오픈소스의 아킬레스건: 2개월 만에 스타 9000개를 달성한 Nofx와 그 해커 논란, 내부 갈등, 오픈소스 논란
저자: WquGuru
작성 배경
Nofx 프로젝트가 화제를 모은 기간 동안, 필자는 nof0 프로젝트를 개발한 바 있으며, 이는 Nofx와 마찬가지로 모두 nof1에서 영감을 얻었다. 개발 과정에서 필자는 Nofx의 핵심 멤버인 Tinkle 및 Zack과 기술 구현과 오픈소스 협업에 관한 논의를 나눈 적이 있다.
명확히 해야 할 점은, 필자는 Nofx 팀과는 기술적 교류만 있었으며 어떠한 상업적 협력 관계도 없었고, ChainOpera AI(COAI) 팀과는 직접적인 접촉조차 없었다는 것이다. 본 글 작성 시, 필자는 가능한 한 객관적이고 중립적인 입장을 유지하려 노력하였으며, 모든 분석과 판단은 GitHub 기록, 소셜 미디어 발언, 보안 보고서 등 공개적으로 확인 가능한 자료를 기반으로 하였다.
사건의 시간적 범위:
-
2025년 10월 말: Nofx 프로젝트 시작, 2개월 만에 GitHub에서 약 9,000개의 스타를 확보
-
2025년 11월: 보안 취약점 노출, SlowMist가 보안 경고 발표(해커 게이트)
-
2025년 12월: 오픈소스 라이선스 분쟁 발생(오픈소스 게이트), 동시에 내부 분열이 표면화됨(내분 게이트)
전체 사건은 약 2개월간 지속되었으나, Web3 오픈소스 운동 내 다수의 모순을 집중적으로 드러냈다.
본문을 작성한 목적은 특정 측에 서거나 책임을 묻기 위한 것이 아니라 다음과 같은 것을 위해 마련되었다:
-
Web3 오픈소스 운동의 전형적인 사례를 완전히 기록하는 것
-
오픈소스 정신과 상업적 이익 사이의 심층적 충돌을 탐구하는 것
-
향후 업계의 규범 형성을 위한 반성과 참고 자료를 제공하는 것
이제부터 이 복잡한 이야기를 처음부터 정리해보자.
서막: 하나의 AI 거래 프로젝트가 인기를 끌다
2025년 10월 말, 트위터에서 'Nof1'이라는 AI 자동 거래 프로젝트가 폭발적인 관심을 받았다. 며칠 만에 nof0, nofx 등 여러 가지 오픈소스 버전들이 GitHub에서 수천 개의 스타를 획득했다. 그중 Nofx 프로젝트는 10월 말 개발을 시작하여 12월에는 이미 9,000개 이상의 스타를 확보하며 AI Trading 분야에서 가장 주목받는 오픈소스 프로젝트 중 하나가 되었다.
그러나 불과 두 달 만에 이 스타급 프로젝트는 세 가지 위기에 직면하게 된다.
해커 게이트: 블록체인 보안 회사인 SlowMist는 Nofx에 심각한 보안 취약점이 존재하여 전 세계 1,000개 이상의 배포 인스턴스 사용자의 거래소 API 키, 개인 키, 지갑 주소가 모두 노출되었다고 밝혔다. Binance, OKX 등의 주요 거래소는 긴급히 개입하여 영향을 받은 사용자들의 인증 정보 변경을 지원하였다.
내분 게이트: 프로젝트 핵심 멤버 Tinkle은 공동 창립자인 Zack이 "단 14일 참여하고 몇 줄의 코드 기여만 했음에도 불구하고 지분의 50%, 50만 달러를 요구한다"고 공개적으로 비판했다. Zack은 변호사를 통해 법적 문서를 보내며 Tinkle이 "자산을 횡령하고 이권을 유착시켰다"고 주장했으며, 각각 지분 50%를 소유한다는 파트너십 등록 서류를 제출했다.
