최근 개인 전자지갑을 노린 암호화폐 백도어 해킹으로 피해를 입는 국내외 투자자들이 늘어나고 있어 주의가 요구된다. 디파이(Defi) 투자자 등 암호화폐 투자에 익숙한 이들조차 해킹 피해를 보고 있다.
암호화폐 보안기업 웁살라시큐리티는 "해커가 사용자의 개인지갑을 탈취하는 사례가 여러 건 확인되고 있다"며 "지난 9일에도 한 사용자가 악의적인 코드가 들어있는 링크를 클릭한 뒤 지갑 연동을 승인해 자금이 탈취된 사례가 보고됐다"고 밝혔다.
해킹은 주로 유명 블록체인 지갑 프로젝트인 메타마스크의 '승인(Approve)' 기능을 이용해 악의적인 코드를 심는 방식으로 이뤄진다. 지갑 사용자가 해당 코드를 승인하면 일종의 백도어가 설치돼 메타마스크 안의 모든 코인이 탈취되는 해킹 수법이다.
메타마스크는 지갑 내에서 댑(DApp)을 연결할 때 사용자 승인 절차를 거치도록 설계돼 있다. 메타마스크 사용자에게 동의를 구하는 일종의 장치라고 보면 된다. 이를테면 다른 댑에 단순히 토큰만 전송한다고 하더라도 승인 버튼을 눌러야 전송이 완료된다. 해커는 이러한 기능을 악용해 메타마스크 계정을 해킹할 수 있다.
특히 개인 전자지갑을 많이 사용하는 디파이(DeFi, 탈중앙금융) 프로젝트에서 관련 사례가 지속적으로 나오고 있다. 지난 2월 디파이 프로젝트 푸루콤보(Furucombo)를 공격한 해커도 비슷한 사례다. 이 해커는 자동 승인 기능을 활용하는 악의적인 코드를 심어 약 1400만달러 상당의 암호화폐를 탈취한 것으로 알려졌다.
자동 승인이란 댑에 접근할 때마다 승인 버튼을 눌러야 처리가 되는 번잡함을 없애기 위해 메타마스크가 만든 추가 기능이다. 매번 로그인을 수동으로 해야하는 불편함을 없애려고 '자동 로그인' 기능을 만든 원리와 유사하다. 자동 승인을 활성화하면 사용자는 해당 댑에서 추후에 다시 승인 버튼을 일일이 누르지 않아도 된다.
해커가 해킹을 목적으로 스캠(Scam, 사기) 프로젝트를 직접 만드는 사례도 보고됐다. 알렉스 마누스킨 젠고(ZenGO) 소속 연구원은 지난해 10월 "유니캣츠라는 스캠 프로젝트가 피해자 한 명에게 14만달러 상당의 유니(UNI) 코인을 탈취했다"고 소개했다. 마누스킨 연구원에 따르면 이 해커는 유니캣츠에 처음부터 악의적인 코드를 심은 후, 메타마스크 승인을 누른 사용자의 암호화폐를 노렸다.
지난 7일에는 국내 한 암호화폐 커뮤니티 채팅방에 메타마스크 지갑 해킹을 당했다는 피해 사례가 올라오기도 했다. 실제 코인데스크코리아가 코박에 확인해본 결과, 해커는 우선 국내 암호화폐 커뮤니티 사이트인 코박의 관리자 계정을 해킹한 후, 해당 계정으로 유니스왑 토큰 판매 안내글을 올렸다.
이메일 주소를 남기고 지갑을 연동하고 정해진 주소로 코인을 보내면 높은 이익율을 보장해 주겠다는 내용이었다. 이렇게 지갑을 연동할 경우 해커가 마음만 먹으면 개인 지갑 탈취 목적으로 악의적인 코드를 심을 수 있다. 실제로 이 피해자는 커뮤니티 채팅방에 피해 사실을 밝히며 "메타마스크 지갑에서도 1200만원 어치 (코인을) 다 빼갔다"고 적었다.
