해킹당했다 하면 수천억…암호화폐 '콜드월렛' 쓰자 [한경 코알라]

최근 발생한 로닌 네트워크 해킹 사건이 연일 화제다. 유명 NFT(대체불가능토큰) 게임 '엑시 인피니티'를 구동하는 블록체인 네트워크 로닌 네트워크에서 상당량의 암호화폐가 탈취당하는 해킹 사건이 지난달 23일 발생했다. 이는 디파이(DeFi) 네트워크에서 발생한 해킹 사고 중 역대 최대 규모로 그 피해액만 7400억 원에 이른다.

올해 들어 암호화폐를 대상으로 한 사이버 공격이 잇따르고 있다. 지난 1월부터 약 3개월 동안 무려 30개 이상의 암호화폐 관련 회사로부터 데이터 유출이 발생했다. 이로 인해 민감한 고객 정보가 손실되고 일부는 디지털 자산을 완전히 도난당하기도 했다.

지난 1월 홍콩 소재 암호화폐 거래소 크립토닷컴(Crypto.com)은 2단계 인증(2FA)마저 뚫어낸 해킹 공격을 받았다. 483개 사용자 계정에서 승인되지 않은 무단 인출이 발생했다. 비트코인과 이더리움을 포함해 약 3383만 달러 상당의 암호화폐를 도난당했다.

사이버 공격은 암호화폐에만 국한되지 않는다. 2월19일에는 세계 최대 NFT 거래소 오픈씨(OpenSea)가 피싱 공격을 받아 총 254개에 달하는 NFT를 도난당했다. 피해액은 약 2억 달러(약 2440억원)에 달한다. 공격이 있은 후 오픈씨의 CEO인 데빈 핀저(Devin Finzer)는 해당 사건을 요약한 일련의 트윗을 올렸다. 일부 사용자들이 해커의 악의적인 페이로드에 서명을 하도록 유도하는 수법이었다. 마음대로 계약을 완성하고 아무런 대가 없이 NFT의 소유권을 이전했다는 설명이다.

암호화폐 업계 조직과 플랫폼 자체뿐 아니라 서드파티 공급업체나 유명 투자자도 사이버 공격의 대상이 되고 있다. 비트코인 기반 대출기관인 언체인드 캐피탈(Unchained Capital)은 최근 서드파티 이메일 마케팅 서비스 액티브 캠페인(Active Campaigns)의 소셜 엔지니어링 데이터 유출로 고객의 민감한 개인정보가 유출됐다고 밝혔다. 디파이언스 캐피탈(DeFiance Capital) 설립자이자 암호화폐 투자자인 아서 청(Arthur Chung)도 스피어 피싱 공격의 대상이 됐다. 170만 달러(약 20억 원) 상당의 NFT와 암호화폐가 빼돌려졌다.

업계 선도기업들은 저마다 대응책을 마련하는 모습이다. 세계 최대 암호화폐 거래소 바이낸스는 사용자 자금을 보호하기 위해 설립한 안전 자산 펀드(SAFU)에 10억 달러(1조2200억원)를 추가할 계획이라고 발표했다. 프로토콜 보안이 아무리 완벽하더라도 해커들의 공격 시도는 계속될 것이라는 판단 하에서다. 잠재적인 해킹 공격에 더욱 면밀히 대비한다는 전략으로 풀이된다.

전문가들은 모든 암호화폐를 자산을 한 곳에 보관하기 보다는 다양한 지갑에 분산할 것을 권장하고 있다. 가능하면 암호화폐 투자 및 거래 목적으로만 사용하는 디바이스를 하나로 제한하고, 본인 자산의 상당부분을 핫 월렛(hot wallet)에 보관하지 않는 것이 좋다. 핫 월렛은 온라인에 연결돼 거래 정보를 주고받는 암호화폐 지갑이다. 많은 투자자들이 사용하고 있지만 온라인에 접속돼 있어 해킹에 노출되기 쉽다.

대신 '콜드 스토리지' 지갑을 이용하길 권한다. 오프라인에서 존재하는데다 거래서비스와는 분리돼있어 바로 출금이 불가능하기 때문이다. 그게 어렵다면 암호화폐 투자시 보안 수준이 높은 플랫폼을 이용하는 것도 차선책이 될 수 있다.