ‘Sha1-Hulud’와 관련이 있다는 점에서 더욱 심각하다. 이 공격은 여러 기업들의 개발 도구가 해킹당해 공격자가 깃허브 보안 정보와 크롬 API 키를 훔쳐 공식 인증 없이 악성 프로그램을 배포할 수 있게 만든 사건이다.
트러스트 월렛은 관련 악성 버전을 제거하고 새 버전 2.69로 롤백했으며, 유출된 배포 권한도 비활성화했다. 이어 12월 29일부터 피해자 지원을 위한 청구 절차를 개시하였고, 사용자는 지갑 주소, 거래 해시, 신원 정보를 공식 지원 포털을 통해 제출해야 했다. 그러나 접수된 청구 건수는 5,000건이 넘지만 실제 피해 지갑 수는 적고 중복 및 허위 청구에 대한 우려가 제기되고 있다. 이에 트러스트 월렛은 다음 업데이트에 추가 검증 기능을 포함할 예정이었으나 크롬 웹스토어의 문제로 계속 지연되고 있는 상황이다.
이번 사건은 암호화폐 지갑 해킹이 얼마나 정교하게 이루어질 수 있는지를 잘 보여주는 사례이며, 최근 분석에 따르면 개인 지갑 해킹 사고 비중이 증가하고 있다는 우려가 커지고 있다. 사용자들은 공식 소스를 통해서만 프로그램을 설치하고, 시드 구문을 온라인 환경이나 확장 프로그램에 입력하지 않아야 한다는 등의 보안 수칙을 철저히 지켜야 한다.
트러스트 월렛 해킹 사건은 단순한 개인의 문제가 아닌 웹3 산업 전체의 공급망 보안 허점을 드러낸 사건으로, 이러한 보상 지연은 사용자들의 신뢰를 심각하게 시험하게 될 것이다. 사용자들은 확장 프로그램을 최소한의 보관 용도로만 사용하고, 대규모 자산은 하드웨어 지갑 등 오프라인 환경에 보관하며, 복구 문구는 안전하게 별도로 저장해야 할 필요성이 더욱 강조되고 있다.
