20일(현지시각) 미국 경제방송 CNBC 등에 따르면, 오픈씨는 지난 19일 오후 5시부터 8시까지 이어진 피싱 공격으로 32명 사용자가 보유한 254개 NFT가 탈취됐다. 도난된 NFT 중에는 '지루한 원숭이 요트클럽(BAYC)', '아즈키' 등 유명 NFT가 포함된 것으로 알려졌다.
오픈씨에 따르면, 이번 사고는 오픈씨 플랫폼 자체를 해킹한 것이 아닌 '악성 페이로드(피해를 주기 위해 만든 피싱 이메일 등을 통칭)'를 이용한 피싱 공격이었다. 일종의 백지수표를 만들어 피해자들에게 사인을 받은 뒤 계약 내용을 임의로 조작해 NFT를 빼돌리는 수법이다. 다만 오픈씨는 정확한 공격 방식은 추가로 확인할 계획이다.
데빈 핀저 오픈씨 CEO(최고경영자)는 "웹사이트 외부에서 발생한 피싱 공격"이라며 "해킹공격으로 약 2억달러(2300억원 규모) 피해를 입었다는 소문은 사실이 아니며 도난당한 일부 NFT는 반환됐다"고 말했다.
━
돈 몰리는 NFT, 해커들도 꼬인다..."사이버 위협 늘 것"━
이번 공격의 타겟이 된 오픈씨는 NFT시장 점유율 80% 이상을 점유한 세계 최대 거래소다. 올해 1월 한 달 동안의 거래액만 58억달러(약 6조 9500억원)에 달한다. 이번 사건은 '피싱'이라고 일축했지만, 오픈씨 플랫폼 자체를 노린 사이버 공격도 끊이지 않는다. 지난달에는 버그를 이용해 고가 NFT를 약 10분의 1수준 가격에 탈취한 뒤 시세차익을 얻은 사례가 나왔고, 악성 NFT를 활용해 가상자산을 탈취할 수 있는 결함이 발견돼 오픈씨 측에서 긴급 점검에 나서기도 했다.
보안업계에선 NFT 광풍과 맞물려 유명 작가와 사이트, 직원 등을 사칭해 NFT를 탈취하는 사기 범죄를 비롯해 범죄 자금세탁, 인위적으로 NFT 가치를 높이는 자전거래(Wash Trade) 등 유사 범죄가 잇따르고 있어 주의해야 한다고 당부한다. 과학기술정보통신부와 KISA(한국인터넷진흥원)도 올해 등장할 새로운 유형의 사이버 위협 중 하나로 'NFT를 탈취하려는 해킹'을 꼽았다. 실제로 블록체인 데이터 기업 체이널리시스에 따르면 지난해 가상화폐 사기 범죄 피해액은 77억달러(약 9조2000억 원)로 전년 대비 81% 증가했다.
국내 보안기업 이스트시큐리티 관계자는 "가상 공간에서 창조한 아바타를 통해 NFT로 부동산과 상품거래 등을 할 수 있고, 이것이 현실 세계의 전자 금융거래와도 연결된다"며 "향후 데이터 탈취와 프라이버시 침해 위협은 더욱 늘어날 것"이라고 말했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]