로닌 네트워크: 6억달러 상당 암호화폐 해킹… 시사점은?

역사상 두 번째로 큰 규모의 암호화폐 해킹 사건이 발생했다. 이에 따라 수천 명, 혹은 수백만 명의 피해자가 발생할 수도 있을 것으로 보인다.

블록체인 모바일 게임 '액시 인피니티'를 구동하는 블록체인 네트워크인 '로닌 네트워크'가 해킹을 당해 6억1500만달러(약 7400억원) 규모의 이더리움이 탈취된 사건이 최근 알려졌다.

영국 윌트셔 출신의 댄 린(20)도 이들 피해자 중 하나다. 린은 BBC와의 인터뷰에서 "0.1 이더리움, 약 2500파운드(약 400만원) 치를 잃었다. 내 상황도 나쁘지만, 더 잃은 친구도 있다"라고 말했다.

또 아일랜드 출신 잭 케니(23)는 "1만달러 정도 잃었다"고 밝혔다.

케니는 "사람들이 이 해킹 사건의 중요성을 완전히 이해하지 못하고 있는 것 같다. 6억달러는 이 네트워크 전체 자산에서 매우 큰 부분"이라고 말했다.

8000달러를 잃었다고 밝힌 미국 동부 출신의 한 남성은 '액시 인피니티'를 통해 디지털 코인을 모은 사람 중 아마 "평생 모은 돈"을 잃은 사람도 있을 수 있다고 덧붙였다.

'액시 인피니티'의 플레이어들은 '액시즈'라 불리는 대체불가능토큰(NFT) 형태의 디지털 애완동물을 수집해 다른 액시즈와 겨룬다. 이 '액시즈'를 팔면 암호화폐를 벌 수 있다.

'액시 인피니티'는 암호화폐를 벌고 이 게임의 NFT를 수집하려는 전 세계 플레이어 수백만 명에게 인기를 끌었다.

특히 필리핀에서 그 인기가 높아 온종일 게임을 하는 이용자가 늘며, 해당 게임의 플레이어가 수익성 높은 직업으로 떠오르기도 했다.

'액시 인피니티'의 개발사인 베트남의 '스카이 마비스'가 소유한 '로닌 네트워크'를 통해 플레이어들은 자신들이 '액시 인피니티'에서 번 디지털 코인을 이더리움 같은 다른 암호화폐와 교환할 수 있다.

'스카이 마비스' 측은 6일 전 5억4000만달러 상당의 암호화폐가 해킹으로 탈취당했으며, 이후 한 사용자가 자신이 보유한 이더리움을 인출할 수 없다고 29일 신고하면서 뒤늦게 해킹 사실을 알게 됐다고 밝혔다.

이후 시세가 오르면서 도난당한 암호화폐의 가치는 약 6억1500만달러에 이른다.

이번 사건은 가장 최근에 발생한 암호화폐 탈취 사건으로, 현재까지 20억달러가 훨씬 넘는 가치의 암호화폐가 유출됐다.

해킹을 둘러싼 일련의 사건들은 암호화폐와 탈중앙화금융(DeFi)의 위험성에 대해 많은 시사점을 던진다.

고객들은 돈을 돌려받을 수 있을까

'로닌 네트워크' 측은 "사법당국, 법의학 암호화폐 학자, 투자자 등과 협력하여 모든 고객에게 자산을 돌려주거나 배상할 수 있도록 노력하고 있다"라고 밝혔다.

현재 '로닌 네크워크'는 뉴스레터 플랫폼인 '서브스택'에 성명서 단 하나만을 게재한 상태이며, 자사 웹사이트도 오프라인으로 전환했다.

이에 더불어 기업 공식 SNS 계정의 모든 댓글 창을 막았으며, BBC는 기업 고위 임원들에게 문의한 그 어떤 내용에도 답을 받지 못했다.

피해자인 린은 "고객 지원 센터에 연락하지 않았다. 소용없다는 것을 알기 때문"이라며 심경을 토로했다.

"원상 복구가 되긴 하는 것인지, 그렇다면 그게 언제인지 소식이라도 알고 싶습니다. 제 자산을 돌려받고 싶습니다. 암호화폐 기업들의 운영 방식은 일반 기업과 다릅니다."

