​[현장에서] 자산 몰리는 블록체인 스타트업, 사용자 보호 정책도 마련해야

[사진=게티이미지뱅크]

클레이튼 기반 디파이 서비스 '클레이스왑'에서 변조된 SDK가 악용돼 암호화폐가 유출되는 사고가 발생했다. 이번 사고로 약 22억원 규모의 암호화폐가 공격자의 지갑으로 전송됐으며, 클레이스왑을 운영하는 오지스는 사고 발생 하루 만에 원인을 찾아 제거하고 보상 시기와 방식을 안내하겠다고 발표했다.

최근 암호화폐 가치가 상승하고, 블록체인을 기반으로 하는 다양한 서비스가 등장하면서 많은 자금이 블록체인 스타트업에 집중되고 있다. 글로벌 시장조사업체 CB인사이트에 따르면 벤처투자사가 2021년 블록체인 기업에 투자한 비용은 252억 달러(약 30조원)에 이른다. 특히 개인투자자 역시 암호화폐나 디파이, 대체불가능토큰(NFT)에 관심을 기울이며 많은 자산이 몰리는 추세다.

스타트업은 여건상 사업 확장 속도와 비교해 보안을 강화하는 속도는 느린 편이다. 여기에 고가의 암호화폐가 몰리는 블록체인 서비스 스타트업은 사이버공격자가 노리기 좋은 먹잇감이다.

이번 공격의 경우 외부 네트워크에서 공격이 발생해, 사용자의 서비스 이용을 위한 SDK 파일 요청 과정에서 악성 서버로 접속되는 형태로 발생했다. 서비스 자체의 보안 문제는 아니지만, 이용 과정에서 발생하는 일종의 중간자 공격에 해당한다. 오지스는 이를 인지하고 즉시 서비스를 중단하는 등 비교적 발빠르게 대처했지만, 블록체인 기술 특성상 이미 전송된 자산은 되돌리기 어렵다는 점이 아쉽다.

스타트업 보안 강화는 항상 언급된 문제다. 코로나19와 비대면 환경에서 급성장한 줌비디오커뮤니케이션은 줌 바밍(화상 회의에 외부인이 무단으로 접속해 회의를 망치는 행위)으로 고생하기도 했다. 특히 종단간 암호화라는 표현을 오용하며 사용자에게 잘못된 정보를 제공하기도 했다. 이러한 논란을 겪은 줌은 제대로 된 종단간 암호화 기술을 적용하고, 타인이 무단으로 회의에 들어올 수 없도록 관리자 기능을 강화하는 한편 사용자 교육 역시 추진한 바 있다.

글로벌 NFT 거래 플랫폼 오픈씨 역시 자사 플랫폼에서 발생하는 각종 사기와 보안사고 예방을 위해서 자체 블로그를 통한 사용자 교육을 강화하고 있다.

향후 P2E 게임, NFT 발행과 거래, 인증과 보안 등 블록체인을 기반으로 하는 서비스는 꾸준히 늘어날 전망이며, 이에 따라 사이버공격자의 활동도 다양한 형태로 이뤄질 것으로 보인다. 블록체인상에 기록되는 정보는 안전하지만, 사용자가 직접 이용하는 앱과 웹은 피싱이나 파밍 등 다양한 형태의 공격에 노출될 수 있다. 때문에 서비스를 제공하는 스타트업 역시 사용자 인증 강화 등 자체적인 보안 수단을 추가하는 한편, 사용자에 대한 보안 캠페인에도 투자해 피해자가 생기지 않도록 대비해야 한다.