블록체인 업계에 '암운'이 드리우고 있다. 플레이 투 언(P2E) 게임 '엑시인피니티'부터, 대체불가능한토큰(NFT) 플랫폼 '지루한 원숭이들의 요트 클럽(BAYC)' 등 대표적 서비스들이 잇따라 해커들의 먹잇감이 된 것. 

국내 시장도 몸살을 앓고 있다. 탈중앙화금융(디파이) 서비스 '클레이스왑'은 '보더 게이트웨이 프로토콜(BGP) 하이재킹' 공격을 받아 약 22억원 규모의 가상자산을 탈취당했으며, 최근 블록체인 프로젝트 '메타콩즈'도 '디스코드 해킹'으로 이더리움 11.9개, 약 4500만원에 달하는 피해를 입었다. 

이같은 피해는 더욱 증가할 전망이다. 국내 한 보안 전문가는 "디파이나 NFT를 대량으로 보유하고 있는 사용자를 대상으로 한 공격시도가 늘어나고 있다"며 "NFT나 디파이가 제도권으로 들어오지 않아 피해 보상에 대한 명확한 기준도 없는 상황"이라고 지적했다.

'BGP 하이재킹'에 털렸다

지난 2월 클레이스왑은 불특정 해커집단의 BGP하이재킹 공격을 받았다. 이로 인해 약 1시간 30분동안 총 325개 지갑에서 407개의 비정상적 트랜잭션이 일어났고, 가상자산 예치·인출·스왑 등 실행 과정에서 해커들이 구축한 특정 지갑으로 22억원 규모의 토큰이 유출됐다.

BGP하이재킹은 인터넷 인프라의 구조적 취약점을 노린 공격이다. 네트워크 상에서 자율시스템(AS Autonomous System)'간 데이터를 송·수신할 때 사용되는 '경계 경로 프로토콜(BGP)'이 인접한 AS를 무조건 신뢰해 경로소개(라우팅)한다는 점을 악용한 기법이다. 공격자들은 네트워크 중간에 있는 AS를 해킹해 네트워크 마비, 데이터 가로채기 등 사이버 공격을 수행한다.

지난 2월 사고 발생 당시 카카오 특정 도메인 장애 발생 현황/사진=나루씨큐리티 '클레이스왑 BGP 하이재킹 보고서'
지난 2월 사고 발생 당시 카카오 특정 도메인 장애 발생 현황/사진=나루씨큐리티 '클레이스왑 BGP 하이재킹 보고서'

클레이스왑의 경우 마케팅 목적으로 사용하던 '카카오 소프트웨어개발자키트(SDK)'가 문제가 됐다. 침해사고 대응 전문기업 나루씨큐리티 분석에 따르면 카카오가 SDK파일 배포를 위해 사용 중이던 특정 도메인에 할당된 2개의 IP대역에 BGP하이재킹 공격이 이뤄졌고, 이를 통해 피해를 입은 것으로 나타났다. 이 도메인은 국내 서버 호스팅 회사 '드림라인'이 임대 및 관리하고 있다.

나루씨큐리티 측은 "해커들은 카카오에 할당된 대역 중 한 달 간 한번도 경로소개가 이뤄지지 않은 대역을 탈취했다"며 "이를 통해 드림라인으로 위장한 AS를 구축하고 총 731회의 허위 경로를 소개했다"고 설명했다.

사이버 보안 기업 에스투더블유(S2W) 또한 보고서를 통해 "공격자는 BGP하이재킹 공격으로 네트워크 흐름을 조작하고, 클레이스왑 사용자들이 정상적 SDK파일이 아닌 공격자가 세팅한 서버로부터 악성코드를 다운로드 받도록 했다"며 "공격자에 의해 오염된 BGP 라우팅 경로를 분석했을 때 드림라인에서 운영하고 있는 자율시스템이 조작돼 공격자가 구축한 가짜 서버로 접속이 이뤄진 것"이라고 분석했다.

전세계 인터넷 구조 바뀌지 않으면 마땅한 대응방법도 없어

문제는 BGP하이재킹의 경우 전 세계 인터넷 구조가 바뀌지 않는 이상 선제적 탐지 외에는 마땅한 대응방법이 없다는 점이다. 이에 더해  클레이스왑 공격에 사용된 기술적 요소들이 'IP'와 '인증서' 두 축을 기반으로 하는 현 보안 대응 체계상 '정상 행위'로 간주됐다는 점도 사안의 심각성을 더하고 있다. 