다만 코박은 "10일 현재까지 해당 총 5명의 피해자가 접수됐지만 메타마스크 승인 기능을 이용한 자금 탈취 사례는 확인되지 않았다"며 "코박은 피해가 접수되면 관련 자료를 피해자에게 제공하여 신고를 도와주고 경찰 수사에 적극 협조할 예정이다"라고 설명했다. 코박은 이들의 총 피해액을 약 1억2000만원으로 추정하고 있다.
국내외 피해를 종합해보면 대부분의 탈취 사례가 메타마스크 지갑에서 발생했다. 메타마스크가 개인용 전자지갑 서비스 점유율이 높기 때문으로 추정된다. 기본적으로 전자지갑 '승인' 기능을 이용한 해킹 피해는 블록체인 지갑이라면 어디서든 공통적으로 발생할 수 있다.
악의적인 코드에 한번 노출된 지갑은 자금이 탈취된 이후에도 해킹 가능성이 그대로 남아있기 때문에 주의해야 한다. 가장 좋은 방법은 공격에 노출된 지갑 대신 새로운 지갑을 이용하는 것이다. 물론 대안도 존재한다. 이에 대해 남두완 메이커다오 한국 대표는 "나도 디파이를 하는 과정에서 관련 피해를 몇 차례 겪은 바 있다"며 "지갑을 유지하고 싶다면 승인 처리를 취소해주는 사이트에서 내 지갑 주소를 입력하고 승인 내역을 확인한 뒤, 취소 버튼을 눌러 승인을 철회할 수 있다"고 설명했다.
처음부터 피해를 예방하는 방법도 생각해 볼 수 있다. 모종우 그로우파이 공동창업자는 "지갑 승인을 하기 전에 관렵 댑의 코드를 파악하고 들어가면 피해를 입지 않을 수 있다"고 말했다. 그러나 코드를 파악하는 일이 일반인에게는 쉽지 않다. 이에 대해 그는 "댑들도 저마다 코드 구조가 달라서 일반인들은 분석을 하기 어려운 것이 사실"이라며 "댑 진입 전에 커뮤니티의 반응을 충분히 살피고 들어가는 것이 최선의 방법"이라고 덧붙였다.
시총 상위권에 깜짝 등장한 신생 알트코인 뒤엔 '디파이'가 있다 
GBTC, NFT사기, 업권법 
금융위 "스테이블코인·디파이 규율 적극 검토" 
"가뭄들면 보험료 자동 지급되는 세상, 체인링크가 연결합니다" 
국내 최초 힙합 NFT 음원 나온다…팔로알토x영벅 신곡 NFT로 듣는다 
에이프코인 마이그레이션 논의 중.. 아발란체·플로우 언급 등 
디파이에 몰리는 자금… 올 3분기 크립토 투자 중 65% 
코인베이스 커스터디, 취급 후보 37종목을 발표 .. 디파이 관련 다수 
디파이 열풍의 원동력 “평범한 사람도 부자 될 수 있다” 
바이낸스, '디파이 토큰' 공격적 상장 중..."혁신 촉진할 것" 
"비트코인 개발자 나카모토 사토시 최고 부자 될 수도" 
외신, 디파이 프로젝트 '마운트나즈'·리플·솔라나에 주목...왜? 
중앙화 금융 '디파이' 미래 먹거리 부상 
가상화폐 동반 하락에 게임업계도 ‘멘붕’ 
결국 상폐된 루나…‘수익율 20%’ 외친 ‘위믹스3.0’ 어쩌나 
"테라 사태, 쟁점은 스테이블코인과 디파이…투자 심리 위축될 것" 
공매도에 꺾인 테라, 다른 스테이블코인은 안전할까 
[개미 지옥 된 암호화폐 시장] 직격탄 맞은 디파이 서비스…보름새 예치금 반토막 
샌티멘트 “고래들은 6개 암호화폐를 매집 중” ETH·LINK·REN·ELF·KNC·ZRX 
“디파이, 3분기 암호화폐 기업 투자서 80% 차지” 
