"1090억 코인 털렸다" 퇴사자 탓이라는 오지스…해킹사건 전말

머니투데이 황국상 기자 2024.01.27 09:06
글자크기

오지스(OZYS) 대표 "희망퇴직한 CISO, 방화벽 취약하게 만들어…한달 안돼 사건 발생" 주장

임종철 디자이너 /사진=임종철 디자이너임종철 디자이너 /사진=임종철 디자이너


새해 벽두부터 1000억원대 규모의 가상자산 해킹 사건이 블록체인 기업 오지스(OZYS)에서 발생한 가운데 이 사건이 오지스의 CISO(최고정보보호책임자)가 방화벽을 취약하게 만들었기 때문이라는 주장이 나왔다.



27일 관련 업계에 따르면 최진한 오지스 대표는 오르빗체인에 게재한 최근 '오르빗 브릿지 익스플로잇(사이버 공격)에 대한 입장문'을 통해 이 회사의 CISO로 근무하다가 지난해 12월 희망퇴직으로 회사를 그만 둔 A씨에 대해 민형사상 절차를 진행하고 있다며 이같이 밝혔다.

오르빗 브릿지는 서로 다른 블록체인 플랫폼 사이의 가상자산 이동을 가능하게 하는 크로스체인 플랫폼 기업이다. 이더리움, 폴리곤, 비트코인, BNB체인 등 플랫폼의 가상자산을 가능케한다. 옛 카카오 계열 블록체인 플랫폼인 클레이튼의 메인 크로스체인 플랫폼이기도 하다.



앞서 이달 1일 오전 5시52분부터 6시25분까지 6차례에 걸쳐 정체 불명의 공격자가 오르빗 브릿지 이더리움 볼트 내에 있는 5개 자산을 8150만달러(약 1090억원) 탈취하는 사건이 발생했다. 오지스 개발팀은 같은 날 오전 7시5분 사건을 인지하고 대응에 나섰고 10시20분쯤 탈취자산의 이동 상황을 파악했다.

탈취된 자산은 이더리움 및 다이(DAI) 등 다른 자산으로 교환된 후 8개 지갑으로 분산됐지만 추가 이동 없이 현재 다른 거래소에 보관돼 있는 상태다. 사건 초기 경찰과 KISA(한국인터넷진흥원)이 조사에 나섰다. 이번 사건이 북한 해킹그룹 라자루스 소행과 유사하다는 제보가 나오며 국가정보원도 이 사건을 살펴보고 있다.

최 대표는 "이번 익스플로잇은 오르빗 브릿지 스마트 컨트랙트의 취약점이나 밸리데이터 키(검증 키) 탈취에 의한 게 아니었다"며 "이달 10일 새로운 보안망 설계를 위해 유지보수 업체와 기존 방화벽 정책을 검토하던 중 지난해 11월22일 오지스 CISO로 재직하던 A씨가 임의로 사내 방화벽 주요 정책들을 변경한 사실을 인지하게 됐다"고 했다.


최 대표에 따르면 A씨는 오지스의 ISMS(정보보호 관리체계) 인증 취득을 위한 업무를 총괄한 정보보호 전문가였다. 지난해 11월20일 희망퇴직을 결정한 후 이틀 후에 돌연 방화벽을 취약하게 만들고 인수인계 과정에서 이에 대해 구두나 서면을 통한 공유 없이 12월6일 퇴직했다는 게 최 대표의 설명이다.

최 대표는 "그로부터(A씨의 퇴직 이후) 한 달이 채 지나지 않은 올해 1월1일 오르빗 브릿지 익스플로잇이 발생했다"며 "25년 경력의 보안 전문가(A씨)가 자신의 행위로 인해 유발 가능한 피해를 예측하지 못했을 리 없기에 임직원에게도 큰 충격으로 다가왔고 현재 필요한 민형사상 절차를 진행 중"이라고 했다.

또 "오지스는 모든 서비스 개발에 있어 보안을 최우선 가치로 여기며 임해왔고, 실제로 많은 예산을 투입하며 보안 강화에 힘썼다"며 "ISMS 의무 대상 기업은 아니지만 선도적으로 정보보호를 강화하고 안전한 서비스 환경을 제공하고자 1년 이상 준비 끝에 KISA로부터 인증을 취득하고 주요 서비스에 피싱 방지 솔루션을 도입한 것은 이같은 노력의 일환이었으나 사건이 발생했다"고 했다.

이어 "당사는 얼마의 시간이 소요되든 모든 자원을 총 동원하여 공격자를 추적하고, 궁극적으로는 탈취 자산의 동결과 회수를 위해 끝까지 노력할 것"이라고 했다.

이번 사건에 대해 정보보호 및 보안 책임자 커뮤니티에서는 "외부의 공격보다 내부의 적이 가장 큰 위협"이라는 지적이 나온다. 외부로부터의 공격을 막는 것은 다양한 솔루션을 도입·적용하면 되지만 내부자의 악의적인 위해행위를 사전에 적발하기가 그만큼 어렵다는 지적이다. 아울러 오지스 측이 자산의 회수를 다짐하고 있지만 실제 얼마나 회수할 수 있을지 의문이라는 우려의 목소리도 나온다.
TOP