최근 개인 전자지갑을 노린 암호화폐 백도어 해킹으로 피해를 입는 국내외 투자자들이 늘어나고 있어 주의가 요구된다. 디파이(Defi) 투자자 등 암호화폐 투자에 익숙한 이들조차 해킹 피해를 보고 있다.
암호화폐 보안기업 웁살라시큐리티는 "해커가 사용자의 개인지갑을 탈취하는 사례가 여러 건 확인되고 있다"며 "지난 9일에도 한 사용자가 악의적인 코드가 들어있는 링크를 클릭한 뒤 지갑 연동을 승인해 자금이 탈취된 사례가 보고됐다"고 밝혔다.
해킹은 주로 유명 블록체인 지갑 프로젝트인 메타마스크의 '승인(Approve)' 기능을 이용해 악의적인 코드를 심는 방식으로 이뤄진다. 지갑 사용자가 해당 코드를 승인하면 일종의 백도어가 설치돼 메타마스크 안의 모든 코인이 탈취되는 해킹 수법이다.
메타마스크는 지갑 내에서 댑(DApp)을 연결할 때 사용자 승인 절차를 거치도록 설계돼 있다. 메타마스크 사용자에게 동의를 구하는 일종의 장치라고 보면 된다. 이를테면 다른 댑에 단순히 토큰만 전송한다고 하더라도 승인 버튼을 눌러야 전송이 완료된다. 해커는 이러한 기능을 악용해 메타마스크 계정을 해킹할 수 있다.
특히 개인 전자지갑을 많이 사용하는 디파이(DeFi, 탈중앙금융) 프로젝트에서 관련 사례가 지속적으로 나오고 있다. 지난 2월 디파이 프로젝트 푸루콤보(Furucombo)를 공격한 해커도 비슷한 사례다. 이 해커는 자동 승인 기능을 활용하는 악의적인 코드를 심어 약 1400만달러 상당의 암호화폐를 탈취한 것으로 알려졌다.
자동 승인이란 댑에 접근할 때마다 승인 버튼을 눌러야 처리가 되는 번잡함을 없애기 위해 메타마스크가 만든 추가 기능이다. 매번 로그인을 수동으로 해야하는 불편함을 없애려고 '자동 로그인' 기능을 만든 원리와 유사하다. 자동 승인을 활성화하면 사용자는 해당 댑에서 추후에 다시 승인 버튼을 일일이 누르지 않아도 된다.
해커가 해킹을 목적으로 스캠(Scam, 사기) 프로젝트를 직접 만드는 사례도 보고됐다. 알렉스 마누스킨 젠고(ZenGO) 소속 연구원은 지난해 10월 "유니캣츠라는 스캠 프로젝트가 피해자 한 명에게 14만달러 상당의 유니(UNI) 코인을 탈취했다"고 소개했다. 마누스킨 연구원에 따르면 이 해커는 유니캣츠에 처음부터 악의적인 코드를 심은 후, 메타마스크 승인을 누른 사용자의 암호화폐를 노렸다.
지난 7일에는 국내 한 암호화폐 커뮤니티 채팅방에 메타마스크 지갑 해킹을 당했다는 피해 사례가 올라오기도 했다. 실제 코인데스크코리아가 코박에 확인해본 결과, 해커는 우선 국내 암호화폐 커뮤니티 사이트인 코박의 관리자 계정을 해킹한 후, 해당 계정으로 유니스왑 토큰 판매 안내글을 올렸다.
이메일 주소를 남기고 지갑을 연동하고 정해진 주소로 코인을 보내면 높은 이익율을 보장해 주겠다는 내용이었다. 이렇게 지갑을 연동할 경우 해커가 마음만 먹으면 개인 지갑 탈취 목적으로 악의적인 코드를 심을 수 있다. 실제로 이 피해자는 커뮤니티 채팅방에 피해 사실을 밝히며 "메타마스크 지갑에서도 1200만원 어치 (코인을) 다 빼갔다"고 적었다.
