보안 회사가 '해커'로 돌변? 크라켄과 세르티크의 대립 사건 전말
글: TechFlow
6월 20일, 오늘의 주요 화제는 암호화폐 거래소 크라켄(Kraken)과 블록체인 보안 회사 CertiK 사이의 논쟁으로, 암호화 세계에서 여론 전쟁이 벌어지고 있다. X(트위터)에서는 다수의 업계 유명 인사들과 KOL들이 CertiK를 협박과 갈취에 가담한 해커로 비난하고 있는데, 도대체 무슨 일이 있었던 것일까?
미국 소재 암호화폐 거래소 Kraken은 오랫동안 버그 바운티 프로그램을 운영하며, 보안 취약점을 제보하는 사람들에게 보상을 제공해왔다.
Kraken의 최고 보안 책임자(CSO)는 X를 통해 이전에 한 보안 연구원이 버그 바운티 프로그램을 통해 심각한 보안 결함을 신고했다고 밝혔다.
이 결함은 악의적인 공격자가 입금 절차를 완료하지 않은 상태에서도 Kraken 계정 내 자산을 생성할 수 있게 했다. 정보를 접한 후 Kraken 팀은 즉시 해당 결함을 수정했다.
하지만 이후 분석 결과, 문제가 단순하지 않았다는 사실이 드러났다.
해당 보고서를 제출한 보안 연구원은 자신의 계정 잔고를 4달러 늘렸으며, 또한 다른 두 명과 이 취약점을 공유해 총 약 300만 달러 상당의 자금을 Kraken 계정에서 인출하게 만들었다.
Kraken은 이후 이들로부터 자금을 회수하기 위해 협력을 시도했지만 거절당했고, 오히려 Kraken이 그들의 BD 팀(영업 담당자)과 대화하라는 요구를 받았다. Kraken이 가상의 손실 금액을 제시하기 전까지는 어떤 자금도 반환하지 않겠다는 것이었다. 이는 화이트햇 해킹이 아니라 명백한 협박이었다!
Kraken 보안팀은 격노하며 이러한 행위를 화이트햇이 아닌 협박으로 규정하고, 이를 형사 사건으로 처리하며 법 집행 기관과 협력하기로 결정했다.
그리고 자금 반환이 거부된 그 회사는 과연 누구였을까?
맞다. 이번 사건의 또 다른 주인공—보안 회사 CertiK이다.
CertiK은 이 건에 대해 다음과 같은 입장을 발표했다.
CertiK은 Kraken 거래소에서 수억 달러의 손실을 초래할 수 있는 심각한 보안 취약점을 발견했다며, 테스트를 통해 세 가지 주요 문제점을 확인했다고 주장했다. 더 심각한 것은 며칠간의 테스트 기간 동안 아무런 경보도 작동하지 않았다는 점이라고 강조했다.
그러나 취약점이 수정된 후, Kraken의 보안 운영팀은 불합리한 시간 내에 맞지 않는 양의 암호화폐를 상환하라고 CertiK 직원을 위협했으며, 상환 주소조차 제공하지 않았다고 주장했다.
또한 CertiK은 이 사건의 시간 순서를 추가로 공개하며, 최초로 문제를 발견한 시점은 6월 5일이라고 밝혔다.
사건이 알려진 후 더욱 많은 정보가 드러나기 시작했다.
@0xBoboShanti는 CertiK 보안 연구원이 트위터에 올린 한 주소가 이미 5월 27일부터 탐지 및 테스트를 진행하고 있었다는 사실을 발견했는데, 이는 CertiK이 공개한 시간표와 모순되는 내용이다.
또한 코인베이스(Coinbase)의 임원 @jconorgrogan은 CertiK이 자산을 자금세탁에 특화된 믹서 Tornado와 상호작용하고 있다는 점을 지적하며, "TornadoCash가 OFAC(외국자산통제국)의 제재 대상이라는 것을 알고 있죠? 게다가 당신네 등록지는 미국이잖아요?"라고 비판했다.
