14억 달러 강도 사건 뒤에 숨겨진 보안 교훈
글: Certik
최근 CertiK의 최고상업책임자(Jason Jiang)가 Cointelegraph의 팟캐스트 『The Agenda』에 출연해 바이빗(Bybit) 사건을 중심으로 Web3.0 보안 문제를 심층적으로 논의했다. 하룻밤 사이 14억 달러 상당의 자산이 증발하면서 업계뿐 아니라 디지털 자산 보안을 걱정하는 모든 사용자들에게 충격을 안겼다. 이는 암호화폐 역사상 최대 규모의 도난 사건일 뿐만 아니라, 급속한 성장 속에 숨어 있던 산업 내 위험성도 적나라하게 드러냈다.
블록체인 보안 분야의 선도 기업인 CertiK는 이러한 위협에 대한 분석을 멈춘 적이 없다. Bybit 사건 발생 직후 CertiK는 신속히 기술적 분석을 진행하며 ‘블라인드 사인(blind sign)’ 문제를 지적했다. 인터뷰에서 Jason은 블라인드 사인이 발생하는 원인을 설명하며, 사용자들이 거래 주소를 최소 세 번 이상 꼼꼼히 확인할 것을 권고했다.
THORChain 검증 노드가 거래 롤백을 거부하자 Jason은 "우리는 마치 서부 개척시대에 살고 있는 것 같다"고 직설적으로 말했지만, 동시에 "웹3.0 산업이 성숙하기 위해서는 규제를 수용해야 한다"고 강조했다. 수억 달러에 달하는 해킹 공격 앞에서 불과 4,000달러에 불과한 취약점 포상금은 터무니없이 부족하며, 산업 전반적으로 보안 투자 부족 문제를 정면으로 마주해야 한다. 결국 웹3.0 시대의 황금기는 해커들의 잔치가 되어서는 안 된다.
바이빗 14억 달러 해킹 사건 후, CertiK 임원이 밝히는 암호자산 보안 강화 방안
올해 2월, 중심화 거래소 바이빗(Bybit)이 해커의 공격을 받아 업계에 큰 파장을 일으켰다. 북한 해커 조직 라자루스 그룹(Lazarus Group)이 이더리움 기반 토큰 약 14억 달러어치를 탈취한 것으로 알려졌으며, 이는 역대 최악의 암호화폐 도난 사건으로 기록됐다.
이번 해킹 사건 이후에도 여전히 많은 의문이 제기되고 있다. 어디서 문제가 생긴 것인지? 내 자산은 정말 안전한지? 그리고 이러한 사건이 다시는 발생하지 않도록 어떤 조치를 취해야 하는지?
블록체인 보안 기업 CertiK의 데이터에 따르면, 이번 대규모 도난 사건은 2월 전체 손실액의 약 92%를 차지한다. 이 사건의 영향으로 인해 2월 한 달간 암호화폐 총 손실액은 1월 대비 무려 1,500% 가까이 급증했다.
Cointelegraph의 팟캐스트 『The Agenda』 57회에서는 진행자 Jonathan DeYoung과 Ray Salmond이 CertiK의 최고상업책임자 Jason Jiang와 함께 바이빗 해킹 사건의 전말과 피해 규모, 그리고 사용자와 거래소가 암호화폐 보안을 강화하기 위해 취할 수 있는 구체적인 방안들을 자세히 다뤘다.
바이빗 해킹 사건 이후에도 암호화 지갑은 여전히 안전한가?
Jason은 간단히 이렇게 설명했다. 라자루스 그룹이 바이빗에 대한 대규모 해킹에 성공할 수 있었던 핵심은, 바이빗이 사용 중이던 멀티시그(Multisig) 지갑 'SafeWallet'을 관리하는 세 명의 서명자 장비를 모두 장악했기 때문이며, 이들로 하여금 자신들이 정상적인 거래라고 생각하게 만든 악성 트랜잭션에 서명하게 만들었다는 것이다.
