(서울=뉴스1) 윤주영 기자 = 최근 1852억 원가량(1억 2800만 달러)의 이더리움이 탈취되면서 '탈중앙화 금융(디파이)' 시스템을 향한 근본적 보안 우려가 제기된다. 개별 거래소 이슈가 아닌, 거래 프로토콜인 '밸런서'의 접근권한 취약점 자체가 악용됐기 때문이다.
블록체인 생태계가 탈중앙화할수록 여러 참여자가 관여하기 때문에, 보안 책임을 따지기도 점점 힘들어진 전망이다. 스마트 콘트랙트의 설계부터 위협 시나리오를 설정하는 '보안 내재화'가 과제로 제시된다.
5일 외신 등을 종합하면 이달 3일 신원 미상의 공격자가 밸런서 V2의 스마트 콘트랙트 접근 권한 설정의 취약점을 악용, 대규모로 자산을 탈취했다.
밸런서 프로토콜에 기반한 풀(pools)에서 피해가 발생했다. 이더리움 기반 스테이킹 자산인 랩드 이더리움(WETH), osETH, wstETH 등이 대표적이다.
웹3 보안 플랫폼 디큐리티(Decurity) 등은 밸런서의 'manageUserBalance' 함수 상의 치명적 결함이 공격을 허용했다고 지목한다. '_validateUserBalanceOp'라는 로직이 거래(트랜잭션) 발신자와 사용자 제공 발신자 간을 제대로 검증하지 못했다.
제대로 된 프로토콜이라면 자금을 인출하려는 사람이 실제 주인인지 검증해야 한다. 하지만 로직 허점 탓에 거래 요청자와 신청서 상의 이름이 일치하는지만 검증됐다. 접근권한 관리가 철저하게 이루어지지 못한 것이다.
밸런서 V2를 개발한 곳이 부실한 스타트업도 아니었다. 2020년 출범한 회사는 다수의 보안 감사를 통과했으며, 오픈소스 커뮤니티 안에서도 상대적으로 안정된 프로토콜을 만든다고 평가받았다.
이 때문에 전체 이더리움 대비 피해액이 크진 않지만, 블록체인의 근본적 보안 문제를 여실히 보여줬다는 평가까지 나온다.
박세준 티오리 대표는 "올해 2월 2조 원대 피해를 야기한 바이비트 해킹 사태는 개별 거래소 이슈였지만, 이번 건은 디파이 프로토콜 자체가 악용된 것"이라며 "이런 취약점들은 기존에도 있었고, 앞으로도 계속 드러나게 될 것"이라고 내다봤다.
현재로서는 밸런서와 같은 특정 프로토콜은 회사나 재단에서 주도하는 경우가 많다. 하지만 앞으로 본격적인 탈중앙화 블록체인 생태계가 도래한다면, 보안 사고의 책임을 따지기가 어려워질 거라고 박 대표는 꼬집었다. 시스템 참여자 모두에게 책임이 분산되기 때문이다.
박 대표는 "스마트 콘트랙트의 코드가 공개되건 안 되건, 코드 보안성 자체를 높이려는 노력이 필요하다"며 "설계 단계부터 위협 시나리오를 설정해야 하고, 이를 구현할 때도 방어적 접근인 '시큐어 코딩'이 필요하다"고 덧붙였다.
한편 공격이 수개월 전부터 준비됐으며, 북한 배후의 '라자루스' 조직과 수법이 유사하다는 분석도 있다. 공격자는 흔적을 남기지 않기 위해 암호화폐 믹서인 '토네이도 캐시'로 0.1이더리움씩을 지속 입금, 해킹용 지갑을 조심스럽게 구축했다고 전해진다.
※ 저작권자 ⓒ 뉴스1코리아, 무단전재-재배포 금지