실제로 '로닌 네크워크'는 아직 고객들에게 이들의 자산에 무슨 일이 일어나고 있으며, 언제쯤 돌려받을 수 있는지 등의 소식을 알려주지 않은 상태다.

대규모 암호화폐 해킹 사건을 살펴보면, 대부분의 경우 고객들은 어떤 식으로든 배상받았다. 그러나 배상까지 몇 달 혹은 몇 년이 걸릴 수도 있다.

암호화폐 전문 매체인 '프로토스'의 작가 데이비드 카넬리스는 암호화폐 기업들의 고객과의 의사소통은 형편없기로 악명 높다고 말했다.

"5억달러 이상을 취급하는 기업과 거래한다면 대개는 원활한 의사소통이나 더 많은 소통 창구를 기대할 것입니다. 특히나 해킹처럼 보안상의 문제가 생겼을 때는 더 그럴 것입니다.

그렇긴 하지만, 이 암호화폐 생태계에서 중요한 원칙 중 하나는 누구나 자신만의 암호화폐를 만들 수 있다는 것입니다. 그리고 이 원칙을 가로막는 일이 있어서는 안 됩니다."

사건 발생 경위

'로닌 네크워크'에 따르면 '액시 인피니티'의 플레이어가 감당 안 될 규모로 증가한 지난 2021년 11월에 해킹이 시작됐다고 밝혔다.

그러면서 게임에 많은 플레이어가 몰려 "서버가 감당해야 하는 트래픽 부하가 상당했다"라면서, 이에 따라 서버 부하를 낮추기 위해 보안 절차를 느슨하게 할 수밖에 없었다고 설명했다.

12월에는 상황이 진정됐지만 보안 절차 강화를 잊었으며, 이에 따라 해커들이 백도어를 이용해 침입했다고 전했다.

경제학자이면서 금융 및 경제 관련 작가인 프랜시스 코폴라는 이를 두고 "암호화폐 기업의 전형적인 모습"이라고 말했다.

"해킹과 탈취 사건은 많이 반복됐습니다. 솔직하게 말하자면 기업들의 주의가 부족했던 탓이며, 이들이 고객의 자금에 주의를 충분히 기울이지 못한 탓이죠.

암호화폐 기업들은 눈앞의 돈벌이에 급급해 폭발적인 수요를 받아들이는 데에만 혈안이 되어 있습니다. 그래서 설계를 잘못하고 테스트를 거치지 않은 코드를 사용하는 등 보안을 경시하거나, 대응 여력이 없는 인프라에 의존하곤 합니다."

역대 암호화폐 해킹 사건

영국의 암호화폐 분석 업체 '일립틱'은 해킹 당시 피해 규모를 기준으로 아래와 같이 5대 암호화폐 해킹 사건을 선정했다.

해킹이 반복되는 이유

해커들이 암호화폐를 점점 더 노리기 쉬운 표적으로 인식하고 있다는 것이 전문가들의 의견이다.

'일립틱'의 톰 로빈슨은 암호화폐 기업들이 "해커들에겐 큰 꿀단지처럼 매력적이라, 이들을 불러 모은다"라고 설명했다.

"암호화폐 거래는 불가역성을 지닙니다. 해커가 한번이라도 암호화폐 탈취에 성공하게 되면 이를 회수하거나 되돌리기가 매우 어렵습니다."

또한 "랜섬웨어처럼 해커가 해킹당한 기업과 협상을 통해 이득을 갈취하는 여타 사이버 범죄와 달리, 암호화폐 관련 해킹은 추가적인 현금화할 수 있다는 점에서 매력적"이라고 설명했다.

이번 해킹 사건의 배후는 아직 알려진 바 없다.

그런데 사이버 범죄의 목적이 반드시 금전적인 이유가 아닐 때도 있다. 예를 들어 몇몇 암호화폐 탈취 사건의 배후로 국가가 지원하는 해커 단체가 지목된 일도 있었다.

블록체인 분석 기업 '체이널리시스' 연구진에 따르면 북한의 해커들은 지난해만 암호화폐 플랫폼을 최소 7차례 공격해 거의 4억달러 상당의 암호화폐를 빼돌렸다.