이렇게 보면 SafeWallet 자체가 더 이상 신뢰할 수 없는 것일까? Jason은 그렇지 않다고 답했다. "Safe 개발자의 컴퓨터가 해킹당했을 경우, 해당 PC에서 더 많은 정보가 유출되었을 가능성도 있다. 그러나 개인 사용자 입장에서는 이런 일이 벌어질 확률은 극히 낮다고 본다."
그는 일반 사용자들도 자산을 콜드월렛에 보관하거나 소셜미디어에서 발생할 수 있는 피싱 공격에 주의하는 등의 방법을 통해 암호화폐 보안을 크게 강화할 수 있다고 조언했다.
Ledger나 Trezor 같은 하드웨어 지갑도 비슷한 방식으로 악용될 수 있는지 묻는 질문에 대해 Jason은 일반 사용자에게는 여전히 위험이 크지 않다며, 다만 신중한 거래 습관과 기본적인 리서치(DD)가 중요하다고 답했다.
"이번 사건의 원인 중 하나는 서명자가 거래 주소 전체를 확인하지 않은 채 거래를 맹목적으로 승인했다는 점이다." 그는 덧붙여 말했다. "절대로 보내는 주소가 실제로 보내고자 하는 주소인지 반드시 확인하라. 특히 금액이 클수록 반복적으로 확인하고, 최소 세 번은 꼼꼼히 체크하라."
"이번 사건을 계기로 업계 전반이 자정 작용을 시도하고 서명 프로세스를 더욱 투명하고 이해하기 쉽게 만들려는 움직임이 생길 것으로 본다. 물론 다른 교훈도 많겠지만, 그 중 하나는 분명히 이 부분일 것이다."
다음의 수십억 달러 규모 거래소 해킹을 어떻게 막을 수 있을까?
Jason은 이번 해킹 사건의 확산 원인 중 하나로 포괄적인 규제와 보안 체계의 부재를 지적했다. 앞서 라자루스 그룹이 탈취한 자금을 비트코인으로 전환하기 위해 사용한 크로스체인 프로토콜 THORChain의 일부 검증 노드들이 거래 롤백이나 차단을 거부한 것도 논란을 낳았으며, 이는 탈중앙화의 한계에 대한 깊은 논의를 촉발시켰다.
"서부 개척시대에 오신 것을 환영합니다." Jason은 이렇게 말하며, "현재 우리가 처한 현실이 바로 그렇다"고 강조했다.
"암호화폐 산업이 진정으로 성장하려면 규제를 수용해야 한다고 생각한다"며, "보다 널리 받아들여지기 위해선 오히려 적극적으로 규제와 협력하고, 산업 보안을 강화할 방법을 찾아야 한다"고 주장했다.
Jason은 사건 발생 후 바이빗 CEO 벤 저우(Ben Zhou)의 대응에는 긍정적인 평가를 내렸지만, 해킹 발생 이전 바이빗이 운영했던 버그 바운티 프로그램의 포상금이 고작 4,000달러에 불과했다는 점에는 아쉬움을 표했다. 대부분의 보안 전문가들이 순전히 금전적 동기에 의해 행동하지는 않더라도, 버그 바운티 금액을 늘리는 것은 거래소의 보안 수준을 높이는 데 분명한 도움이 된다고 설명했다.
거래소와 프로토콜이 어떻게 해서든 최고의 인재를 유치하고 유지하여 시스템 보안을 강화할 수 있을지 묻는 질문에 대해 Jason은 보안 엔지니어들이 항상 долж한 인정을 받지는 않는다고 지적했다.
"많은 사람들은 일급 인재들이 가장 많은 보상을 받을 수 있는 개발岗位으로 몰린다고 생각한다"고 말한 그는, "하지만 이는 우리가 보안 엔지니어들에게 얼마나 중요한 위치를 부여하는지도 관련된 문제다. 그들은 매우 막중한 책임을 지고 있다"고 덧붙였다.
"그들의 스트레스를 적절히 줄여주고, 더 많은 인정과 인센티브를 제공해야 한다. 금전적 보상이든 명예 포상이든, 우리가 할 수 있는 범위 내에서 합당한 보답을 해야 한다."
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
CertiK