오픈소스 게이트: Nofx는 1,700만 달러의 펀딩을 유치한 ChainOpera AI(COAI)가 AGPL 오픈소스 라이선스를 위반하여 코드를 무단으로 사용하여 상용 제품을 배포했다고 공식적으로 고발했다. COAI는 이에 반박하며 Nofx가 11월 3일까지 MIT 라이선스였으며, 11월 4일에야 AGPL로 변경되었고, 또한 자사 제품은 Python으로 개발되어 Nofx의 Go 구현과 전혀 다르다고 주장했다.
커뮤니티로부터 열광적으로 지지받던 오픈소스 프로젝트가 어떻게 단 두 달 만에 이렇게 복잡한 다중 위기에 빠지게 된 것일까? 이 사건은 오픈소스 커뮤니티, 스타트업 팀, 투자 생태계의 어떤 구조적 문제를 드러낸 것일까? 다섯 가지 핵심 질문을 통해 이번 사건을 깊이 있게 분석해보자.
문제 1: 오픈소스 라이선스가 정말 위반되었는가?
MIT와 AGPL: 두 가지 극명히 다른 오픈소스 철학
Nofx와 COAI의 라이선스 분쟁을 논하기 전에, 두 가지 오픈소스 라이선스의 근본적인 차이를 이해해야 한다.
MIT License(MIT 라이선스)는 가장 관대한 오픈소스 라이선스 중 하나이다. 다음을 허용한다:
-
코드의 자유로운 사용, 수정, 배포
-
상업적 목적 사용 시에도 오픈소스화할 필요 없음
-
유일한 조건: 원작자의 저작권 표시 유지
AGPL v3.0(GNU Affero 일반 공중 라이선스)은 가장 엄격한 오픈소스 라이선스 중 하나이다. 다음을 요구한다:
-
해당 코드를 사용하는 모든 프로젝트는 반드시 오픈소스로 공개해야 함
-
특히 SaaS처럼 네트워크를 통해 서비스를 제공하더라도 소스코드를 공개해야 함
-
원 프로젝트 정보를 명확한 위치에 표시해야 함
MIT에서 AGPL로의 전환은 "극도의 관대함"에서 "극도의 엄격함"으로의 180도 변화이다. 이것이 바로 이번 논란의 핵심이다.
라이선스 변경과 시점 논란
Nofx 프로젝트는 MIT에서 AGPL로 라이선스를 변경했지만, 정확한 변경 시점이 논쟁의 중심이 되었는데, 이 시점은 COAI 팀이 코드를 포크할 당시 적용된 라이선스를 결정짓기 때문에 매우 중요하다.
양측의 증거 비교:
-
Nofx 팀은 GitHub commit 기록을 제출하여 라이선스 파일 수정 시점을 보여줌
-
COAI 팀은 자사의 기록과 관찰 결과, 라이선스 변경의 공개 시점에 의문을 제기함
ChainOpera의 "표절" 고발
Nofx 커뮤니티는 1,700만 달러의 펀딩을 유치하고 Binance Alpha에 상장한 ChainOpera(COAI) 프로젝트의 코드가 Nofx와 매우 유사하다는 사실을 발견했다.
Nofx 측의 주장:
-
COAI는 출처를 표기하지 않고 소스코드를 공개하지 않은 상태에서 Nofx의 코드를 사용함
-
당시 유효했던 AGPL 라이선스에 따라 COAI는 코드 출처를 명확히 밝히고, 수정된 소스코드를 공개하며, 동일하게 AGPL 라이선스를 채택해야 함
COAI 측의 반응:
-
자사가 코드를 포크했을 당시 Nofx는 여전히 MIT 라이선스였다고 주장
-
MIT 라이선스는 상업적 사용을 허용하며 소스코드 공개를 요구하지 않음
-
라이선스 변경 시점에 대한 논란은 전체 사건의 성격 판단에 영향을 미침
오픈소스 라이선스 분쟁: 누가 옳은가?
이 분쟁은 Web3 오픈소스 생태계의 심층적 문제를 드러낸다:
라이선스 변경의 유효성 문제:
-
소급 효력 논란: 오픈소스 라이선스 변경이 이미 포크된 코드에 대해 구속력을 갖는가?
