A $620 million hack? Just another day in crypto

자고 나면 일어나는 암호화폐 해킹 사건…디파이로 옮겨가는 피해

최근 북한이 벌인 것으로 의심되는 해킹 사건은 피해 규모만 보면 엄청난 사건인 것 같지만, 사실 오랫동안 반복적으로 발생하고 있는 대규모 암호화폐 해킹 사건 목록에 한 줄을 더했을 뿐이다.

미 연방수사국(FBI)은 지난 14일 발표를 통해 올해 3월 암호화폐 플랫폼 ‘로닌 네트워크(Ronin Network)’ 해킹 사건의 배후로 북한 정부의 지원을 받는 해킹 단체 ‘라자루스 그룹(Lazarus Group)’을 지목했다.

해커들은 당시 6억 2,000만 달러(약 7,700억 원)에 해당하는 이더리움을 탈취했다. 엄청난 금액을 도난당한 사건이지만 암호화폐 업계에서는 피해 규모가 1억 달러 이상인 해킹 사건이 이 건을 포함해 지난해에만 8건 발생했다.

블록체인 분석 회사 체이널리시스(Chainalysis)의 연구 책임자 킴 그라우어(Kim Grauer)는 “상황이 급변하고 있다. 사람들은 투자 전략을 세울 때 해킹을 당하거나 모든 것을 잃는 상황까지도 고려하고 있다”고 설명했다.

체이널리시스에 따르면 지난해 해커들은 약 32억 달러 규모의 암호화폐를 탈취했는데, 이는 2020년 해킹 피해액보다 6배나 더 많은 금액이다. 2020년에는 피해액이 1억 달러 이상인 여섯 건의 해킹 사건을 포함해 수천만 달러 규모의 해킹도 수십 번 발생했다.

올해도 역시 뉴스 헤드라인을 장식한 거대한 해킹 사건으로 문을 열었다. 지난 1월 새로운 탈중앙화 금융 프로토콜인 ‘큐비트 파이낸스(Qubit Finance)’가 해커들에게 8,000만 달러를 도난당했다. 익명의 암호화폐 블로그 ‘rekt.news’는 이 사건을 시간순으로 기록하면서 이런 의문을 제기하기도 했다. “이 사건을 다음 주에도 기억하는 사람이 있을까?”

이는 상당히 선견지명이 있는 질문이었다. 해당 해킹 사건이 발생한 그 주가 끝나기도 전에 해커들이 보안의 빈틈을 파악해 암호화폐 플랫폼 ‘웜홀(Wormhole)’을 해킹하여 3억 2,500만 달러를 탈취하는 사건이 벌어졌기 때문이다.

그렇다면 어째서 이런 해킹 사건이 계속해서 발생하는 것일까? 암호화폐 업계에서는 사업들이 빠르게 전개되면서 보안이 뒷전으로 밀려나는 일이 많다. 그리고 사기도 만연하게 벌어지며 투자자들은 새로운 투자에서 마주할 수 있는 위험 요소들을 제대로 분석하지 못하는 경우가 많다.

그라우어는 “암호화폐 산업은 매우 빠르게 성장하고 있다. 새로운 회사들이 진입할 기회가 많기 때문에 사람들은 제대로 구조가 잘 갖춰지지 않은 플랫폼들에까지도 엄청난 속도로 투자하고 있다. 이 업계에서는 50개의 다양한 프로토콜과 토큰에 투자하고 그중 하나가 대성공을 거두기를 바라는 것이 흔한 투자 전략이다. 그런 상황에서 그 50개 모두에 대해 어떻게 제대로 된 조사를 할 수 있겠는가?”라고 상황을 설명했다.

그 마지막 질문에 대한 일반적인 답은 당연히 ‘할 수 없다’일 것이다.

관리가 부실한 팀이 오픈소스 코드를 실행하는 이런 상황은 암호화폐 업계에서는 (물론 다른 곳에서도) 흔히 볼 수 있다. 해커들은 이 점을 잘 알고 악용하는 것이다.

지난 2월 ‘디파이(DeFi)’라고 흔히 알려져 있는 ‘탈중앙화 금융(decentralized finance)’ 플랫폼 ‘웜홀’을 대상으로 벌어진 해킹 사건에서 해커들은 핵심 취약점을 수정하기 위한 오픈소스 코드가 메인 프로젝트에 적용되지 않은 점을 노리고 공격을 개시했다. 해당 코드는 처음 작성되고 몇 주가 지난 후에 깃허브(GitHub)에 공개됐다. 그러나 웜홀은 곧바로 프로젝트 업데이트를 하지 않았고 해커들이 보안코드를 먼저 알게 되었다. 결국 코드가 공개된 지 몇 시간 만에 해커들은 취약점을 이용해 웜홀을 해킹했다.

