오늘날 해킹 사례가 늘고 있다. 2023년 3분기 기준으로 해킹과 사기로 인해 손실된 금액은 무려 7억 8500만 달러에 달한다. 이것은 올해 전체 기준으로 14억 달러를 의미한다.
웹3 버그 바운티 플랫폼으로 알려진 이뮨파이(Immunefi)가 집계한 분기별 보고에 따르면, 이러한 공격에 영향을 받지 않는 크립토 분야는 소수에 달한다고 하며, 특히 대부분의 공격이 플랫폼을 상대로 이루어졌다고 한다.
올해 3분기의 대부분은 두 개의 특정한 프로젝트에서 손실되었다고 한다: 그것은 가상자산 거래 네트워크인 믹신 네트워크(Mixin Network)와 크로스체인 라우터 프로토콜인 멀티체인(Multichain)이다.
이 두 사례는 각각 2억 달러와 1억 2600만 달러 손실을 초래했다. 이것은 3분기 손실 전체의 47.5%에 달하는 금액이다.
참고로 지난 2분기 손실의 경우 4억 2870만 달러였으며, 이것은 3분기에 들어 59.9% 증가한 것을 의미한다.
또한 보고된 사고 건수도 작년 3분기의 30건에서 76건으로 증가했다. 이것은 일 년 동안 153% 증가한 것을 의미한다.
탈중앙화 금융(DeFi)과 중앙화 금융(CeFi)을 살펴보면, 탈중앙화 금융의 피해액이 무려 72.9%에 달한 것을 알 수 있다. 이것은 여전히 디파이가 주요 공격 대상이라는 것을 시사한다. 반면 중앙화 금융의 총손실은 27.1%에 그친다.
이뮨파이는 또한 이번 분기의 몇 가지 사례에서 국가의 지원을 받는 해커들이 중요한 역할을 한 것으로 언급했다. 이들은 특히 중앙화 금융에 집중하면서 해당 부문의 큰 손실을 야기했다.
특히 북한의 지원을 받는 라자루스 그룹이 몇몇 플랫폼에 대한 공격을 감행한 것으로 알려졌다. 여기에는 코인엑스의 7천만 달러 손실, 알파포의 6천만 달러 손실이 포함된다.
이들은 또한 스테이크를 공격하여 4130만 달러, 코인페이드에서는 3730만 달러를 도난했다. 정리하자면, 이들은 3분기 동안 총 2억 860만 달러를 도난했고, 이는 3분기 전체의 30%에 달하는 금액이다.
해킹이 웹3 채택에 미치는 영향
암호화폐 해킹 및 사기 사례가 늘어나고 있음에도 불구하고, 웹3 및 암호화폐가 유저들에게 자산에 대한 컨트롤을 제공하고, 무제한적이고 안전한 트랜잭션을 제공할 수 있는 유용한 기술인 것도 사실이다.
이러한 긍정적인 가능성 덕분에 웹3은 이제까지 많은 유저와 투자자들을 유치할 수 있었다. 하지만 대중의 웹3 채택 속도는 아직 제한되어 있고, 오늘날 다양한 해킹 소식으로 인해 많은 이들이 이 기술을 꺼리고 있는 것도 사실이다.
이러한 취약점에는 스마트 계약 코드 에러, 손상된 탈중앙화 스토리지 시스템, 또는 피싱 등을 통한 개인 유저 및 특별 권한자를 겨냥한 공격 등이 포함된다.
대부분의 암호화폐 이용자들은 독자적인 안전 조치를 수행하여 자기 자산을 보호한다. 그리고 이것은 효과적이다. 하지만, 실제로 감행되는 공격은 대부분 많은 유저 자금을 다루는 플랫폼을 대상으로 이루어지며, 일반 개인을 향한 공격 빈도는 훨씬 적은 편이다.
따라서 각 소유자가 자산 보호를 위해 추가적인 액션을 취하는 것보다, 먼저 플랫폼 수준에서 보안 문제가 최우선적으로 해결되어야 할 것이다.
크립토 프로젝트는 어떻게 개선할 수 있을까?
플랫폼들은 사용자 자산 보호를 위해 몇 가지 절차를 수행할 수 있을 것이다. 그리고 이를 통해 사용자와 투자자들의 신뢰를 확보하고, 더 넓은 웹3 채택에 이바지하게 될 것이다. 그렇다면 어떤 액션을 취하는 것이 좋을까.
감사
감사는 기본적으로 스마트 계약 또는 플랫폼 인프라 구축에 사용되는 코드를 대상으로 수행된다. 이러한 코드는 플랫폼이 올바르게 작동하는데 사용되지만, 동시에 사용자 자금이 악용될 수 있는 오류나 허점이 있을 수도 있다.