-
시점 인식: 라이선스 변경의 정확한 시점을 완전히 확정하기 어려움, 양측 주장이 엇갈림
-
증거 신뢰도: GitHub 기록은 수정 가능하여 보다 권위 있는 제3자 검증이 필요함
-
라이선스 변경 통지: MIT에서 AGPL로의 변경이 커뮤니티에 어느 정도 전달되었는가?
상업적 이익의 충돌:
-
COAI는 대규모 펀딩을 유치하고 Binance에 상장되어 상업적 가치가 큼
-
Nofx는 오픈소스 프로젝트로서 상업화 경로가 불명확함
-
핵심 모순: 오픈소스 공유 정신과 상업적 이익 보호 사이의 균형 난제
커뮤니티 의견 분열:
-
Nofx를 지지하는 입장: COAI는 오픈소스 코드를 이용하여 수익을 창출하면서도 커뮤니티에 환원하지 않았음
-
COAI를 지지하는 입장: MIT 라이선스는 상업적 사용을 허용하며, 라이선스 변경 시점에 의문이 있음
-
중립 관찰자: 시점 논란이 핵심이며, 보다 신뢰할 수 있는 증거가 필요함
법률과 기술의 회색 지대:
-
오픈소스 라이선스의 체인 기반 프로젝트에서의 법적 효력은 아직 불명확함
-
GitHub 기록의 조작 가능성은 그 증거로서의 신뢰도를 약화시킴
-
Web3 업계는 성숙한 오픈소스 분쟁 해결 메커니즘이 부족함
요약: 논란의 여지가 있는 고발
현재 공개된 증거를 종합하면, Nofx가 COAI에 제기한 오픈소스 라이선스 침해 고발은 여러 가지 의문점이 있다:
-
시점 불확실: GitHub 증거는 11월 4일에야 AGPL로 변경되었음을 보여줌
-
기술 구현 방식 다름: 인터페이스 이름이 같다고 해서 코드가 동일한 것은 아님
-
로그 설명 타당: MIT 단계에서 삽입된 통계 기능은 계속 기록될 수 있음
-
자기 자신도 규정 위반 가능성: 사용자에게 알리지 않고 통계 기능을 삽입하여 개인정보법 위반 가능성 있음
-
의사소통 절차 성급: 같은 분 안에 메일과 공개 고발을 동시에 발송
주목할 점은, 라이선스 변경 시점의 논란이 전체 사건의 성질 판단에 결정적인 영향을 미친다는 것이다. 만약 Nofx의 주장이 맞다면 COAI는 분명히 AGPL 라이선스를 위반한 것이며, COAI의 주장이 맞다면 그들의 행위는 완전히 MIT 라이선스 규정에 부합한다. 이 시점의 판별은 여전히 보다 권위 있는 제3자의 검증이 필요하다.
문제 2: 14일이 지분의 50%에 해당하는가?
만약 오픈소스 게이트가 Nofx의 외부와의 분쟁이라면, 내분 게이트는 이 프로젝트 내부 모순의 공개화 즉, "기여"와 "가치"에 관한 창립팀 간의 다툼이다.
타임라인: 합류에서 대립까지
2025년 10월 28일: Nofx 개발 시작;
2025년 10월 29일: Zack이 프로젝트에 합류(이때 프로젝트는 막 하루 전에 오픈소스화됨);
2025년 11월 초: Zack이 Amber Group의 상업화 참여를 소개하겠다는 이유로 지분 50% 요구;
2025년 11월 초: Tinkle이 CEO 겸 CTO로서 자신이 주도했고 Zack의 기여가 부족하다며 지분 50%를 거부;
2025년 11월 19일: Zack의 변호사(홍콩 JunHe 법률사무소)가 공식적으로 "무해적 권리 보존 합의 제안"(Without Prejudice Save as to Costs)을 발송하며, Zack이 보유한 지분 50%를 50만 달러에 매입할 것을 요구;
2025년 12월: 모순이 공개화되며 양측이 소셜미디어에서 서로를 고발;
시간적으로 보면, Zack이 합류해서부터 변호사 서한을 보낼 때까지 한 달도 채 걸리지 않았다. 이는 확실히 짧은 기간이다.
