Offcanvas

랜섬웨어 / 보안 / 분쟁|갈등 / 블록체인 / 비즈니스|경제 / 신기술|미래 / 악성코드

강은성의 보안 아키텍트ㅣ돈 되는 곳에 해킹 있다? - 천문학적 피해를 일으키는 가상자산 해킹

2022.09.13 강은성  |  CIO KR
지난 4월 말 코엑스에서는 ‘8K 빅 픽처 인 포레스트'(8K Big Picture in FOR:REST)’라는 낯선 이름의 전시회가 열렸다. 
 
그림 1. ‘8K 빅 픽처 인 포레스트'(8K Big Picture in FOR:REST)’ 전시회 ⓒ이재희, “'8K 빅 픽처 인 포레스트' 전시 개막”, 연합뉴스 2022.4.29

“작가의 원화와 8K 고화질 디지털·NFT 작품을 감상”할 수 있다는 기사의 소개처럼 NFT의 주요 적용 분야 중 하나인 그림 작품을 실세계에 전시한 것이라 상당히 눈길을 끌었다.

2021년은 대체불가토큰(NFT, Non Fungible Token) 시장이 폭발적으로 성장한 한 해였다.
 
표 1. 연차별 NFT 거래 규모 (단위: 달러, %) ⓒNonFungible.com, 「2021년 연간 NFT 시장 보고서」, 2022

NFT 시장분석 사이트인 NonFungible.com에 따르면 2021년 NFT 거래는 약 177억 달러 규모로 2020년 8,250만 달러 대비 약 213배에 이른다. 가히 폭발적 성장이라 할 수 있다. 

다양한 표정과 치장을 한 원숭이로 인기를 끈 ‘지루한 원숭이 요트클럽'(Bored Ape Yacht Club) 같은 프로필로부터 예술 창작품, 게임, 메타버스 등 활용되는 분야가 다양해진 덕분이다. 마케팅 수단으로 NFT를 도입하는 기업도 많이 늘었다. 

돈 되는 곳에 해킹이 있듯 올해 NFT에 대한 해킹이 많이 발생했다. 블록체인 분석 기업 엘립틱(Elliptic)에 따르면 2021년 7월부터 2022년 7월까지 약 1억 달러(약 1,350억 원) 상당의 NFT가 도난당했다. 

NFT가 블록체인 위에 기록되지만, 사고는 비밀번호 해킹과 피싱 같은 전통적인 방식으로 많이 일어났다. NFT 발행자가 주도하는 SNS에서 관리자의 계정 정보가 해킹되고, 그 계정으로 위장 NFT 발행 링크가 게시되어 그것을 따라간 사용자들이 자신의 지갑에 있던 NFT를 탈취당하거나 가짜 NFT에 가상자산을 사기당하는 식이다. 피싱 메일을 통해 해킹이 이뤄지기도 한다. 관리자 계정에 다단계 인증만 제대로 적용해도 많은 부분 대응할 수 있는 문제다.

가상자산에서 더 큰 피해는 블록체인 브리지에서 발생했다. 
 
그림 2. 큐빗 파이낸스(Qubit Finance)의 블록체인 브리지 ⓒ큐빗 파이낸스

블록체인 브리지(또는 크로스체인 브리지)는 한 가상자산을 다른 가상자산으로 환전해 주는 시스템이다. 탈중앙화 금융(Decentralized Finance, DeFi), 게임(DApp) 등 여러 블록체인 서비스에서 브리지를 사용한다. N가지 종류의 가상자산이 있다면 이를 상호 변환해 주기 위해서는 최대 N제곱 개의 브리지가 필요할 수 있다. 

문제는 브리지는 단지 다른 단위의 가상자산으로 변환해 주는 것이 아니라 각 블록체인 플랫폼이 구현된 다른 언어, 다른 실행환경에서 작동해야 하므로 시스템이 복잡하여 소스코드에 오류가 있기 쉽고, 환전이 많은 가상자산은 유동성을 풍부하게 유지해야 하기 때문에 공격자들의 목표가 된다는 점이다.

블록체인 분석 기업 체이널리시스(Chainalysis)에 따르면 2022년 8월 10일 기준, 올해 발생한 총 14억 달러(약 1조 8,900억 원) 규모의 가상자산 피해 중 69%가 이러한 브리지에서 일어났다. 
 