X상의 관련 논의 창을 열어보면 일제히 비난의 목소리가 쏟아지고 있으며, CertiK이 보안 기관에서 협박과 갈취를 저지르는 해커 집단으로 변질됐다는 의혹이 제기되고 있다.
Hype Investments 설립자 Hype는 다음과 같이 말했다.
"CertiK은 Kraken에서 300만 달러를 훔쳐갔고, 보상을 요구하면서 현금 반환을 거부했다. 그들은 트윗 하나로 모든 사실을 인정했으며, 지금은 당국의 압류를 피하려고 모든 자금을 Tornado.cash로 옮기고 있다."
21만 팔로워를 보유한 암호화 KOL 아담 코크란(Adam Cochran)은 "CertiK은 방금 자신들이 Kraken에서 데이터를 훔친 보안 회사이며, 추가 돈을 갈취하려 한다는 것을 인정했다. CertiK의 감사는 자주 해킹을 당했고, 이제 이런 사태까지 벌어졌는데도 여전히 존속하고 있다는 사실 자체가 믿기지 않는다. 정말 범죄자들이다."라고 비판했다.
댓글란의 한 무심한 구경꾼 @cryptopsychdoc은 흥미로운 비유를 덧붙였다.
"CertiK은 마치 바람피운 여자친구를 붙잡았을 때처럼 행동한다. 대면하자마자 오히려 너 왜 내 휴대폰을 뒤졌냐고 역으로 몰아세우는 꼴이다."
패러다임(Paradigm)의 CTO는 이전 CertiK의 펀딩 소식을 리트윗하며 조롱하듯 말했다. "투자 파트너들에게 축하를 보냅니다. 여러분의 포트폴리오 회사가 미국 거래소를 침입해 300만 달러를 훔치고, OFAC 제재 대상 프로토콜을 통해 자금세탁을 하는 이유를 설명해야 하겠네요."
이전 보도에 따르면, 2022년 4월 CertiK은 인사이트 파트너스(Insight Partners), 타이거 글로벌(Tiger Global), 어드벤트 인터내셔널(Advent International)이 공동 주도한 8800만 달러 규모의 B3 라운드 펀딩을 완료했으며, 골드만삭스, 세쿼이아 캐피탈, 라이트스피드 등이 신규 및 기존 투자자로서 참여했다. CertiK은 지난 9개월 동안 네 차례의 펀딩을 성사시키며 누적 투자금 2.3억 달러, 기업 가치 20억 달러를 기록했다.
우리는 CertiK 측으로부터 좀 더 직접적인 답변을 찾고자 했다. 예를 들어, 언제 자산을 반환할 것인지, 왜 반환하지 않는지, 만약 금액이 맞지 않는다면 실제 얼마여야 하는지, 왜 Tornadocash와 상호작용했는지 등의 질문들이다.
하지만 우리가 확인한 가장 최근의 반응은, CertiK이 반복적으로 강조하는 다음 문장뿐이었다. "진짜 문제는 Kraken의 다층 방어 시스템이 왜 이렇게 많은 테스트 거래를 탐지하지 못했는가 하는 것이다. 다양한 테스트 계정을 통해 연속적으로 대규모 인출을 수행하는 것은 우리의 테스트 일부분이다."
이는 일종의 조롱처럼 들린다—너희가 너무 약해서 그렇지!
이 사건의 전말을 종합해 보면, 스스로를 화이트햇이라 칭하는 보안 회사가 '해커'로 변모하는 순간, Web3라는 미개척 세계 속 선악의 경계는 더 이상 명확하지 않아 보인다.
더욱 아이러니한 점은, CertiK이라는 이름 자체가 영문 단어 'Certification'(인증)에서 유래했다는 사실이다. '인증자' 자체가 윤리적 인증을 받아야 하는 상황이라면, 이 얼마나 초라한 꼴단장인가.
Don't Trust, Just Verify.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
深潮TechFlow
