엔진코인 발행기업 엔진은 자사 암호화폐 지갑인 '엔진 스마트 월렛'이 정보보안 전문그룹인 ORU의 해킹 테스트를 통과했다고 29일 밝혔다.
ORU는 크로아티아 자그레브 대학교 조직과 정보과학대 오픈 시스템 보안 연구소 소장 등을 지낸 토니미르 키사손디 박사가 설립한 보안 전문그룹이다. 키사손디 박사는 정보보안과 암호해독학 분야 논문 50편을 발표한 정보보안 전문가이자 암호해독학자다. 지난 9월 크로아티아에서 열린 국제전기전자학회 통신분과(IEEE SoftCOM) 정보보안 심포지엄 위원을 맡기도 했다.
ORU 해킹 테스트는 엔진 지갑 안로드이드 버전과 개발자용 설치 파일인 안드로이드 APK, 엔진지갑에 사용된 백엔드 API를 대상으로 진행됐다. 오픈 웹 어플리케이션 보안 프로젝트인 OWASP의 모바일 및 웹 어플리케이션 보안 위협 항목을 기본으로 사용자 정보 탈취 취약성 부문에 집중 테스트를 진행했다.
해킹 테스트 결과 악성 앱이 엔진 지갑 사용자 정보를 탈취하기 위해 화면을 감시하는 오버레이를 감지 및 방지해 내고, 백업 시 스크린샷을 성공적으로 차단했다. 또 메모리 내 비밀번호와 암호화 키 저장 차단, 암호화된 데이타를 가져오려는 앱 차단 등 사용자 자산을 탈취할 수 있는 모든 경로를 차단하는 높은 보안성을 제공하는 것으로 확인됐다.
키사손디 박사는 보안심사 보고서를 통해 “엔진 지갑 시스템에 저장된 암호키나 지갑을 손상시킬 수 있는 이슈를 발견하지 못했다”고 밝혔다.
엔진 스마트 월렛은 하드웨어 수준의 보안성을 제공하기 위해 미국 국가안보국이 채택한 AES-256 암호기술을 채택했다. 보안 키보드, 스니핑 키로거 등 크래킹 방지 기능도 함께 제공한다. 엔진 지갑은 사용자의 편의성을 위해 간편하게 지문으로 로그인 하는 방식을 도입했을 뿐만 아니라 비트코인, 이더리움을 비롯해 800여종이 넘는 암호화폐를 지원한다.
길재식 금융산업 전문기자 osolgil@etnews.com