그림 3. 2022년 블록체인 브리지에서 발생한 주요 가상자산 피해 ⓒ씨엔비시/체이널리시스

올해 발생한 상위 5개 브리지의 피해만 총 13억 1,500만 달러 규모로 전체 피해 규모의 93.9%에 이른다. 그만큼 블록체인 브리지에서 발생한 사고 규모가 크다는 것을 알 수 있다. 

브리지가 해킹당하는 경로는 다양하다. 올해 피해 규모가 가장 큰 로닌(Ronin) 네트워크는 유명 P2E(Play to Earn) 게임인 액시 인피니티(Axie Infinity)의 성능을 높이기 위해 만든 사이드체인인데, 범인은 9개의 검증자 노드 중 5개 노드의 키를 확보하여 로닌 브리지에 있는 가상자산을 범인의 지갑으로 송금했다. 

이더리움-솔라나(Solana) 브리지인 웜홀(Wormhole) 브리지 해킹의 근본 원인은 솔라나 소스에 있는 서명 검증 모듈의 오류다. 범인은 이를 악용해 가짜 계정을 만들어 웜홀 브리지에서 웜홀 ETH를 발행하고 이를 ETH, SOL, USDC 등 다른 가상자산으로 바꿨다. 

사고가 발생한 보안취약점이 다양한 만큼 블록체인 브리지 보안을 위한 대책도 다르다. 로닌 브리지 보안의 핵심은 키 관리이고, 웜홀 브리지 보안은 소스코드 오류 제거 또는 신속한 대응이다. 가상자산 커뮤니티의 특성상 해킹에 대한 대응과 대책 수립 과정이 공개되어 있어서 관심 있는 분들이 참고할 수 있다.

특히 소스코드의 오류를 악용한 사고가 종종 발생하는데, 이에 대한 대책이 있어야 한다. 근본적으로는 가상자산 업계가 소스코드를 공개하는 것을 재검토하는 것이 어떨까 한다. 블록체인 업계에서 소스코드를 공개하는 것은 해당 코인이나 토큰에 대한 신뢰성의 측면이 크다. 백서밖에 없는 프로젝트에 ICO(Initial Coin Offering)로 자금을 모집한 뒤 프로젝트의 진행사항을 ‘실물’로 확인할 수 있는 유일한 것이 소스코드이기 때문이다. 

하지만 보안성 측면에서 보면 공개된 소스코드는 공격자의 표적이 된다. 소스코드를 공개하면 보안성이 좋아진다는 ‘신화’가 있지만 개발팀 이외에 그것을 표적으로 공격하는 공격자만큼 소스코드를 열심히 보는 사람은 거의 없다. 

한 프로젝트의 소스를 다른 프로젝트에서 복제하는 일 역시 비일비재하다. 보안성 측면에서 본다면 가상자산 업계의 소스코드 공개는 별로 바람직하지 않다는 것이 개인적인 생각이다. 공개한다 하더라도 충분한 시간과 절차를 거친 뒤에 (서비스에 적용한 뒤에라도) 공개하는 것도 한 방법이다.

2015년 크라이슬러의 ‘지프 체로키’ 차량 해킹 시연 사건 이후 글로벌 자동차 업계의 차량 보안에 대한 투자가 급격히 늘었다. 특히 글로벌 완성차 업계에서는 차량 보안 인력 확보는 물론 차량 보안 기업의 인수, 개발 프로세스에서의 보안성 강화, 공급망 보안 강화 등 개발과 생산의 전체 과정에서 보안이 강화됐다. 천문학적인 자금이 오가는 블록체인 브리지를 운영하는 글로벌 가상자산 업계도 보안 관점에서 전반적인 개발과 운영을 살펴봐야 하지 않을까 싶다.

국내에서는 NFT나 브리지 관련 프로젝트가 활발하지 않은 만큼 사고가 많이 발생하지는 않았지만 그렇다고 무풍지대인 것도 아니다. 관련 사업자들의 보안에 대한 준비가 필요해 보인다.


* 강은성 교수는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여자대학교 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「팀장부터 CEO까지 알아야 할 기업 정보보안 가이드」(한빛미디어, 2022) 등이 있다. ciokr@idg.co.kr
 
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.