피싱공격 받은 오픈씨, NFT 170만달러 어치 털렸다

세계 최대 NFT 거래소
피싱 e메일에 속아 일부 NFT 도난
사용자 정보 사전유출 등 논란 확산

세계 최대 대체불가능한토큰(Non-Fungible Tokens, NFT) 거래소 오픈씨(OpenSea)에서 최소 170만달러(약 20억원) 규모의 NFT가 외부로 유출되는 사고가 발생했다. 회사 측은 '피싱(Phishing)' 공격에 의한 것이라며 사용자들의 주의를 촉구했다.

그럼에도 오픈씨가 기반으로 하는 블록체인 이더리움 대신 그 대체재 솔라나(SOL) 가격이 치솟고 있다.

또 오픈씨 사용자 정보 유출 의혹이 지속 제기되는 등 연초부터 논란이 확산되고 있다.

■"회사와 무관..피싱으로 결론"

CNBC 등 외신들은 20일(현지시간) 오픈씨 일부 사용자들이 피싱 공격을 받아 피해를 봤으며 회사 측이 이번 피싱 공격에 대해 조사하고 있다고 보도했다. 회사 측에 따르면 이번 공격은 회사의 e메일로 가상한 피싱에 의한 것으로 사용자 32명이 속았고, 이들 중 일부가 보유 NFT를 도난 당했다. 데빈 핀저 오픈씨 최고경영자(CEO)는 "이번 사건은 피싱 사건이며 오픈씨 웹사이트에서 시작된 것이 아니라고 결론 내렸다"고 말했다.

블록체인 보안업체 펙쉴드 역시 "피해 사용자들은 피싱 e메일의 지시에 따라 자산 이동(migration)을 승인했다"며 "불행히도 이 승인이 해커들에게 귀중한 NFT를 훔칠 수 있도록 해줬다"고 분석했다. 피싱은 신뢰할 수 있는 사람이나 기관이 보낸 e메일로 가장해 비밀번호나 신용카드 정보 등 중요 정보를 빼내는 사기 수법이다.

회사 측은 이번 피싱 공격으로 유출된 NFT가 170만달러 규모에 달하는 것으로 추정했다. 한때 피해금액이 2억 달러(약 2400억원)에 달하는 것 아니냐는 루머가 유포됨에 따라 가상자산 시장에서는 이더리움과 경쟁관계에 있는 솔라나 시세가 8.0% 급등하기도 했다.

피싱 공격이라는 결론에도 불구하고 업계에서는 오픈씨의 책임을 따지는 목소리들이 나오고 있다. 펙쉴드는 "(피싱이라는 결론에도 불구하고) 한 가지 남는 궁금증은 e메일 주소 등 이번 피싱 공격에 사용된 사용자 정보가 사전에 유출된 것은 아닌가라는 점"이라고 트윗했다. 공격자들이 오픈씨 사용자들에게 자산 이동 승인을 지시하는 e메일을 보냈다는 점에서 사용자 주소가 사전에 유출됐을 가능성이 있다고 의혹을 제기한 것이다.

■"사용자 정보 유출?" 계속되는 의문

이 같은 의혹이 계속해서 제기되는 것은 연초부터 오픈씨 해킹으로 추정되는 사건들이 연달아 발생했기 때문이다. 펙쉴드에 따르면 지난 1월에는 오픈씨가 해커의 공격을 받아 약 75만달러(약 9억원) 상당의 NFT가 도난당하는 사건이 발생했다. 외신 등에 따르면 해커는 오픈씨 웹사이트의 취약점을 공격했으며 '지루한 원숭이들의 요트 클럽(BAYC, Bored Ape Yacht Club)'을 대상으로도 해킹을 진행한 것으로 알려졌다.

당시 해커들은 취약점 공격을 통해 시장가의 11분의 1 가격에 NFT를 판매하는 수법을 사용한 것으로 전해졌다. 오픈씨는 최근 업데이트를 통해 이같은 취약점을 보완하고 보안 관련 논란을 끝내려 했지만 이번 공격으로 다시 보안 관련 논란이 불거진 상황이다. 오픈씨는 지난 해 120억달러(약 14조원) 이상의 NFT가 거래된 세계 최대 규모의 NFT 마켓 플레이스다.

bawu@fnnews.com 정영일 기자