"탈중앙화금융(디파이) 서비스, 대체불가능한토큰(NFT) 플랫폼 등 블록체인 서비스에는 아직 알려지지 않은 취약점이 많다. 전통적 금융 인프라에 비해 보안 대책이 미흡한데다, 제도적 기반이 없어 피해 규모는 더욱 커질 전망이다"

보안 인텔리전스 기업 에스투더블유(S2W) 사이버 위협 인텔리전스(CTI) 그룹 탈론은 최근 블록체인 업계를 뒤흔들고 있는 해킹사건에 대해 이같이 지적했다. S2W는 다크웹, 딥웹, 텔레그램 등 다양한 채널에서 범죄·위협 정보를 수집·분석하고 국제형사경찰기구(인터폴) 등에 이를 제공하고 있다.

실제로 지난해 이 회사는 인터폴 국제공조 수사에 다크웹 랜섬웨어 운영자 '프로파일링', 비트코인 자금 흐름 등 인텔리전스 정보를 제공해 래빌, 클롭 등 악명 높은 랜섬웨어 조직 검거를 도왔다. 또 지난 2월 발생한 클레이스왑 'BGP 하이재킹' 사건과 엔비디아·삼성전자·LG전자 등을 공격한 국제 해킹조직 '랩서스'를 분석하기도 했다. 

최근 판교 본사에서 만난 곽경주 S2W CTI 부문장 이사는 "블록체인 해킹이 돈이 된다는 걸 깨달은 이후 디파이, NFT 플랫폼 등을 노리는 공격 비율이 증가하고 있다"며 "전통적 금융권 인프라는 망분리 등으로 레이어를 나누는 등 보안 대책이 잘 마련돼있는 반면, 블록체인 서비스 인프라는 상대적으로 취약한 부분이 많다"고 강조했다.

돈 몰리는 블록체인 서비스 업계, 보안은 '낙제'

S2W CTI그룹 탈론은 이날 전반적인 블록체인 서비스 업계 보안에 구멍이 많다고 꼬집었다. 오는 2028년 블록체인 산업 규모가 약 125조원을 넘어설 것으로 예상되는 등 폭발적 성장에 비해 보안은 '낙제점'이라는 것이다.

권혁주 S2W CTI그룹 탈론 책임연구원은 "디파이를 비롯한 블록체인 서비스 업계 전반적으로 보안구멍이 많은 상황"이라며 "알려지지 않은 취약점도 많고 보안 대책도 상대적으로 잘 구축돼있지 않은 상황"이라고 설명했다. 실제로 올해 딥·다크웹에는 가상자산거래소 사용자 정보, 거래소에 대한 데이터베이스 등 유출정보가 올라오는 일이 증가하고 있는 것으로 나타났다. 

현재 디파이 서비스 업계에서는 보안성을 확보하기 위한 조치로 '코드 보안 감사(오디팅)'을 시행하고 있다. 코드 오디팅은 블록체인 서비스에서 사용되는 스마트컨트랙트 및 인프라 전반의 코드를 외부 업체에 의뢰해 보안성을 검증을 받는 과정이다.

권혁주 S2W CTI그룹 탈론 책임연구원(왼쪽), 임정연 S2W CTI그룹 탈론 책임연구원/사진=김가은 기자
권혁주 S2W CTI그룹 탈론 책임연구원(왼쪽), 임정연 S2W CTI그룹 탈론 책임연구원/사진=김가은 기자

그러나 임정연 S2W CTI그룹 탈론 책임연구원은 이같은 과정을 거쳤다는게 안전하다는 의미는 아니라고 강조했다. 그는 "코드 오디팅을 서비스 출시 전에 받고 난 후, 출시 후에는 받지 않는 등 정기적으로 이뤄지지 않을 뿐더러, 서비스 중 업데이트 진행 과정에서 새로운 취약점이 코드단에서 발생하기도 한다"며 "스마트컨트랙트 자체가 아직은 알려지지 않은 취약점이 많은 단계다보니 공격자가 악성코드를 심어 인터넷브라우저에 저장된 계정정보나 키값을 탈취해 가상자산을 자기 지갑으로 옮기는 등 다양한 방식으로 공격을 이어가고 있다"고 말했다.

현재 진행되는 코드 오디팅 수준 자체가 엄격하지 않다는 지적도 이어졌다. 곽 이사는 "많은 기업들이 개발과정에서 코드 오디팅을 시행하고 있지만, 실질적으로는 굉장히 러프한 수준"이라고 지적했다.

NFT플랫폼도 운영사의 민팅 공식 사이트나 공식 트위터 계정을 사칭해 투자자를 현혹하는 피싱수법이 횡행하고 있으나 현재로서는 마땅한 보안 대책이 없는 상황이다. 

곽 이사는 "NFT나 디파이 코인 대량 보유자를 대상으로 교묘한 피싱시도가 많다"며 "민팅 공식 사이트가 생기면 이를 사칭한 사이트가 만들어지기 시작하고, 공지를 위해 사용하는 공식 트위터 계정의 프로필 사진과 디스크립션을 똑같이 구현한 사칭 트위터가 폭발적으로 증가하고 있다"고 설명했다. 이어 "투자자들이 이러한 피싱 사이트나 계정을 확인없이 접속해 피해를 입는 것"이라고 덧붙였다.

법적·기술적 보완 '시급'

이날 탈론은 블록체인 서비스 인프라 안정성과 해킹피해를 방지하기 위한 대책으로 법적 뒷받침이 필요하다고 강조했다. 탈중앙화가 핵심인 블록체인 생태계와는 다소 맞지 않는 측면이 있지만 보안 조치 강제, 피해자 보호 등이 있어야만 피해를 줄일 수 있다는 것이다.

권 연구원은 "현재 디파이 서비스들이 코드 오디팅을 보편적으로 시행하고 있지만 이같은 보안 감사를 정기적으로 받도록 하거나, 연간 모의해킹 횟수를 규정하는 등 제도적인 보완이 필요하다"며 "블록체인 서비스 기업 또한 고객을 지키기 위한 가이드, 교육 등을 강화해야 한다"고 설명했다.

곽 이사는 "기존 금융권은 피해를 입으면 배상 책임이 있는데 NFT나 디파이는 법적 기준이 없다"며 "피해보상 기준을 명확히 하는 등 법제도를 보완하는 부분이 필요하다"고 말했다. 

오펜시브 시큐리티 확대도 강조했다. 오펜시브 시큐리티는 해커 관점으로 공격 기법을 연구하는 분야다. 실제 공격으로 피해가 발생하기 전 모의해킹 등을 통해 알려지지 않은 보안 허점을 찾아 이를 보완하는 방식이다. 버그바운티, 오디팅 등도 이 분야에 포함된다. 

권 연구원은 "오펜시브 시큐리티는 공격하는 방법을 알아야 막는 법도 알 수 있다는 것이 철학인 분야"라며 "해커들의 공격수법이 더 정밀해지고 다변화되고 있는 상황 속에서 방어자도 그런 기법을 다 알아야 커버리지를 넓힐 수 있다"고 설명했다.

이어 그는 "스마트컨트랙트, 웹3.0 등 오펜시브 시큐리티 적용 범위에 대한 논의도 이뤄져야 한다"며 "또 서비스 출시 전에 시행할지, 혹은 출시 후 실제화된 환경에서 검증할지 등 구체화시켜야할 내용이 많지만 오펜시브 문화가 정착되면 안정성은 상향할 것"이라고 부연했다.