암호화폐 털어가는 해커들…KISA "해외 ISP 등과 공조 중"

[아이뉴스24 김혜경 기자] 최근 블록체인 기술을 활용한 '탈중앙화 금융(Decentralized Finance‧DeFi)' 서비스 해킹 사건이 발생하면서 보안 대책 마련이 시급하다는 목소리가 나온다.

지난달 초 국내에서는 처음 발생한 디파이 해킹에 'BGP 하이재킹(Hijacking)'이라는 다소 생소한 기법이 사용된 것으로 알려지면서 조사 결과에 관심이 쏠린다.

4일 보안업계에 따르면 한국인터넷진흥원(KISA) 등은 국내외 수사기관과 해외 인터넷 서비스 제공사(ISP)와의 공조를 통해 '클레이스왑(KLAYswap)' 해킹 사건을 조사하고 있다.

KISA 관계자는 "당시 BGP 하이재킹이라는 기법이 사용된 것으로 추정됐지만 명확하게 어떤 방식이 이용됐는지는 아직 조사하고 있다"며 "해외 기관과도 공조 중"이라고 말했다.

앞서 지난달 국내 탈중앙화 거래소 클레이스왑에서 22억원 상당의 가상자산이 해커에게 탈취당하는 사건이 발생했다. 클레이스왑에서 공개한 사고 리포트(Incident Report)에 따르면 2월 3일 오전 11시 31분(한국시간 기준) 클레이스왑 UI를 통해 토큰(암호화폐) 관련 기능을 실행했을 때 토큰이 특정 지갑으로 전송됐다.

사고 원인으로는 외부 네트워크망 공격으로 파악됐다. 사용자가 파일 요청 시 정상적인 서버가 아닌 공격자가 구축한 제3의 서버로 연결돼 악성 파일이 다운로드된 것으로 나타났다. 해커는 사용자 요청에 대해 토큰을 직접 보내거나 사용 승인하도록 변경하는 악성 파일을 제작한 것으로 분석됐다.

이번 해킹으로 총 325개 지갑에서 407개의 비정상적 트랜잭션(Transaction)이 발생했고, 20억원이 넘는 가상자산이 탈취된 것으로 파악됐다.

공격자는 BGP 하이재킹 기법을 사용한 것으로 추정됐다. ISP를 해킹해 정상적인 서버로 가는 요청을 해커가 만든 서버로 우회시키는 방식이다.

문종현 이스트시큐리티 ESRC 센터장은 "BGP 하이재킹이 확실하다면 파급력이 있는 공격 기법이기 때문에 국가적 차원에서 이번 사건을 면밀히 들여다봐야 한다"며 "이번 해킹 이슈과 비슷한 사건은 국내에서는 거의 보고된 적 없고 해외에서 간헐적으로 발생했던 사례"라고 말했다.

문 센터장은 또한 "악성 파일 공유가 잘 이뤄지지 않고 있다는 점에서 민간 보안업체 입장에서는 크로스체크가 어려운 상황"이라며 "해당 기법이 사용됐다면 ISP 측에 보안 지침을 내리는 등의 조치부터 취해야 한다"고 강조했다.

신동휘 스틸리언 부사장은 "가상자산 탈취 액수 등 피해 규모를 떠나 이번 사건은 국내에서 처음 발생한 디파이 해킹이라는 점에서 의의가 있다고 본다"며 "해외 ISP 공조와 업체 측에서 발표한 보고서에 BGP 하이재킹이라는 용어가 포함됐다는 점 등을 미뤄봤을 때 해당 기법이 사용된 것이 맞을 것"이라고 말했다.

한편 클레이스왑은 해당 사건에 대한 보상 절차를 밟고 있다. 클레이스왑은 텔레그램 채널을 통해 "지난달 해킹 사건에 대한 1차 보상이 완료됐으며 진행된 보상 프로세스는 2월 21일까지 신청된 160건의 신청서에 따라 이뤄졌다"고 전했다.

/김혜경 기자(hkmind9000@inews24.com)