블록체인과 해킹

Posted in Planning // Posted at 2018.11.14 09:00

월요일 아침, 출근을 하니 회사에 난리가 났단다.
임원들은 아침 일찍부터 회의실에 모여 긴급 대책회의를 하고 있었다.
사실 나는 일요일 오후에 한 임원을 통해 해킹 소식을 전해 들었던지라 놀라진 않았고 도대체 해킹을 당한 피해자가 밝혀졌는지, 밝혀졌다면 누군지 궁금하기만 했다.
그 임원에게 주말에 해킹을 당했는데 실무자 중 가장 많은 정보를 취급하고 있는 내가 해킹을 당한 것은 아니냐며 지목 아닌 지목을 당했기 때문에 기분이 살짝 상했었고, 평소 내 습관을 생각하면 해킹을 당할 가능성이 적어 관리가 부실했던 임원들 중 한 명 이리라 예상해 도대체 누가 해킹을 당했는지 무척 궁금했기 때문이다.


아무리 뛰어난 기술이더라도 이를 운영하고 사용하는 사람이 완벽하지 않기 때문에 완벽할 수 없다.


여하튼 회사에서 서비스하고 있는 DApp과 그 전자지갑에서 사용 중인 Ethereum 기반의 ERC20 토큰의 Smart Contract의 Private Key와 Private Sale 참여자의 회원 정보 일부가 해킹당했다고 한다. 예상컨대 이메일 피싱에 의해 오래전에 해킹을 당해 Smart Contract의 오너쉽을 탈취당했던 것을 해커의 메일을 통해서 알게 된 것 같다.
오랫동안 잠복해 있던 해커로부터 48시간 내에 500ETH를 보내라는 한 통의 이메일이 주말에 대표에게 왔다고 한다. 
불행 중 다행스럽게도 모든 코인은 HSM(Hardware Security Module) 장비에 안전하게 보관해놓은 데다 아직 거래소에 상장을 하지 않아 큰 피해는 없었지만 토큰의 Smart Contract의 소유권을 탈취 당해 토큰의 프리징이나 소각이 가능하다고 하여 Smart Contract를 교체하는 방안으로 가닥이 잡힌 듯 싶다.
Ethereum 기반 토큰으로 가스비 때문에 DApp과 지갑 내에서는 AWS에서 서비스되고 외부 지갑이나 거래소 등으로 이체 시에만 블록체인에 태우는 방식으로 설계가 되었는데 이렇게 Private Key가 해킹당하는 것을 보니 도대체 블록체인이 보안이 뛰어나고 안전한 기술인지 의문이 들더라.
아무리 뛰어난 기술이더라도 이를 운영하고 사용하는 사람이 완벽하지 않은데 완벽할 수 있을까?
그리고 차라리 블록체인을 사용하지 않은 중앙화된 서비스였다면 오히려 그 해결이 편하고 쉬웠을 것이다. 


최초 블록체인 개발자들이 워낙에 천재여서 그런지 용어는 물론 개념과 모델도 복잡한 데다 블록체인의 특성으로 인해 UI/UX도 불편하고 법규의 미비로 인해 개발사와 개발자들이 기존의 관련 법규를 소급하여 적용하다 보니 블록체인 기반의 서비스들이 일반 대중이 쉽게 사용할 수 없는 서비스가 되어버렸다. 그래도 나름 IT에 밝은 30대의 친구들과 후배들에게 DApp과 그 전자지갑, 그리고 암호화폐 거래소를 KYC와 AML을 거쳐 가입시키고 한 시간 동안 목이 아플 정도로 설명을 했는데도 너무 어렵다고 불평하거나 포기하더라.
그러다 보니 높은 복잡도로 인해 사용자들이 보안에 취약해져 블록체인의 장점인 보안성이 낮아진다면 도대체 왜 소비자 지향의 일반 서비스에 블록체인을 사용해야 하는 것일까?
당신의 Private Key나 Mnemonic을 어디에 저장하고 있는가? 언제든지 거래를 하고 전송을 하기 위해 휴대폰의 메모장이나 인터넷 서비스에 저장하고 있지 않은가? 일반인이 HSM을 사용할리 난무하고 콜드월렛으로 보관 중이라며 신줏단지 모시듯 종이에 적어 금고에 보관 할리도 없지 않은가! 
게다가 그렇게 업비트나 빗썸 같은 중앙 거래소나 서비스의 메인 지갑 주소로 토큰을 보내지 말라고 경고를 하고 주의를 줘도 보내고 복구를 요청하는 이메일이 여전히 오는 것을 보면 블록체인 기반 서비스가 대중적인 서비스가 되려면 앞으로도 몇 세대를 거쳐야 하지 않을까 싶다. 
게다가 PoW(Proof of Work, 작업증명)에서 PoS(Proof of Stake, 지분증명), PoS에서 DPoS(Delegated Proof of Stake, 위임지분증명)로 변화하는 것을 보면 갈수록 블록체인 생태계 또한 관리의 필요성 때문에 중앙화 되어 가고 있지 않은가.

회사는 이 해킹을 전화위복의 기회로 삼자며 차분히 문제를 해결하는데만 집중하기로 했다. 즉 정황상 피해자가 누구인지 예상은 되지만 직접적으로 피해자를 지목하진 않았다.
곧 암호화폐 거래소 오픈을 앞두고 있는데 덕분에 보안에 엄청 신경을 쓰는 좋은 계기가 되었다. 갑작스레 망 분리부터 보안 VPN의 사용, 거래소 운영 전용 크롬북의 구매, 거래소에 경험 있는 보안 담당자의 구인, 보안 매뉴얼 작성 등 보안을 챙기는데 분주해졌기 때문이다.
이 해킹이 제발 전화위복으로 끝나길 바랄 뿐이다.

author image
'세균무기, 지구별에 흔적을 남기다!' 블로그를 운영하는 세균무기입니다.
법학과 행정학을 전공한 IT서비스 기획자이자 프로덕트 매니저이며, 변방의 한 블로거입니다. IT와 스타트업에 관심이 많으며 여행과 애플 제품, 블랙아이드피스의 음악, 커피를 격하게 애정합니다.


메일 : ysk08900@gmail.com

submit

티스토리 툴바