다만 코박은 "10일 현재까지 해당 총 5명의 피해자가 접수됐지만 메타마스크 승인 기능을 이용한 자금 탈취 사례는 확인되지 않았다"며 "코박은 피해가 접수되면 관련 자료를 피해자에게 제공하여 신고를 도와주고 경찰 수사에 적극 협조할 예정이다"라고 설명했다. 코박은 이들의 총 피해액을 약 1억2000만원으로 추정하고 있다.
국내외 피해를 종합해보면 대부분의 탈취 사례가 메타마스크 지갑에서 발생했다. 메타마스크가 개인용 전자지갑 서비스 점유율이 높기 때문으로 추정된다. 기본적으로 전자지갑 '승인' 기능을 이용한 해킹 피해는 블록체인 지갑이라면 어디서든 공통적으로 발생할 수 있다.
악의적인 코드에 한번 노출된 지갑은 자금이 탈취된 이후에도 해킹 가능성이 그대로 남아있기 때문에 주의해야 한다. 가장 좋은 방법은 공격에 노출된 지갑 대신 새로운 지갑을 이용하는 것이다. 물론 대안도 존재한다. 이에 대해 남두완 메이커다오 한국 대표는 "나도 디파이를 하는 과정에서 관련 피해를 몇 차례 겪은 바 있다"며 "지갑을 유지하고 싶다면 승인 처리를 취소해주는 사이트에서 내 지갑 주소를 입력하고 승인 내역을 확인한 뒤, 취소 버튼을 눌러 승인을 철회할 수 있다"고 설명했다.
처음부터 피해를 예방하는 방법도 생각해 볼 수 있다. 모종우 그로우파이 공동창업자는 "지갑 승인을 하기 전에 관렵 댑의 코드를 파악하고 들어가면 피해를 입지 않을 수 있다"고 말했다. 그러나 코드를 파악하는 일이 일반인에게는 쉽지 않다. 이에 대해 그는 "댑들도 저마다 코드 구조가 달라서 일반인들은 분석을 하기 어려운 것이 사실"이라며 "댑 진입 전에 커뮤니티의 반응을 충분히 살피고 들어가는 것이 최선의 방법"이라고 덧붙였다.
코인 맡기기만 해도 돈 주는 '스테이킹'
코빗, 디파이 전용 비트코인 'WBTC' 원화 거래 개시
코인 '고수'도 털리는 메타마스크 해킹 주의보 
코리아씨이오서밋, ‘NFT META Seoul 2021' 성료 
컴파운드, 크로스체인 플랫폼 ‘게이트웨이’ 발표 
컴파운드, 기관 디파이 서비스 최초로 S&P 신용등급 평가받았다 
컴파운드 창업자 "오라클 공격 의혹, 아직 확언할 수 없어" 
컴파운드 랩스 "COMP, 프로토콜 지원 자산 추가...제안 27 통과" 
커지는 암호화폐 '디파이' 시장…규제 사각지대에 갇힌 소비자 
커브(CRV), 세럼(SRM), 비지엑스프로토콜(BZRX), 샌드박스(SAND), 쿠사마(KSM) 등 BTC 및 USDT 마켓 상장 
커브 파이낸스, Pool Factory v1에서 취약점 발견 
커버 프로토콜 해킹 피해, 커버 토큰 96% 이상 폭락 
카톡 클립에 클레이 예치하면 연 6% 이자 보상 
카카오가 그리는 메타버스·블록체인 생태계는? 
카카오 블록체인 크러스트, 게임·디파이 투자 잇따라 
카카오 계열사 크러스트, 코코아 파이낸스에 투자···디파이 생태계 확장 
카이버네트워크, 'Kyber 3.0' 업그레이드 발표…올 3분기 말 완료 목표 
카바랩스(KAVA), 디파이 전용 지갑 브릿지 출시 
카르다노가 '디파이 맛집' 되지 못한 이유는? 
카르다노(ADA), 디파이 본격 진출 위해 본들리 파이낸스와 파트너십 