제로SSL에서 제공 중인 서비스/사진=S2W 분석 보고서
제로SSL에서 제공 중인 서비스/사진=S2W 분석 보고서

과거 가짜 IP와 인증서를 사용한 것과는 달리, 기술적 정상으로 인식되는 방법을 사용해 탐지를 피한 것이다. 나루씨큐리티 보고서에 따르면 실제로 사고 발생 당시 IP 변동은 발생하지 않았다. SSL 인증서 또한 정상 인증서 중 하나인 '제로SSL 인증서'가 사용됐다. 이는 해외 SSL 인증서 발급사 '제로SSL'에서 발급한 것으로 발급 절차가 간단해 피싱서버 등에 주로 사용된다. 공격자는 90일간 무료로 제공되는 서비스를 이용해 카카오 도메인에 대한 인증서를 발급·등록한 것으로 드러났다. 

제로SSL은 인증서를 획득하기 위한 절차로 ▲내부 이메일 계정을 통한 사용자 신분 확인 ▲도메인 이름 시스템(DNS) 값 변경을 통한 접근 권한 확인 ▲홈페이지 웹서버 접근 권한 확인 등 3가지를 제시하고 있다. 전문가들은 공격자들이 이 중 하나를 통해 카카오 서버에 대한 인증서를 획득한 것으로 추정하고 있다.

S2W측은 "이처럼 도메인에 대한 인증서 발급 및 획득이 가능했던 것은 BGP 하이재킹으로 인해 라우팅 정책이 이미 오염된 상태였기 때문"이라고 설명했다.

SNS 계정 해킹으로 피해입은 메타콩즈 

'스타 개발자' 이두희 멋쟁이 사자처럼 대표가 이끄는 메타콩즈도 지난달 16일 해킹 공격으로 홍역을 치뤘다. 메타콩즈는 카카오 블록체인 플랫폼 '클레이튼' 기반 NFT 프로젝트로, 고릴라 형태의 프로필 이미지를 NFT로 발행하고 있다.

이번 공격은 사회관계망서비스(SNS) '디스코드'를 통해 이뤄졌다. 메타콩즈 해외팀 관리자가 협력 제안과 관련된 메시지(DM)에 첨부된 특정 링크를 눌러 권한을 탈취당한 것이다. 이를 이용해 공격자는 해당 계정에 관리자 권한을 가진 악성봇을 설치하고 , 스캠(사기) 민팅 사이트로 투자자들을 유인했다. 가짜 메타콩즈 사이트를 개설해 이더리움 스캠 민팅을 유도하고, 참여자들의 재산을 탈취한 것이다.

/사진=메타콩즈
/사진=메타콩즈

메타콩즈 측은 "메타콩즈 디스코드 해외팀 관리자에게 협력 제안 메신저(DM)을 보냈고, 해외팀 관리자가 링크를 누르면서 메타콩즈 디스코드 채널에 악성봇이 설치됐다"며 "해당 봇은 수많은 권한(Role)과 웹훅(Webhook)을 디스코드 채널에 생성하며 스캠 민팅 사이트 공지를 올렸다"고 설명했다.

이어 "해킹은 클레이튼이 아닌 이더리움 체인에서 발생했다"며 "해커는 메타콩즈와 유사한 사이트를 통해 0.0 이더리움으로 민팅을 유도했으며, 지갑 권한을 가져가는 '컨트랙트 콜' 방식이 아닌 단순한 이더리움 전송 기능으로 스캠 민팅을 진행했다"고 덧붙였다.

이두희 멋쟁이 사자처럼 대표는 트위터를 통해 "디스코드 해외팀 관리자 계정을 통해 악성봇이 설치됐고 79명이 11.9 이더리움 피해를 입었다"며 "운영상 책임을 통감하며 전액을 보상하는 한편, 디스코드 관리자 권한을 대폭 수정해 같은 일이 생기지 않도록 하겠다"고 밝혔다.

블록체인 해킹, 더 늘어난다

전문가들은 향후 NFT와 디파이 등 블록체인 서비스를 노린 해킹이 더 증가할 것으로 내다보고 있다. 피싱시도가 늘어나고 있는 것은 물론, 방식 자체가 교묘해지고 있기 때문이다.

문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 "엑시 인피니티 해킹이 발생한 3월 말부터 고소장, 가상자산 투자기획, 이더리움 자동매매, NFT 민팅 등 가상자산 관련 내용을 담은 악성문서가 국내 불특정다수에게 유포되고 있다"며 "번역한 내용이 아닌데다, 오타가 있는 걸로 봐서는 한글을 구사하는 조직이 집중적으로 국내에 유통하고 있는 것으로 보인다"고 말했다. 

곽경주 S2W CTI부문장 이사는 "NFT 민팅 공식 사이트로 위장한 사칭 사이트 및 공지를 위해 사용하는 공식 트위터 계정의 사진과 디스크립션을 똑같이 구현한 사칭 트위터 계정이 늘어나고 있다"며 "민팅을 하려는 사용자가 트위터에 운영사 이름을 검색하면 수많은 피싱 계정이 뜨는데, 이를 확인하지 않고 접속했다가 피해를 보는 일이 발생한다"고 설명했다.