버그파운티 플랫폼 파인더갭의 김오중 대표가 '제 2회 대한민국 NFT/블록체인 게임컨퍼런스' 현장에서 '해외 NFT, 게임 해킹공격에 따른 피해와 해결방안'을 통해 해외 NFT 업체가 당한 해킹 공격의 사례와 이를 해결하는 방법에 대해 설명했다.

지난 해 가치가 계속 상승하던 가상 자산은 크립토 윈터로 인해 가치가 떨어졌음에도 불구하고 가상 자산과 관련된 해킹 피해 사례는 최대치를 기록했고 약 4조 9천억의 피해가 일어났다.

특히 김오중 대표가 선보인 자료에 따르면 2022년 가상 자산 손실 통계 중 해킹 피해가 95% 이상이었으면 1분기에서도 이는 이어지고 있다.

가상 자산에서 해킹 비율이 압도적으로 증가하고 있는 가장 큰 이유는 가산 자산 시장은 글로벌시장을 기준으로 분기 별로 4% 성장해 현재 9340억 달러 한화 약 1,225조원의 규모를 기록하고 있는 블랙해커에게 규모가 큰 매력적인 온라인 자본 시장이기 때문이다.

NFT나 웹 3.0은 서비스 형태가 복잡하고 이 과정에서 보안이 불안정한 부분이 존재할 가능성이 존재하는 것이 사실이다.

브라우저와 프론트 엔드 사이의 온라인 인터넷 영역, 탈중앙화를 위한 오프체인 영역, 사이드 체인 영역 등 여러 서비스 영역 사이에 보안 위협은 항상 존재하는 편이며, 기업 자체에서 이 모든 부분의 보안 점검은 쉽지 않은 편이다.

NFT 서비스에서 기술적 보안위협을 구분하면 애플리케이션 영역에서는 Dapp, 스마트 컨트랙트, 월렛 등에서 취약점이 발견된다. 특히 이 중에서 스마트 컨트랙트의 취약점은 다른 콘텐츠에도 큰 영향을 줄 가능성이 높아 가장 위험도가 높은 편이다.

시스템 영역에서는 블록체인 시스템 코드 취약점을 이용한 해킹 및 데이터 권한 탈취 등을 통해 보완 위협을 받게 되며 네트워크 영역에서는 네트워크 인프라가 노출돼 타인에게 데이터 비용 등의 피해를 주게 된다.

NFT 해킹 종류
김오중 대표는 “NFT의 모든 영역에 취약점이 나올 수 있고 지금도 취약점이 계속 생기는 중”이라고 설명했다.

먼저 콘텐츠 창작자가 NFT 고유 아이템의 메타 데이터를 저장할 때 각 기업의 클라우드나 DB, 서버에 저장하는데 이 단계에서 해커들은 계정 탈취나 랜섬 공격으로 해당 메타 데이터를 공격한다.

마켓 플레이스 단계에서는 기업이 소비자에게 콘텐츠를 홍보하기 위해 웹 기반 플랫폼이나 레거시 시스템을 이용하는데 이런 시스템은 여전히 취약점이 많으며 이 단계에서 해커들이 가상자산을 불법적으로 구매해 고가로 재판매하는 등으로 해킹을 하게 된다.

아울러 많은 NFT 기업들이 디스코드나 트위터 같은 오픈 커뮤니티를 통해 유저들과 소통하는데 보안이 약한 이 부분을 노려 스미싱 수법 등을 통해 해킹하는 경우도 많다.

실제로 NFT 기업의 커뮤니티 관리자 계정을 해킹해 커뮤니티에 악의적인 코드를 업로드하거나 유저들과 다이렉트 메시지를 통해 해킹하는 경우도 존재한다.

실제 사례
김오중 대표는 실제 사례를 예를 들며 해킹의 무서움을 알리기도 했다.

지난 해 2022년 1월 해커가 C사의 프론트 엔드와 백 엔드 사이의 논리적 취약점을 노려 공격한 예로 프론트 엔드의 로직을 조작해 불법 획득한 가상 자산을 백엔드로 되팔아 약 11배의 시세차익을 남기기도 했다.

이중 인증 미사용 취약점 활용한 NFT 마켓 플레이스 해킹
이전 사건에서 며칠 지나지 않아 발생한 같은 회사의 해킹 사고로 피해 규모만 약 2400억원에 달한다. 약 32명의 사용자가 해커들의 악성 페이로드에 서명하면서 피해가 발생했다.

북한의 A사 게임 가상 자산 해킹
2022 3월 발생한 사건으로 P2E를 지원하는 A 게임에 사용되는 이더리움 사이드 체인이 해킹된 사건으로 북한에서 해당 범죄를 저지른 것으로 밝혀져 더 충격을 준 사건이다.

사건의 시작은 해커들이 관리자에게 불법 프로그램을 전송한 후 B체인의 검증 노드(9개) 중 절반 이상인 5개의 개인키를 획득하고 코인 입출금에 필요한 요건을 갖춰 해킹에 성공한 것으로 밝혀졌다. 게임사에서 트래픽이 높아져 보안이 약해진 틈을 타 해커들이 백도어로 침입해 유저들의 암호화폐를 탈취하는 방식으로 진행됐다.

서비스 취약점과 관리자 해킹 등의 복합적인 원인으로 천문학적인 피해를 입힌 사례로 게임에서의 피해는 인게임 머니 피해가 크지만 NFT 및 블록체인 게임의 경우 일반 사용자들의 실제 자산을 탈취하는 것으로 이어져 개인의 피해 규모가 더 크다고 김오중 대표는 설명했다.

다양한 웹3.0 환경의 보안 위협을 효과적으로 해결하기 위한 방안 '버그바운티'
버그바운티는 기업이 직접 취약점을 찾기 힘들기 때문에 기업의 취약점을 제보한 보안 전문가에게 포상금을 주는 제도이다.
 

기업이 버그바운티 프로그램을 운영할 수 있는 서비스를 제공하고 플랫폼에 가입된 대규모의 윤리적 해커에게 지속적으로 보안 취약점을 제보받고 기업을 대리해서 평가하고 포상을 받게 된다.

특히 김오중 대표는 버그바운티 도입의 필요성에 대해 “오픈 소스가 코드가 전부 공개되는 웹 3.0 서비스 특성 상 웹 2.0에 비해 해킹에 상대적으로 더 취약할 수 있는 것에 반해 웹 3.0 서비스 내부에 보안 인력은 소수 뿐이다”라며 “낮은 해킹 난이도에 비해 피해 액수가 크므로 블랙 해커의 자금 탈취, 몸값 요구와 같은 극단적인 요구 이전에 보안을 선제적으로 강화하는 것이 중요하다”라고 설명했다.