대립: 극명히 다른 두 가지 증거
Tinkle의 주장:
-
Zack은 단 14일만 참여함
-
몇 줄의 코드 기여만 함("확인 가능")
-
프로젝트가 이미 오픈소스화되고 수천 명의 TG 그룹 멤버를 보유한 후에야 합류함
-
Amber 투자를 소개하겠다는 조건으로 막대한 지분을 요구함
-
거부당하자 프로젝트 트위터 계정을 강제로 보유함
-
변호사 서한을 통해 50만 달러를 요구하며 협박죄에 해당함
-
Zack은 Amber 인턴이었으나 정규직 전환되지 못하고 퇴사함
-
결국 Amber 투자를 유치하지 못함
Zack의 반박:
-
APEIRON LABS PTE. LTD.의 회사 등록 서류를 제출함
-
서류에는 Tinkle과 Zack이 각각 지분 50%를 보유한다고 명시됨
-
이는 싱가포르 회사 등록 시스템의 공개 정보로 누구나 검증 가능함
-
변호사 서한은 표준적인 "무해적 권리 보존 합의 제안"으로 상업 법적 절차에 부합함
-
서한의 본문은 Demand Letter로, Tinkle의 "자산 횡령, 이권 유착" 행위를 상세히 기록함
-
50만 달러는 협박이 아니라 낮은 평가액 기준으로 Zack의 합법적 권리를 매입하는 것임
-
반문: 회사에 가치가 있다면 100만 달러 평가 기준으로 지분 50%를 매입하는 것이 타당하지 않은가? 가치가 없다면 Tinkle이 왜 이를 "협박"이라고 부르는가?
핵심 모순: 기여를 어떻게 측정하는가?
이 논쟁의 본질은 오래된 창업 문제이다: 기술 기여 vs 리소스 소개, 어느 쪽이 더 가치 있는가?
코드 기여 측면에서 보면, Tinkle의 주장에는 일정한 타당성이 있을 수 있다. GitHub의 commit 기록은 공개적이며, Zack이 실제로 소량의 코드만 기여했다면 이는 기술 커뮤니티에서 쉽게 검증 가능한 사실이다. 60일간 개발된 프로젝트에 14일간 참여한 타인이 있다면, 시간과 코드량 측면에서 기여도 차이는 확실히 크다.
그러나 지분 측면에서 Zack은 법적 서류를 제출했다. APEIRON LABS PTE. LTD.의 등록 정보는 양측이 50-50 지분 배분 계약을 체결했다는 것을 보여준다. 이는 다음과 같은 의미를 갖는다:
-
양측은 공식적인 법적 계약을 체결한 바 있음
-
계약은 Zack이 지분 50%를 보유하는 것을 인정함
-
이것은 구두 약속이 아닌, 정부 기관에 등록된 법적 사실임
그렇다면 문제는 왜 Tinkle이 이러한 지분 배분에 동의했는가?
Amber라는 카드는 도대체 얼마나 가치 있는가?
핵심 변수는 Amber Group—보다 정확히 말하면 Amber의 생태계 액셀러레이터 amber.ac이다.
Zack의 카드는 바로 Amber가 Nofx의 상업화에 참여할 수 있도록 소개하겠다는 점이었다. Tinkle의 주장에 따르면 Zack은 Amber의 인턴이었으나(정규직 전환되지 못하고 퇴사함). 암호화폐 업계에서 최고 기관의 후원과 자금을 유치하는 것은 실로 큰 가치를 지닌다.
그러나 최종 결과는 다음과 같다:
-
Amber는 Nofx에 공식적으로 투자하지 않음
-
Amber 공식 입장: Nofx와 "공식적인 인큐베이션, 투자 또는 상업적 협력 관계가 없음"
-
Amber 인정: "우호적인 대화"는 있었으나, 공식 협력으로 이어지지는 않음
이로 인해 두 가지 가능한 해석이 존재한다:
해석 A(Tinkle 지지): Zack은 자신의 리소스 능력을 과장하여 공염불로 지분을 획득했으며, 결국 약속을 이행하지 못했지만 지분을 반환하지 않고 변호사 서한으로 협박함.