예전에는 대규모 암호화폐 해킹 사건이 중앙화 거래소(centralized exchange)에서 주로 발생했다. 체이널리시스에 따르면 그런 유형의 범죄 피해 총액은 아직도 매년 대략 5억 달러에 달한다. 그러나 이 정도의 피해액도 디파이 플랫폼에서 발생하는 해킹 사건에는 비할 수 없다. 디파이 플랫폼들의 해킹 피해 총액은 지난해에만 거의 25억 달러에 달했다.

스마트 계약(smart contract)과 유사한 아이디어로 등장한 디파이는 투명성과 오픈소스 코드를 바탕으로 한다. 그러나 안타깝게도 이 말은 실제로 수천만 달러 규모의 프로젝트들을 테이프와 풀로 대충 붙여서 유지하고 있는 것을 의미할 때가 많다.

그라우어는 “디파이를 해킹에 취약하게 하는 몇 가지 요소가 있다. 일단 코드가 공개되어 있어서 누구든 코드를 살펴보며 버그를 찾아낼 수 있다. 이것은 중앙화 거래소에서는 발생하지 않는 문제”라고 설명했다.

이러한 문제점을 보완하기 위해 보안 취약점을 발견해 보고하는 해커들에게 돈을 지불하는 ‘버그 바운티 프로그램(bug bounty program)’을 실행하는 회사들도 있다. 또한 암호화폐 플랫폼이 실제로 고객들의 코인을 잘 보유하고 있는지 확인하는 암호화폐 회계감사 기업들도 존재한다. 그러나 역대 최악의 암호화폐 해킹 사건들을 대충 훑어보면 회계감사도 확실한 해결책이라고 할 수 없다. 해킹이 발생했을 때 회계감사 회사들이 감사인이나 프로젝트에 관해 책임을 질 필요가 거의 없기 때문이다. 웜홀도 해킹 사건이 발생하기 몇 달 전에 보안 회사 네오딤(neodyme)을 통해 감사를 받았다.

이러한 해킹은 대부분 조직적이다. 북한은 전 세계의 전통적인 경제로부터 단절된 북한 정권에 자금을 대기 위해 오랫동안 해커들을 이용해 돈을 훔쳤다. 암호화폐는 특히 북한 입장에서 금광이나 다를 바 없었다. 최근 몇 년 동안 북한의 해커들은 수십억 달러에 달하는 암호화폐를 해킹했다.

그러나 암호화폐를 목표로 하는 대부분의 해커들은 북한 해커들처럼 ‘불량국가’에 자금을 지원하지 않는다. 대신에 사이버 범죄 생태계는 취약한 목표물을 대상으로 기회주의적인 공격을 이어나가고 있다.

암호화폐 해커들에게 해킹보다 더 어려운 일은 탈취한 암호화폐를 세탁해서 유용한 자산으로 전환하는 것이다. 그런 유용한 자산은 주로 ‘현금’을 의미하며 북한의 경우는 무기를 의미할 수도 있다. 그리고 이 지점에서 법 집행기관이 개입한다. 지난 몇 년 동안 전 세계 경찰들은 도난당한 자금을 추적하고 어떤 경우에는 회수하기 위해 블록체인 분석 도구에 많은 투자를 해왔다.

이를 보여주는 것이 최근에 있었던 로닌 네트워크 해킹 사건이다. 해킹이 일어나고 2주 후에 도난당한 암호화폐가 담긴 암호화폐 지갑이 미국의 제재 목록에 추가됐다. FBI가 해당 지갑과 북한의 연관성을 발견했기 때문이다. 이렇게 새로운 추적 도구가 일부 해킹 사건의 배후를 밝혀내는 데 도움을 주고 있기는 하지만 법 집행기관들이 도난당한 자금을 회수해서 투자자들에게 돌려주는 것에는 여전히 한계가 있다.

미 국세청(Internal Revenue Service) 산하 암호화폐 사건 담당 수사관이었던 크리스토퍼 얀체프스키(Christopher Janczewski)는 MIT 테크놀로지 리뷰에 “돈세탁이 해킹 자체보다 더 복잡하다”고 설명했다.

현재로서는 큰 위험 요소가 암호화폐 산업의 일부로 남아 있다고 보아야 할 것이다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.