따라서 암호화폐 프로젝트는 플랫폼을 출시할 때 자신의 코드에 오류나 취약점이 있는지 처음부터 확인해야 한다. 따라서 코드 한줄한줄, 함수 및 바이패스 가능성에 대한 감사를 수행해야 하며, 이를 통해 취약성 여부를 파악할 수 있다.
이러한 심층적인 감사가 완료되면, 그 결과를 모든 이들에게 공개하는 것이 중요하다. 이 결과에는 어떤 취약점이 발견되었고, 이를 어떻게 해결했는지도 포함해야 한다. 이것은 산업과 유저 사이의 신뢰를 높이게 된다.
하지만 감사 수행 후에 손해를 입은 몇몇 디파이 플랫폼에서 증명되었듯이, 한 번의 보안 감사는 충분하지 않을 것이다. 따라서 코드가 변경될 때마다 새로운 감사를 수행해야 할 것이다.
즉 매번 새로운 문제가 추가되지 않도록 보장하는 것이 중요하다. 그리고 개발팀은 스마트 계약을 생성하고 실행할 때마다 더 보안중심적인 설계를 추진해야 할 것이다. 왜냐하면, 설령 작은 코드 변화일지라도, 예상치 못한 결과를 초래할 수 있기 때문이다.
버그 바운티 프로그램
버그 바운티 프로그램과 책임 있는 공개는 웹3 세계를 보호하는데 중요한 역할을 한다. 이는 말 그대로 버그를 현상 수배하는 것으로서, 윤리적인 해커들이 플랫폼 취약점을 발견하도록 장려하고, 개발자들은 이를 통해 문제를 해결할 수 있게 된다.
하지만 과거의 경우, 크립토 플랫폼들은 버그 바운티 상금을 지불하는 것을 좋아하지 않았다. 그에 따라 윤리적인 해커들이 발견한 문제점들이 악용되어, 엄청난 손실로 이어진 사례도 있었다.
정리하자면, 화이트 해커와의 협력으로 진행되는 버그 바운티 프로그램은 취약점을 발견할 수 있는 좋은 전략이며, 동시에 유저 자산 보호에 자금을 아끼지 않는 개발팀의 노력을 어필하는 좋은 기회이기도 하다.
운영 모니터링
감사를 정기적으로 수행하더라도, 프로젝트는 지속적인 보안 및 운영 모니터링을 통해 의심스러운 활동을 적시에 포착해야 할 것이다. 이러한 활동에는 특정 계정에 대한 급격한 활용량 증가, 블랙리스트 주소와의 시스템 상호작용, 플래시 론을 통해 제출된 거버넌스 제안 등이 포함된다.
특정 계정과 플랫폼 시스템 및 블록체인의 관계를 계속 주시하면, 프로젝트는 공격이 있더라도 초기에 징후를 파악하는 것이 가능하다. 이를 테면 비정상적인 규모의 거래 또는 특정 주소를 향한 많은 거래를 포착해 낼 수 있는 것이다.
또한 지속적인 모니터링을 통해, 설령 공격이 발생했더라도 남은 자산을 빠르게 보호하여 손실을 완화할 수도 있다.
교육
암호화폐 커뮤니티 및 투자자들이 자산 보호에 대한 신뢰와 자신감을 갖추기 위해서는, 이들 스스로가 자산 보호 방법에 대해 숙지하고 있는 것이 중요하다.
이를 위해서는 개인들이 잠재적 사기에 대한 교육을 수행하여, 오늘날 만연한 함정에 빠지지 않는 것이 중요하다. 또한 크립토 플랫폼은 모든 직원들을 교육하여 최근 해킹 기술에 대한 지식을 갖추도록 하고, 경계를 높일 수 있도록 조치해야 할 것이다.
마치며
앞으로 웹3의 대대적인 채택이 추진되어, 암호화폐가 생활 곳곳에서 활용되는 것을 보고 싶다면, 보안 문제는 반드시 보장되어야 할 것이다.
오늘날 암호화폐 애호가들은 코인의 장점에 대해 강조하는 것을 좋아한다. 이를 테면 기존 은행 시스템과 비교하며 암호화폐를 칭송하는 것을 많이 보게 되는데, 이러한 주장이 상당한 설득력을 갖추고 있는 것도 사실이다.
그럼에도 불구하고, 사람들이 일상에서 가상화폐를 받아들이려면, 적어도 지갑과 거래소, 디파이 플랫폼들은 우리가 은행에서 기대하는 것과 동일한 수준의 보안과 신뢰를 확보해야 할 것이다. 그리고 암호화폐 채택에 대한 실질적인 논의는 앞으로 분기 보고에서 해킹 사례가 줄어들 때쯤에야 시작될 수 있을 것이다.
그때까지 해킹 문제는 계속해서 언급될 것이다.