해석 B(Zack 지지): 양측은 실제로 지분 계약을 체결했으며, Zack은 Amber를 유치하려 노력했으나 Tinkle 측의 문제("자산 횡령, 이권 유착" 포함)로 인해 투자가 성사되지 못함. Zack은 합법적인 주주로서 퇴출 및 보상을 요구할 권리가 있음.
어느 해석이 진실에 더 가까운가? 이는 더 많은 내부 자료가 있어야 판단 가능하다.
법적 절차냐 협박죄냐?
Tinkle은 소셜미디어를 통해 Zack의 변호사 서한을 공개하며 이를 "협박죄"라고 표현했다. 이 고발은 매우 심각한데, 왜냐하면 협박죄는 형사 범죄이기 때문이다.
그러나 Zack의 반응은 법적 절차의 전문성을 보여준다:
"무해적 권리 보존 합의 제안"(Without Prejudice Save as to Costs)은 영미법 체계의 표준 법적 절차로, 상업 분쟁의 화해 협상에 사용된다. 그 특징은 다음과 같다:
-
법률 보호를 받으며, 소송 증거로 사용할 수 없음(소송 비용 관련 경우 제외)
-
목적은 양측이 평화롭게 분쟁을 해결하도록 장려하는 것
-
화해 조건 제시는 협박에 해당하지 않음
-
본문은 Demand Letter로, 상대방의 계약 위반 또는 침해 행위를 명시함
Zack의 변호사 서한은 50만 달러를 요구하지만, 이 금액은 다음을 기반으로 한다:
-
Zack이 회사 지분 50%를 보유하는 법적 사실
-
회사를 100만 달러의 보수적 평가액으로 계산
-
Tinkle이 Zack의 지분을 매입하는 가격으로 요구
법률적으로 보면, 이는 완전히 합법적인 화해 협상 전략이다. 만약 Tinkle이 진정으로 이것이 "협박죄"라고 생각한다면, 올바른 방법은 트윗을 올리는 것이 아니라 경찰에 신고하는 것이다.
Zack의 "최후 경고" 역시 매우 강력하다:
"정말로 이것이 협박이라고 생각한다면 당장 신고하시오. 신고할 용기가 없다면 이런 터무니없는 공연을 그만두라."
숨겨진 고발: 자산 횡령과 이권 유착
이 공개적 대립에서 주목할 만한 세부사항이 있다: Zack은 변호사 서한의 본문이 상세한 Demand Letter이며, 여기에는 Tinkle의 "파트너십 자산 횡령, 불법 수단 공모" 행위가 기록되어 있다고 언급했다.
이 Letter의 전체 내용은 공개되지 않았지만, 이 고발은 매우 심각하다. 만약 사실이라면 다음을 포함할 수 있다:
-
회사 자금을 개인 용도로 유용
-
투자 기관의 개인과 이권 교환
-
파트너십의 신의칙 위반
Tinkle은 이 부분에 대한 고발에 정면으로 응답하지 않고 "더 이상 이에 대해 응답하지 않겠다. 제품 개발에 집중하겠다"고만 말했다.
이 회피 태도는 오히려 궁금증을 자아낸다: Demand Letter에는 도대체 무엇이 적혀있는가?
요약: 풀리지 않는 난제
창립팀의 지분 분쟁은 창업계에서 흔히 볼 수 있다. Nofx 사례가 주목받는 이유는 이 분쟁의 전형적인 모순을 압축하고 있기 때문이다:
-
구두 약속 vs 서면 계약: 서면 지분 계약이 없다면 기여를 어떻게 인정할 것인가?
-
기술 기여 vs 리소스 소개: 두 가지 가치를 어떻게 측정할 것인가?
-
기대 실패의 책임: 투자 유치 실패의 책임은 누구에게 있는가?
-
법적 절차 vs 도덕적 재판: 화해 협상이 협박과 동일한가?
