세계 최대 NFT 거래소 ‘오픈씨’도 털렸다

- Advertisement -

NFT는 Non Fungible Token의 약자로 우리 말로 ‘대체불가토큰’을 의미한다. 기존 암호화폐가 개수당 동일한 가치를 가져 상호 교환 가능한 ‘대체가능토큰’이라면 NFT는 각각 고유값을 갖고 있어 서로 대체할 수 없다. 희소성이 크다는 말이다. 이에 최근 NFT는 예술품, 게임 아이템, 부동산 등 다방면에서 활용되고 있다.

NFT가 주목을 받으면서 NFT거래소도 덩달아 활발히 운영되고 있다. 세계 최대 NFT 거래소는 오픈씨(Opensea)다. 이곳에서 거래되는 NFT 거래량만 지난해 14조원에 달한다. 하지만 보안은 완벽하지 않은 모양이다. 최근 오픈씨에서 피싱공격으로 인한 NFT 유출 사건이 발생했다. 지난달 취약점 공격으로 75만달러(9억원) 규모 피해가 발생한지 한 달만이다.

피싱 공격에 32명 피해…액수만 170만달러(20억원)

오픈씨 최고경영자(CEO) 데빈 핀저(Devin Finzer)에 따르면 이번 사건은 사용자들을 속여 금융·개인정보를 빼내는 ‘피싱 공격’ 방식으로 발생했다. 피해자는 32명이며 총 254개 NFT가 도난당했다고 전했다. 피해액수는 170만달러로 추산된다. 이는 당초 예상됐던 2억달러 대비 줄어든 수치다.

이번 공격은 NFT거래소에서 흔히 사용되는 오픈소스 표준 ‘와이번 프로토콜(Wyvern Protocol)’의 취약점을 악용한 것으로 알려졌다. 해커는 대부분 공백인 계약서에 서명토록 유도한 뒤 소유권을 이전했다. 핀저는 “사용자들이 공격자의 악의적인 페이로드(피해를 주기 위한 이메일 등)에 서명했고 일부 NFT를 도난당한 것 같다”고 전했다.

블록체인 보안업체 펙실드(Peckshild)도 “해킹은 피싱일 가능성이 크다”며 “피해자는 피싱 이메일의 지시에 따라 NFT 이전을 승인했고 불행히도 이를 통해 해커는 귀중한 NFT를 훔칠 수 있었을 것”이라고 분석했다. 또 공격에 따른 피해 NFT 명단을 공유하기도 했다.

오픈씨, 어떤 조치를 취했나

다만 어떤 유형의 페이로드가 사용됐는지는 정확히 드러나지 않았다. 해커들이 반쪽짜리 계약에 서명을 받기 위해 어떤 방식을 취했는지도 불분명하다. 오픈씨 측은 웹사이트나 회사에서 보낸 이메일의 문제는 아니라고 판단하고 있다. 현재 도난당했던 NFT는 일부 반환된 상태다.

오픈씨 측은 이번 사건에 대한 전수조사를 진행하고 있다. 회사는 최근 트윗을 통해 “우리는 오픈씨 관련 스마트 계약과 관련된 악용 루머를 적극 조사하고 있다”며 “웹사이트 밖에서 시작된 피싱 공격으로 보이는 만큼 외부 링크를 클릭하지 말라”고 당부했다.

다만 평가는 박하다. 해외 IT전문지 더 버지는 “오픈씨는 사용자가 블록체인과 상호작용하지 않는 간단한 인터페이스를 제공해 NFT 열풍에서 가장 가치 있는 기업 중 하나가 됐다”면서도 “이 성공에는 사용자의 소중한 자산을 훔치는 공격과 같은 어려움이 수반되고 있다”고 비판했다.

오픈씨, 지난달에도 해커 공격

오픈씨는 지난달에도 해커의 공격으로 75만달러 상당 피해가 발생한 바 있다. 당시 공격은 펙실드의 실시간 경고봇 펙실드얼러트(Pekshieldalert)에 의해 발견됐다. 해커는 오픈씨의 취약점을 공략해 사용자가 원하지 않은 가격에 NFT를 대폭 할인해 판매했다. 이에 따라 ‘지루한 원숭이들의 요트클럽’(BAYC) NFT가 하한가 대비 92% 저렴한 가격에 판매되는 사고가 발생했다.

(출처:Pixabay)

내 NFT를 보호하려면?

암호화폐전문 매체 인베스팅큐브(Investing Cube)는 NFT를 블록체인 기반 비수탁 지갑 (Non-custodial Wallet)에 저장할 것을 권고했다. 비수탁 지갑은 12~24개의 단어와 터치식별, 비밀번호 조합으로 보호되기에 비교적 안전하다는 설명이다. 다만 완벽하지는 않은 만큼 누군가에게 이에 대한 정보를 일체 제공하지 않아야 한다고 했다.

또 의심스러운 거래에 절대 응하지 않아야 한다고 강조했다. 인베스팅 큐브는 “아무도 해커에게 당하지 않는다고 생각하지만 똑똑한 사람들도 희생양이 되는 게 현실”이라고 전했다. 이 밖에 해커들의 원격 접속을 막기 위해 오프라인 외장 드라이브를 사용하는 방법과 IP 주소를 숨기고 인터넷 트래픽을 암호화하는 가상사설망(VPN) 이용도 권했다.

테크플러스 에디터 윤정환

tech-plus@naver.com​

[fv0012]

- Advertisement -

댓글

Please enter your comment!
Please enter your name here

Related Stories