​암호화폐·NFT 노리는 해킹 증가...블록체인은 안전할까?

액시 인피니티, 620억 달러 규모 암호화폐 사고 발생

지난 1월 오픈시에선 버그 악용한 NFT 거래도 이뤄져

노출된 블록체인 연계 서비스 취약점 악용 사례 많아...주의 필요

[사진=게티이미지뱅크]

최근 암호화폐, 대체불가능토큰(NFT) 등 블록체인 기반 디지털 자산을 노린 사이버공격이 잇달아 발생하고 있다.

블록체인 데이터 분석기업 체이널리시스가 발표한 가상자산 범죄 보고서에 따르면 2021년 디지털 자산 불법거래 금액은 140억 달러(약 16조7969억원)로 2020년 78억 달러(약 9조3582억원)와 비교해 79% 늘었다. 업계에서는 블록체인 기술의 장점 중 하나로 투명성과 보안성을 꼽는다. 그럼에도 불구하고 사이버공격으로 인한 디지털 자산 탈취는 꾸준히 증가하는 추세다.
 

대표 P2E 게임 액시 인피니티, 역대 최대 암호화폐 유출사고 발생

지난 3월 29일(현지시간) NFT 기반 P2E(Play to Earn) 게임에서 대표적인 성공사례로 꼽히는 액시 인피니티(Axie Infinity)에서 약 620억 달러(약 75.6조원) 규모의 암호화폐가 유출됐다. 액시 인피니티 개발사인 스카이마비스에 따르면 이더리움과 자사의 유틸리티 토큰을 이어주는 사이드체인 '로닌'에서 보안 침해사고가 발생했다.

사이드체인이란 블록체인의 단점으로 꼽히는 데이터 전송 속도(트랜잭션), 수수료(가스비) 등을 개선하기 위한 기술이다. 모든 데이터를 이더리움 네트워크 등 주요 블록체인에 직접 전송·저장하는 대신 사이드체인에서 우선 처리하고, 이를 모아서 향후 블록체인에 기록하는 방식이다.

스카이마비스의 로닌 네트워크의 경우 해당 사이드체인 내에서 일어나는 거래가 정상인지 검증하기 위해 9개의 유효성 검사기를 운영 중이다. 사용자가 로닌에 이더리움을 예치하거나 로닌에서 메타마스크 등으로 자금을 인출하기 위해서는 9개 검사기 중 최소 5개의 서명이 필요하다. 사이버 공격자는 백도어를 악용해 유효성 검사기 5개 권한을 탈취하고, 암호화폐 유출에 이를 악용했다.

로닌 체인은 이러한 사이버 공격을 예방하기 유효성 검사기를 분산하는 방식을 택했지만, 서비스 초기 개방된 액시 다오(DAO, 탈중앙화자율조직)에 할당된 검증 키를 획득하고, 여기에 백도어를 심어 방어 수단을 우회했다.

사고 이후 스카이마비스는 필요한 서명을 8개로 늘리고, 주요 거래소와 소통하며 무단 유출된 자산이 인출되지 않도록 주요 거래소와 협업하겠다고 밝혔다.

올해 1월에 글로벌 NFT 거래소 오픈시(OpenSea)에서도 버그를 악용한 무단 거래가 발생했다. 블록체인 데이터 분석 스타트업 엘립틱(Elliptic)에 따르면 현지시간으로 24일 100만 달러(약 12억원) 규모의 NFT가 현재 가격이 아닌, 과거 등록된 낮은 가격으로 거래됐다. 여기에는 '보어드에이프요트클럽' 등 잘 알려진 고가 NFT도 포함돼 있다.

보어드에이프요트클럽 9991번 작품은 2억원이 넘지만, 공격자는 버그를 악용해  최초 발행 수준인 100분의1 가격에 구매했으며, 이를 되팔아 수 억원의 차익을 남겼다.

오픈시의 경우 블록체인 네트워크 사용 비용에 해당하는 가스비를 줄이기 위해, 거래와 관련한 내용을 자사의 서버(오프체인)에서 우선 처리한다. 판매자가 'NFT를 이 가격에 판매겠다'는 의사를 밝히면 이 데이터가 오프체인에 저장된다.