현재까지의 증거를 보면:
-
Zack은 지분 50%를 뒷받침하는 법적 서류를 보유함
-
Tinkle은 주도적 위치를 뒷받침하는 코드 기여 기록을 보유함
-
양측 모두 각자의 내러티브를 가지고 있으나, 완전한 증거 체계는 부족함
최종 답은 아마 법원이 내릴 것이다. 그러나 이 사례가 모든 창업팀에 주는 교훈은 다음과 같다:
-
지분 배분은 조기에, 서면으로, 명확하게 이루어져야 함
-
기여 측정은 객관적인 기준(코드량, 작업 시간, 리소스 가치)을 가져야 함
-
중요 결정은 기록을 남겨야 함
-
분쟁 발생 시 우선 법적 절차를 활용하고, 여론전은 피해야 함
문제 3: 오픈소스 프로젝트가 왜 보안 취약점의 온상이 되는가?
Nofx와 COAI의 라이선스 논쟁과 내부 지분 분쟁 이전에, 더 심각한 위기가 조용히 번지고 있었다: 보안 취약점.
2025년 11월, 블록체인 보안 회사 SlowMist는 Nofx 프로젝트에 존재하는 심각한 보안 위험을 폭로한 상세한 보안 분석 보고서를 발표했다. 이것은 일반적인 "작은 버그"가 아니라 사용자 자금 전체를 도난당할 수 있는 중대한 결함이었다.
취약점 타임라인: 무인증에서 기본 키까지
2025년 10월 31일 - Commit 517d0c: 무인증의 원죄
이 커밋에서 Nofx 코드는 치명적인 결함을 가지고 있다:
-
admin_mode이 기본값으로 true 설정
-
미들웨어가 모든 요청을 인증 없이 통과시킴
-
/api/exchanges 인터페이스가 완전히 공개됨
이것은 무슨 의미인가? Nofx가 배포된 서버 주소를 아는 누구라도 /api/exchanges 인터페이스에 직접 접근하여 다음 정보를 획득할 수 있다는 것이다:
-
api_key: 사용자의 거래소 API 키
-
secret_key: 거래소 비밀 키
-
hyperliquid_wallet_addr: Hyperliquid 지갑 주소
-
aster_private_key: Aster 플랫폼의 개인 키
이 정보를 손에 넣으면 공격자는 다음을 할 수 있다:
-
사용자의 거래소 계정을 완전히 통제
-
허위 거래(wash trading) 수행
-
자금 직접 인출
-
시장 가격 조작
이것은 완전히 무방비 상태의 노출이며, 보안 설계의 기본적 실수이다.
2025년 11월 5일 - Commit be768d9: "강화"의 환상
보안 문제가 인식되었을 가능성이 있으며, Nofx 팀은 이 커밋에서 JWT(JSON Web Token) 인증 메커니즘을 추가했다. 겉보기에는 보안 강화였다.
그러나 문제는 다음과 같다:
-
기본 jwt_secret이 변경되지 않음
-
사용자가 환경 변수를 설정하지 않으면 시스템은 하드코딩된 기본 키로 되돌아감
-
/api/exchanges는 여전히 원시 JSON 형식으로 모든 민감한 필드를 반환함
즉:
-
공격자는 기본 키를 사용하여 JWT token을 위조할 수 있음
-
유효한 토큰을 획득하면 모든 키는 여전히 완전히 유출됨
-
"강화" 버전도 실질적으로 여전히 취약함
마치 문에 자물쇠를 달았지만, 열쇠는 현관매트 아래에 두어서 누구나 알고 있는 것과 같다.
2025년 11월 13일 - Dev 브랜치: 지속되는 위험
11월 13일에도 dev 브랜치의 코드는 여전히 여러 가지 문제를 가지고 있다:
-
authMiddleware의 구현에 여전히 결함 있음(api/server.go:1471–1511)
-
/api/exchanges는 계속해서 완전한 ExchangeConfig를 직접 반환함(api/server.go:1009–1021)
-
설정 파일에 여전히 admin_mode=true와 기본 jwt_secret이 하드코딩됨
-
메인 브랜치(origin/main)는 여전히 10월 31일의 무인증 버전에 머물러 있음
이것은 우연한 소홀이 아니라 체계적인 보안 의식 부족이다.
