/사진='메타콩즈' 홈페이지 캡처
자꾸 털리는 NFT…정부-KISA "연말까지 보안 지침서 마련"대체불가토큰(NFT) 민팅(Minting·발행) 플랫폼 '프리민트'는 지난 17일 약 5억원 규모의 NFT가 도난되는 등 악성 자바스크립트로 인한 사이버 공격 피해를 입었다. 가상자산 전문매체 디크립트에 따르면, 도난당한 NFT는 약 320개로 '지루한 원숭이들의 요트 클럽(BAYC)'과 '아더사이드(Otherside)' 등 유명 프로젝트들도 포함됐다. 해커들은 '오픈씨'(OpenSea) 등 거래소에 훔친 NFT를 판매한 것으로 전해졌다.
/사진='프리민트' 홈페이지 캡처
특히 도출된 요구사항을 토대로 보안 가이드라인을 마련하는 게 협의체 운영의 주요 목표다. KISA 관계자는 "산업 발전과 이용자 보호의 균형을 맞춘 유연한 가이드를 만들겠다는 것이 본 취지"라며 "디스코드 같은 커뮤니티 이용 등 서드 파티(Third Party)의 연결고리에서 발생하는 보안 문제가 훨씬 많다. 연말까지 보안지침서를 제작해 산업 성장에 방해되지 않는 선에서 기본적인 이용자 보호 방안을 제시할 계획"이라고 설명했다.
전문가들 "블록체인 생태계 아우르는 장치 필요"
24일 오후 3시20분 NFT 거래소 '오픈씨'(OpenSea)에 업로드 된 24시간 내 상위 NFT 컬렉션 순위. /사진='오픈씨' 홈페이지 캡처
이 시각 인기 뉴스
이에 전문가들은 '스마트 컨트랙트 보안감사'(Smart contract audit) 장치 의무화가 필요하다고 조언한다. 이는 스마트 컨트랙트 운영의 기술적 점검을 통해 서비스 안정성을 유지하는 조치다.시 △블록체인상 기술적 버그 유무 및 보안상 설계 문제 △운영자나 노드 등 특정인에게 과도한 권한 부여 여부 △연관된 지갑 등의 외부 노출 차단 여부 △디도스(DDoS) 공격 및 코딩상 구조 설계 문제로 외부해킹 발생 가능성 점검 △네트워크의 자산 안전 보관 여부 등을 종합적으로 점검하는 과정이다.
최화인 블록체인 에반젤리스트는 "기술적으로 블록체인 코드나 보안 설계에 대한 이해도를 상당히 요하는 일이기 때문에 전 세계에서 스마트 컨트랙트 보안감사를 제대로 진행해 돌아가는 체인은 많지 않다"며 "디파이나 탈중앙화 가상화폐 거래소(DEX)는 아예 이런 요건 자체가 없어 위험에 그대로 노출되는 경우가 많지만, 중앙화된 거래소의 경우 보안감사 확인서를 프로젝트에 요구하고 있어 문제 발생 가능성이 상대적으로 낮다"고 말했다.
장경필 쟁글 분석팀장은 "현재 정부가 가산자산 사업자들을 규제하는 상황이기 때문에 보안 관련 솔루션을 개발·운영 중인 업체를 통해 이슈를 보완하는 방향은 적합하다"며 "예컨대 거래소 토큰 상장시 스마트 컨트랙트 보안감사 절차를 의무화하는 방식으로 관리하는 것도 하나의 방법"이라고 전했다.