누군가 해당 NFT를 구매한다면, 판매자가 서명한 데이터를 스마트 계약으로 블록체인 네트워크(온체인)에 전송한다. 여기서 서명과 가격 등을 포함한 정보는 온체인 전송 직전에 유효성을 검증한다.

해당 유출사고는 가격 수정 정보가 오프체인에 그대로 남아있는 점을 악용해 이뤄졌다. 공격자는 과거 등록된 NFT 가격을 불러와 거래에 이용했으며, 오프체인에서 제거되지 않은 과거 정보는 유효성 검증도 문제 없이 통과해 온체인으로 전송됐다.
 

블록체인 직접 노리기는 어려워...연계한 외부 서비스 공격 사례 많아

이처럼 암호화폐 등 디지털 자산을 노리는 공격은 블록체인 자체가 아닌, 연계된 외부 서비스를 공격하는 형태가 많다. 블록체인에 기록된 데이터를 직접 변조하는 것은 사실상 불가능하기 때문에 여기에 데이터를 전송하는 단계에 개입해 공격이 이뤄진다.

플랫폼을 노린 공격 외에도, 개인 사용자를 노린 공격 역시 성행한다. 대표적인 것이 암호화폐지갑 서비스다. 정보유출 악성코드를 이용해 사용자 개인정보를 유출하고, 지갑 인증에 필요한 각종 정보를 손에 넣는 방식이다. 지갑에 접근한 해커는 손쉽게 자신의 지갑으로 암호화폐를 전송할 수 있다.

사용자를 노리는 악성코드는 인포스틸러(Info Stealer), 클리퍼(Clipper), 크립토재커, 트로이목마 등이 있다. 인포스틸러는 피해자의 기기에 저장된 자격증명, 파일, 자동완성 이력, 가상자산 지갑 정보를 빼내며, 클리퍼는 피해자의 클립보드에 접근해 사용자가 복사해 놓은 가상자산 주소를 변경해 자금을 빼돌리는 멀웨어다. 크립토재커는 피해자의 컴퓨터 성능을 무단으로 이용해 가상자산을 채굴하고 운영 자금을 모으며, 트로이목마는 정상 소프트웨어로 위장해 사용자 PC를 장악하는 데 쓰인다.

피싱 역시 대표적인 공격 기법이다. 지난해 11월에는 대표적인 암호화폐 지갑 서비스 '메타마스크'를 사칭해 사용자 정보를 유출하려는 사례도 발견됐다. 공격자는 메타마스크를 사칭해 유사한 서비스명과 인터페이스를 갖춘 가짜 홈페이지를 만들고, 이를 구글 검색광고에 노출시킨다. 사용자가 'metamask' 등의 키워드를 입력할 때 실제 서비스보다 더 상위에 노출되도록 하기 위해서다.

사용자가 가짜 광고에 속아 클릭하면 12개 단어로 구성된 지갑 복구 구문(니모닉 키) 입력을 요구하며, 해당 정보를 입력하면 해커가 사용자 지갑을 완벽히 복제할 수 있다. 뿐만 아니라 신규 가입자를 대상으로는 해커 자신의 지갑 주소를 제공하며, 사용자가 실수로 이 주소에 암호화폐를 입금할 경우 암호화폐는 해커 소유가 된다.

결국 유출 피해를 막기 위해서는 사용자와 플랫폼 모두 주의를 기울여야 한다. 블록체인 자체는 안전하지만, 이를 기반으로 하는 서비스의 접근성을 높이기 위해 도입한 각종 환경에서 보안 약점이 발생할 수 있기 때문이다.

사용자는 암호화폐 지갑 복구 구문을 타인에게 노출해서는 안 되며, 거래소 로그인에도 지역 제한이나 2단계 인증 등 보안 기능을 활성화해야 한다. 거래소 역시 사용자 보호를 위해 힘써야 한다. 이상거래탐지 시스템(FDS) 등을 고도화하고, 모니터링을 강화해야 한다. 또한 오신트(OSINT·공개출처 정보) 등 블록체인·다크웹 인텔리전스를 도입해 계정 정보 유출이나 자산 유출 등 위협 요소를 탐지·추적하고, 소비자를 보호해야 한다.