발견과 대응: SlowMist의 핵심 조치
정보 출처: 보안 연구자 @Endlessss20가 SlowMist에 Nofx의 보안 위험이 존재한다는 초기 정보를 제공함.
심층 분석: SlowMist 보안 팀은 Nofx의 GitHub 코드를 완전히 감사하여 위의 두 가지 주요 인증 문제를 식별함.
전망 스캔: 더욱 충격적인 것은, SlowMist가 인터넷 전체를 스캔하여 1,000개 이상의 공개적으로 접근 가능한 Nofx 배포 인스턴스를 발견했으며, 이들 중 다수가 기본값이나 취약한 구성으로 사용자 인증 정보가 완전히 노출된 상태였다는 점이다.
이것은 이론적인 보안 위험이 아니라 현실적으로 발생하고 있는 실제 위협이다.
긴급 조정: 위험의 긴급성을 고려하여 SlowMist는 즉시 주요 거래소에 연락함:
-
Binance와 OKX 보안팀에 정보 제공
-
양 거래소 독자적으로 상호 검증 수행
-
획득한 API 키를 사용하여 영향을 받은 사용자 추적
-
사용자에게 알리고 키 교체를 지원
-
잠재적 wash trading 공격 차단
처리 진행 상황: 2025년 11월 17일까지 모든 중심화 거래소(CEX) 사용자의 노출된 키 처리가 완료됨. 그러나 일부 Aster와 Hyperliquid 사용자는 지갑이 탈중앙화되어 있어 직접 접촉하기 어려우며, 사용자 스스로 점검이 필요함.
영향 범위: 기술적 문제가 아닌 것
이번 보안 사건의 영향은 기술적 차원을 훨씬 넘어서고 있다:
직접 피해자:
-
Nofx를 사용하여 자동 거래를 한 1,000명 이상의 사용자
-
Binance, OKX, Hyperliquid 등 다양한 플랫폼 포함
-
노출된 것은 API 키뿐만 아니라 개인 키와 지갑 주소도 포함됨
잠재적 손실:
-
거래소가 개입하기 전에 공격자가 행동했다면, 사용자 자금은 완전히 도난당했을 수 있음
-
AI 자동 거래 시스템의 특징은 고빈도, 대규모이므로 손실은 매우 놀라울 수 있음
신뢰 붕괴:
-
커뮤니티가 Nofx 프로젝트의 보안성에 대한 신뢰를 잃음
-
전체 오픈소스 AI Trading 생태계에 의문 제기
-
개발자들이 오픈소스 프로젝트를 선택할 때 더욱 신중해짐
심층적 질문: 왜 이렇게 초보적인 실수가 발생했는가?
Nofx의 보안 취약점은 고도화된 기술적 도전이 아니라 기본적인 보안 상식이다:
-
인증 메커니즘은 기본적으로 활성화되어야 하며, 비활성화되어서는 안 됨
-
기본 키는 하드코딩되지 말고 무작위 생성되어야 함
-
민감한 데이터는 암호화되거나 민감 정보가 제거되어야 하며, 평문으로 반환되어서는 안 됨
-
설정 파일은 보안 위험에 대해 명확히 경고해야 함
이들은 경험 있는 개발자라면 누구나 알아야 할 원칙이다. 그런데 왜 Nofx는 이러한 실수를 저질렀을까?
가능한 원인:
-
빠른 개발 우선: AI Trading 열풍 속에서 선점을 하는 것이 보안보다 더 중요함
-
팀 경험 부족: 사용자 자금을 다룰 보안 경험 부족 가능성 있음
-
테스트 환경 설정의 프로덕션화: 테스트 편의를 위해 인증을 끄고, 그 설정이 프로덕션 환경에 들어옴
-
보안 감사 부재: 오픈소스 프로젝트는 종종 전문적인 보안 감사를 받지 않음
그러나 가장 근본적인 원인은 아마도: 오픈소스 ≠ 보안.
