암호화페 또 털렸다…우회 침투 해커 '기승' [IT돋보기]


'로닌 브릿지' 알고리즘 악용 추정…"시큐어 코딩 적용 노력해야"

[아이뉴스24 김혜경 기자] 최근 블록체인 기반 온라인 게임 생태계에서 7000억원이 넘는 암호화폐가 탈취된 사건이 뒤늦게 알려진 가운데 가상자산 시장의 보안 취약점이 재차 부각되고 있다. 지난 몇 년 간 블록체인 기술과 연동된 서비스를 겨냥한 사이버 범죄가 급증하면서 시큐어 코딩(Secure Coding)을 적용하는 등 설계 단계부터 보안을 강화해야 한다는 목소리가 나온다.

지난 29일(현지시간) 블록체인 온라인 게임 '엑시 인피니티(Axie Infinity)'가 해킹을 당해 약 6억달러(한화 약 7300억원) 규모의 피해를 입었다. [사진=조은수 기자]

31일 보안업계와 외신에 따르면 지난 29일(현지시간) 블록체인 온라인 게임 '엑시 인피니티(Axie Infinity)'가 해킹을 당해 약 6억달러(한화 약 7300억원) 규모의 피해를 입었다. 엑시 인피티니와 연동되는 블록체인 네크워크인 '로닌 네트워크'는 이더리움 코인 17만3천개와 USDC(달러 연동 스테이블코인) 2천550만개를 탈취당했다고 전했다.

해당 게임은 2018년 베트남 개발사인 '스카이 메이비스'가 출시했다. 이용자는 '엑시즈'라는 대체불가능토큰(NFT) 형태의 애완동물을 수집해 키우고, 다른 이용자에게 엑시즈를 판매할 수도 있다. 이용자는 자신들이 게임에서 번 수익을 로닌 네트워크를 통해 다른 암호화폐와 교환할 수 있다.

한 이용자가 자신이 보유한 암호화폐를 인출할 수 없다며 신고하는 과정에서 뒤늦게 해킹 사실이 밝혀졌다. 다만 게임 자체가 해킹 대상은 아닌 것으로 알려졌다. 해커는 게임 내 가상자산과 다른 곳을 연결하는 '로닌 브릿지'에 적용되는 알고리즘을 악용한 것으로 추정된다.

신동휘 스틸리언 부사장은 "공격자가 '해당 거래가 정상'이라고 판독해주는 프라이빗키(개인 키)를 탈취해 공격에 이용한 것으로 보인다"며 "암호키 유출로 인증에 문제가 발생했고 해당 키를 사용한 환경이 블록체인과 엮여있는 공간이었던 것"이라고 분석했다.

이어 "해당 사건에서 특이한 점은 공격자가 17만개에 달하는 이더리움을 한 번에 자기 지갑으로 보낸 것"이라며 "보통 여러 거래소를 거치면서 세탁 과정을 거치는데 이 공격자는 이 같은 행동을 하지 않았다"고 덧붙였다.

블록체인은 가상화폐(Virtual Currency)의 근간이 되는 기술이다. 중앙집중식 시스템과는 달리 제3의 기관을 요구하지 않으며 불변성, 익명성 등이 특징이다. 암호화폐란 암호화 기술(Cryptography)을 접목한 가상화폐를 뜻한다.

암호화폐 인기가 치솟으면서 해외에서는 4700억원 규모의 코인을 도난당한 '마운트 곡스', 5700억원 상당의 피해를 입은 '코인체크' 등 관련 사건들이 지속 발생하고 있다. 국내에서도 빗썸 거래소 해킹 사건 등이 있었지만 다른 국가에 비해 상대적으로 적은 편이다.

최정수 라온화이트햇 핵심연구팀장은 "엑시 인피티니 사건의 경우 블록체인과 서비스가 연동된 포인트에서 해킹이 발생한 것으로 보인다"며 "지금까지 발생했던 블록체인 관련 사건과 유사한 형태지만 디파이(DeFi) 스마트 컨트랙트 취약점에 의한 자산 탈취와는 다르다"고 말했다.

암호화폐 탈취 등 블록체인 관련 사고는 공격자가 거래소를 직접 겨냥하기도 하지만 우회적으로 접근하는 공격 기법이 대다수인 것으로 분석된다.

최 팀장은 "블록체인 기술 자체나 거래소의 경우 기본적인 보안을 갖추고 있으므로 보통 우회하는 공격 기법이 쓰인다"며 "개인 혹은 불특정 다수를 겨냥한 피싱 공격, 악성 플러그인 설치를 통해 출금 시 이용자 주소를 공격자 주소로 바꿔치는 방식 등이 있다"고 설명했다.

신 부사장은 "사건마다 다르지만 블록체인을 운영하는데 필요한 요소들이 노출되는 경우 이번 건과 비슷한 사고가 발생한다"며 "계정 관리가 미흡해서 발생하는 경우도 많다"고 말했다.

블록체인 기술 자체는 취약하지 않지만 블록체인 위에서 작동하는 탈중앙화‧분산형 어플리케이션(Decentralizaed Applicaion‧DApp) 문제 등으로 침해사고가 발생할 가능성이 크다는 것. 최 팀장은 "개발자가 의도한 대로 동작하지 않는 경우가 있으므로 항상 시큐어 코딩을 적용할 수 있도록 노력해야 한다"고 강조했다.

/김혜경 기자(hkmind9000@inews24.com)







포토뉴스