암호화폐 생태계의 핵심 인프라 구성 요소인 코스모스 네트워크에서 심각한 보안 취약점이 발견되었습니다.
보안 연구원 박도연 씨는 코스모스(ATOM) 합의 계층에 사용되는 CometBFT에서 발견한 “제로데이” 취약점을 공개했습니다.
박 씨가 공유한 정보에 따르면, 해당 취약점은 CVSS 7.1(높음 수준)로 평가되며, 코스모스 생태계의 노드들이 블록 동기화 과정 중에 잠기는 현상을 초래할 수 있습니다. 이는 직접적인 자산 도난으로 이어지지는 않지만, 80억 달러 이상의 자산을 보호하는 네트워크에 심각한 운영 차질을 야기할 수 있는 잠재적 위험으로 간주됩니다.
연구원은 취약점 공개 의무 절차인 CVD(Coordinated Vulnerability Disclosure)를 준수했지만, 관련 개발팀과의 소통 문제 및 협조 부족으로 인해 발견 내용을 공개하기로 결정했다고 밝혔습니다. 박 연구원은 또한 이 과정에서 발생할 수 있는 모든 보안 위험에 대한 책임은 개발팀에 있다고 덧붙였습니다.
이번 발표에 이어 코스모스 검증자를 위한 “생존 가이드”도 공유되었습니다. 이 가이드에 따르면, 노드 운영자는 취약점이 수정될 때까지 가능한 한 시스템을 재시작하지 않는 것이 좋습니다. 이는 해당 취약점이 특히 블록 동기화 단계에서 발생하기 때문입니다. 현재 합의 모드에서 작동 중인 노드는 문제없이 계속 작동할 수 있지만, 재시작된 노드는 악의적인 피어를 만날 경우 잠겨 네트워크에 다시 참여할 수 없게 될 수 있습니다.
박 연구원은 또한 이번 취약점 공개의 배경에 대해 주목할 만한 주장을 제기했습니다. 연구원에 따르면 개발팀은 해당 취약점이 악용될 수 없다고 주장하며 보고서를 깃허브에 공개적으로 공유해 줄 것을 요청했지만, 자세한 설명을 요구하는 것은 거부했습니다. 이에 박 연구원은 해당 취약점이 실제로 악용 가능하다는 것을 보여주는 네트워크 수준의 개념 증명(PoC)을 제공했지만, 그 이후로는 아무런 피드백도 받지 못했다고 밝혔습니다.
반면, 이전에 동일한 영향을 미치는 것으로 알려졌던 취약점(CVE-2025-24371)이 개발팀에 의해 “경미한” 취약점으로 재분류되었다는 주장도 제기되었습니다. 박씨는 이러한 조치가 국제 표준을 정립한 MITRE 및 FIRST 기준에 위배된다고 주장했습니다.
해당 연구원은 HackerOne을 통해 더욱 심각한 취약점을 보고했지만, 기술적 검토 없이 “스팸”으로 처리되었다고 주장했습니다. 박 연구원은 코스모스 버그 바운티 프로그램에 참여하는 다른 연구원들도 유사한 문제를 제기했다고 언급했습니다.
*본 내용은 투자 조언이 아닙니다.