많은 사람들은 오픈소스 코드가 "수많은 눈"이 검토하기 때문에 더 안전하다고 생각한다. 그러나 현실은:
-
대부분의 사용자는 검토자가 아니라 사용자일 뿐
-
문제를 발견하더라도 수정을 제출할 능력이나 의지가 있을지는 불확실
-
보안 감사는 전문 지식과 많은 시간이 필요함
-
기업은 보안 팀이 있지만, 오픈소스 프로젝트는 종종 그렇지 않음
책임 경계: 오픈소스 저자가 어느 정도 책임을 져야 하는가?
여기서 논쟁의 여지가 있는 문제가 제기된다: 사용자가 오픈소스 소프트웨어의 버그로 인해 손실을 입었을 때, 오픈소스 저자는 책임을 져야 하는가?
법률적으로 보면, 대부분의 오픈소스 라이선스(MIT와 AGPL 포함)는 면책 조항을 포함한다:
"소프트웨어는 '있는 그대로' 제공되며, 명시적 또는 묵시적인 보증을 제공하지 않으며... 저자는 어떠한 손해에 대해서도 책임을 지지 않는다."
그러나 도덕적으로 보면, 자신의 코드가 사용자의 진짜 자금을 관리하는 데 사용된다는 것을 알게 되었을 때, 더 높은 보안 기준을 가져야 하지 않을까?
Nofx 사례의 특수성은 다음과 같다:
-
이것은 사용자 자금과 직접 연결된 AI 자동 거래 시스템임
-
프로젝트는 9,000개 이상의 스타를 받았으며, 다수의 사용자가 사용함
-
버그는 은폐된 고급 공격이 아니라 기본 보호 조치의 부재임
-
문제는 수 주간 지속되었으며, 그 기간 동안 새로운 사용자가 계속 배포함
업계 교훈: AI Trading의 특수한 위험
Nofx의 보안 위기는 AI Trading 분야의 특수한 위험을 드러낸다:
자동화의 양날의 검:
-
AI 거래 시스템은 7x24시간 자동 실행을 위해 설계됨
-
한 번 침투당하면 공격자는 빠르게 다수의 거래를 수행할 수 있음
-
사용자는 수 시간 후에야 자산이 이미 이동되었음을 알 수 있음
오픈소스와 보안의 모순:
-
오픈소스는 커뮤니티의 개선과 검토를 도움
-
그러나 공격자들도 취약점을 더 쉽게 발견할 수 있음
-
보안 수정이 완료되기 전에 이미 취약점이 공개됨
사용자 교육의 부재:
-
많은 사용자가 AI 거래 시스템 배포의 위험을 이해하지 못함
-
기본 설정을 그대로 사용하며 키 변경이 필요하다는 것을 모름
-
공용망에 서비스를 노출시키고, 기본적인 보안 보호 조치를 취하지 않음
SlowMist의 모범적 의미
이번 사건에서 SlowMist의 행동은 칭찬받을 만하다:
-
신속한 대응: 정보를 받은 후 즉시 심층 분석 수행
-
주도적 스캔: 사용자 보고를 기다리지 않고, 주도적으로 영향을 받은 인스턴스를 발견
-
업계 협업: 거래소와 긴밀히 협력하여 각자 독립적으로 행동하지 않음
-
공개 공개: 긴급 상황 처리 후 상세한 보고서를 발표하여 커뮤니티 교육
-
명확한 입장: 이것은 비판이 아니라 위험 감소라고 강조
이러한 책임 있는 공개(Responsible Disclosure) 메커니즘은 업계 보안의 기반이다.
요약: 오픈소스는 면죄부가 아니다
Nofx의 보안 취약점 사건은 다음과 같이 알려준다:
-
오픈소스 프로젝트는 보안 감사가 필요함: 빠르게 반복되는 프로젝트라도 보안 검사를 건너뛸 수 없음
-
기본 설정은 보안을 우선시해야 함: 개발의 편의와 공격의 편의는 종종 양면적
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@wquguru
