윤석열 대통령 당선자는 ‘디지털자산기본법’ 제정을 공약하면서 가상자산 ‘해킹’ 등에 대비한 보험제도 도입·확대를 약속했다. 최근 가상자산 해킹 사건이 잇달아 발생하면서 공약이 다시 주목받고 있다.

 

 

지난 2월 솔라나 랩스의 크로스체인 브리지 서비스인 웜홀이 3900억원 규모의 자금을 해킹당했다. 지난달에는 블록체인 기반 플레이 투 언(P2E) 게임인 액시 인피니티의 개발사 스카이 마비스가 개발한 사이드체인 로닌에서 약 7600억원의 가상자산이 유출됐다.

 

 

두 사건의 공통점은 무엇일까. 디파이(Defi·탈중앙 금융서비스)에서 일어난 가상자산 탈취라는 점이다. 디파이에는 큰 자금이 모여 있기 때문에 해커의 먹잇감이 되기 쉽다.

 

 

백용기 체이널리시스 한국지사장은 최근 “2022년 1분기에 해커들이 거래소, 플랫폼, 민간기업 등에서 13억달러 상당의 가상자산을 탈취했다”고 지적했다. 그는 “이 가운데 디파이가 탈취 금액의 97%를 차지했다”고 밝혔다. 이는 로닌, 웜홀 등 규모가 큰 디파이 해킹 사건이 1분기에 잇달아 발생한 결과다.

 

 

디파이 자금 탈취에는 크게 두 가지 유형이 있다. 첫째, 코드의 취약점을 이용한 공격이다. 탈중앙화와 투명성이 강조되는 디파이의 특성상 오픈소스 개발이 이뤄지는데, 해커가 이를 악용해서 코드의 취약점을 분석하는 것이다.

 

 

둘째, 플래시론을 활용한 공격이다. 플래시론이란 블록체인에서 블록이 생성되는 짧은 시간 동안 예치, 담보, 대출, 상환에 이르는 과정이 모두 이뤄지는 가상자산 대출 서비스다. 이더리움의 경우 블록이 1개 생성되는 데 평균 12초가 걸린다.

 

 

최근에는 메일이나 메신저 등을 활용해 이용자의 개인정보를 캐내는 피싱 공격도 빈번하다.

 

 

국내 대체불가능토큰(NFT) 프로젝트 메타콩즈의 디스코드 채널에서 지난 16일 일어난 4300만원 상당의 가상자산 탈취 사건도 피싱을 통한 것으로 밝혀졌다. 디스코드는 게이머를 위한 메신저 서비스다. 메타콩즈 관리자가 디스코드에서 협력 제안과 관련한 메시지에 첨부된 가짜 링크를 누르자 악성봇이 설치돼 해킹이 이뤄졌다.

 

 

그렇다면 가상자산 해킹에는 어떻게 대응해야 할까. 우선 블록체인 코드 감사를 통한 검증과 분산형 보안 솔루션이 적용된 디파이 서비스를 이용하는 것이 가장 중요하다는 게 보안 전문가의 의견이다.

 

 

그리고 디파이 프로젝트를 개발한 이들의 이력을 살펴보는 것도 중요하다. 모종우 언디파인드랩스 파트너는 “이용자 개개인이 들어가고자 하는 프로젝트 팀의 보안 이력을 스스로 확인할 필요가 있다”고 강조했다.

 

 

마지막으로 가짜 링크나 사이트에 대한 피싱에 주의해야 한다. 박정섭 웁살라 시큐리티 가상자산피해대응센터(CIRC) 팀장은 “피싱으로 개인키를 탈취당할 가능성이 높은 만큼 디파이 서비스의 도메인 주소나 링크가 맞는지 항상 점검해야 한다”고 당부했다.

 

 

자금이 이미 탈취됐다면 수사기관에 도움을 요청하고 블록체인 보안업체를 통해 탈취 경로를 파악해야 한다. 박 팀장은 “가상자산이 탈취됐다면 가장 먼저 경찰에 신고해야 한다”며 “블록체인 보안업체를 통해 탈취에 대한 포렌식 보고서를 제공받는 것도 하나의 방법”이라고 말했다.