정부가 가상자산 2단계 입법을 통해 원화 스테이블 코인 도입을 추진하고 있는 가운데 디지털자산이 해킹 그룹들의 주요 표적으로 급부상하고 있다. 국내 최대 금융정보보호 컨퍼런스에서는 내년에 다양한 형태의 공급망 공격이 예상된다는 전망이 나왔다.

20일 금융보안원이 서울 여의도에서 개최한 20일 국내 최대 금융정보보호 컨퍼런스 ‘FISCON 2025’에서 주제 발표자로 나온 김현민 금융보안원 팀장은 “디지털자산이 공격자들의 주요 표적으로 급부상했다”며 “추적이 어렵고 공격 기법은 다양해 해커들의 새로운 기회가 되고 있다”고 경고했다.

11월 기준 전 세계 스테이블코인의 시가총액은 한화로 약 350조~400조원으로 추정되고 있다.

2022년부터 전 세계적으로 디지털자산에 대해 매년 2~3건의 대규모 해킹 사고가 발생하고 있다. 2022년 블록체인 기반 게임 ‘Axie Infinity’의 브리지 서비스인 Ronin Network가 해킹되면서 17만3600개의 이더리움과 2550만달러 규모의 USDC가 유출됐다. 피해액은 한화로 약 9400억원에 달한다. 같은 해 블록체인 기업의 호라이즌 브릿지가 해킹 당했고, 2023년에는 아토믹 월렛, 스테이크닷컴이 해킹 공격을 받아 각각 1500억원, 600억원의 피해를 입었다.

올해는 바이비트(ByBit) 거래소가 해킹을 당해 2조원 규모의 피해가 발생하기도 했다.

디지털자산은 투명성과 탈중앙화, 즉시 확정성이라는 장점을 갖고 있지만 해킹 공격에서 이 같은 장점은 오히려 취약점으로 작용하는 ‘양날의 검’이 될 수 있다는 점이 지적됐다.

김 팀장은 “(디지털자산의 투명성과 관련해) 가장 핵심 자산인 스마트 컨트랙트, 지갑, 거래내역이 외부 노출상태로 운영되면서 누구나 코드 분석이 가능하고 손쉽게 외부에서 업무로직 파악이 가능하다”고 말했다.

NFT(대체 불가능 토큰) 담보 대출 플랫폼인 BendDAO 오라클 해킹이 대표적이다. 오라클은 블록체인 외부데이터를 말한다. BendDAO는 NFT 가치의 40% 가량을 대출해줬다. OpenSea 마켓에 등록된 NFT 최저가를 가치의 판단 기준으로 삼았다.

해커는 저렴하고 거래량이 매우 적은 NFT를 구매(1달러)한 후 해당 NFT를 OpenSea 마켓에 1000달러로 매도 등록을 했다. 조작한 NFT를 담보로 BendDAO에 대출을 신청했고 BendDAO는 OpenSea 마켓에서 해당 NFT가 1000달러라는 사실을 확인했다. 해커는 부풀린 가치의 NFT를 담보로 맡기고 333달러를 대출받았다. 공개된 스마트 컨트랙트 추출 및 디컴파일 분석을 통해 취약점을 확인해서 수천만달러를 빼돌린 사례도 있다.

김 팀장은 “충분히 안전하게 구성되지 않은 탈중앙화는 공격에 매우 취약하다”며 다른 블록체인 간 자산 이동 서비스를 제공하는 크로스체인 브릿지 웜홀 사례를 제시했다.

공격자가 ‘정상 검증된 것처럼’ 메시지를 위조했고 이더리움을 솔라나로 입금했다는 허위 메시지를 브릿지에 주입했다. 웜홀은 이를 진짜 입금으로 인식했다. 공격자는 담보없이 직접 전송한 메시지를 통해 12만 wETH(이더리움과 1대1 교환이 가능한 코인)를 무단발행해 시장에 내다 팔았다. 당시 12만 wETH는 한화 약 4000억원에 해당된다.

또 관리자 권한이 탈취된 유엑스링크 사건의 경우 해커의 무제한 토큰 발행으로 10조원의 피해가 발생했다. 김 팀장은 “잘못된 권한 분산은 오히려 공격 지점만 늘리는 악효과를 낸다”고 지적했다.

디지털자산의 장점인 즉시 확정성도 해킹 공격 완료 즉시 피해가 확정된다는 점에서 ‘시간의 무기화’라고 설명했다.

웜홀 브릿지 해킹과 바이비트 해킹은 완료되는 데 불과 수분 밖에 걸리지 않았고, 유엑스링크 사건은 관리자 키가 탈취당한 즉시 피해가 확정됐다.

바이비트 거래소 해킹은 북한 해커그룹 라자루스가 공급망 공격으로 콜드월렛(오프라인 전자지갑)에서 2조원의 이더리움을 탈취한 사건이다.

라자루스는 북한의 지원을 받는 엘리트 해커그룹으로 알려졌으며 세계 알고리즘, 해킹대회에서 다수 수상한 경력이 있다. 약 1500~7000명의 해커들이 활동하고 있으며 2016년 방글라데시 국영은행 해킹으로 이름이 알려졌다.

라자루스는 방글라데시 은행에 침투해 스위프트(은행 간 해외송금 전용 통신망) 메시지를 조작했다. 뉴욕 연준에 예치금 계좌이체를 요청했다. 프린터를 고장내고 시장 및 공휴일을 고려해 4~5일의 물리적 시간을 확보했으며, 필리핀 계좌로 돈을 받아 카지노칩으로 변경, 게임을 통해 돈세탁을 시도했다.

김 팀장은 “금융기관을 이용한 해킹은 범죄 수익 수령이 어렵고 복잡한 반면, 디지털자산은 범죄 수익 수령이 상대적으로 빠르고 쉽다”며 “라자루스는 바이비트 해킹으로 불과 수분만에 2조원의 이더리움을 탈취하고 세탁까지 완료했다”고 설명했다.

가상자산 2단계 입법안이 국회를 통과하면 내년에 원화스테이블코인, STO(증권형 토큰), RWA(실제 존재하는 자산을 토큰화), CBDC(중앙은행 디지털화폐) 등 다양한 디지털 자산 서비스 출시가 예상된다.

김 팀장은 “소프트웨어 라이브러리, 월렛 하드웨어 및 소프트웨어, 블록체인 관련 플랫폼 취약점 등 다양한 형태의 공급망 공격이 예상된다”며 “AI 피싱 메일 성공률이 5배 증가하는 등 최근 다수의 사건이 내부자 위협으로 시작되고 있는 만큼, 스피어 피싱에 대비한 교육, 훈련 등이 필요하다”고 강조했다. 스피어 피싱은 특정 개인이나 조직을 정밀하게 노린 맞춤형 피싱 공격을 말한다.

디지털자산 해킹에 대응하기 위해서는 중요한 시스템이나 자산을 한 사람 또는 한 지점이 단독으로 통제하지 못하게, 여러 단계·여러 사람·여러 장치에 권한을 나눠두는 ‘다층 권한 분산’과 최고 수준의 보안을 통한 ‘키 관리’가 제시됐다.

김 팀장은 “키와 관리자 권한 탈취시 모든 자산의 탈취가 가능하다”며 “실패의 가능성을 인정하고 피해 제한을 위한 방법을 마련할 필요도 있다”고 말했다. 그는 또 온·오프 체인이 통합된 다양한 시나리오별 모의해킹과 복원 훈련의 필요성도 강조했다.

이경기 기자 cellin@naeil.com