'22억원' 털린 클레이스왑, 카카오 서버도 해킹됐다? 알고보니

국내 최대 규모 디파이(Defi, 탈중앙화 금융) 서비스에서 22억원에 달하는 가상자산(암호화폐)가 탈취되는 해킹사건이 발생했다. 일각에서는 카카오 서버도 해킹됐다는 주장이 나와 우려를 키웠지만, 이는 사실이 아닌 것으로 확인됐다.

7일 클레이스왑 운영업체 오지스가 보안 업체 티오리가 함께 작성한 '클레이스왑 사건 보고서'에 따르면 지난 3일 오전 11시31분쯤 클레이스왑 UI를 통해 토큰 관련 기능을 실행했을 때 토큰이 특정 주소의 지갑으로 전송됐다.

해킹으로 인해 총 325개 지갑에서 407개의 비정상적 트랜잭션이 일어나며 22억원 상당의 가상자산이 빠져나간 것으로 확인됐다. 해커 조직은 악성코드에 '다코드(Darkode)'라는 글로벌 해커 조직의 시그니처를 남긴 것으로 알려졌다.

클레이스왑은 '클레이튼'을 기반으로 하는 예치금이 20억달러(한화 약 2조4000억원)에 달하는 디파이 서비스다. 오지스 측은 "이번 안타까운 사고로 발생한 피해를 최소화하기 위해 보상안을 마련할 계획"이라며 "각각의 트랜잭션들을 조회해 관련 보상 지급을 준비할 예정"이라고 말했다.

'도로 표지판' 바꾸는 BGP 하이재킹으로 악성코드 심었나

BGP 하이재킹 개념 /사진=한국인터넷진흥원

해커 조직은 'BGP 하이재킹'이라는 방식을 이용한 것으로 추정된다. 통신사(ISP)를 해킹해 '라우팅 테이블'을 변경시켜 카카오 서버로 가는 요청(카카오 SDK)을 자신들이 구축한 서버로 우회시킨 것이다. 도로의 표지판을 바꿔 잘못된 길로 가도록 유도하는 것과 비슷하다.

클레이스왑은 마케팅 목적으로 카카오가 제공하는 오픈소스 SDK를 사용해왔다. 해커 조직은 카카오 SDK를 사칭한 파일로 자신들이 만든 가짜 서버로 유도해 악성코드를 주입했다는 것이다. 오지스 측은 문제가 된 파일을 제거했다는 설명이다.

BGP 하이재킹이 실제라면 해킹 사고 이전 사이트를 접속한 채로 계속 클레이스왑을 이용할 경우 자산 탈취가 이어질 수 있다. 해커 조직의 코드가 남아있는 사이트 상에서 트랙잭션이 일어날 수 있기 때문이다. 이용자는 반드시 기존 인터넷 브라우저 캐시를 삭제해야 추가 피해를 막을 수 있다.

카카오 "실제 SDK 공격 당한게 아니라 사칭 서버"…면밀한 조사 必

/사진=임종철 디자인기자

이날 비슷한 시간대 카카오의 QR 체크인 오류가 발생하며 해킹 영향이 있는 것 아니냐는 지적도 제기됐다. QR 체크인 오류가 발생했던 것은 마찬가지로 BGP 하이재킹 시도였지만, 클레이스왑 해킹과 연관성은 확인되지 않았다.

카카오 측은 "QR 체크인은 카카오 SDK를 이용하지 않는다"며 "오지스 해킹 건은 카카오 SDK의 취약함이나 카카오 SDK가 공격받아 생긴 것이 아니었다"고 말했다.

해커 조직이 카카오 SDK를 사칭한 정체불명의 파일을 이용한 것이지 실제 SDK를 공격한 것은 아니기 때문이라는 설명이다. SDK는 카카오 계정 로그인, 지도 등 소프트웨어 개발을 간편하고 용이하게 할 수 있도록 제공되는 개발도구를 말한다.

전문가들은 해킹 원인에 대해 기관 등이 참여하는 면밀한 조사가 우선돼야 한다고 강조한다. IP 주소와 망식별번호를 암호화하는 라우팅 인증(RPKI) 도입 목소리도 나오지만, BGP 하이재킹이 일어났는지 명확히 확인되지 않았다는 것이다.

염흥렬 순천향대 정보보호학과 교수는 "단정적으로 BGP 하이재킹이 있었다고 보기는 어렵고, 추가적인 조사가 필요할 것 같다"면서도 "실제 해킹의 원인이 BGP 하이재킹이라면 ISP의 보완이 강화될 필요는 있다"고 말했다.