바이비트 해킹, 15억 달러 유출… 보안 취약점 논란

최근 발생한 15억 달러(약 2조 1,900억 원) 규모의 암호화폐 해킹 사건이 버그 바운티 프로그램의 한계를 드러내며 보안 강화 필요성을 부각시키고 있다.

3일 블록체인 보안업체 서틱(CertiK)은 2월 한 달 동안 해킹으로 인해 암호화폐 업계에서 총 15억 3,000만 달러(약 22조 3,800억 원)가 유실됐다고 발표했다. 특히 이번 사태의 대부분을 차지한 바이비트(Bybit) 해킹 사건에서는 14억 달러(약 20조 4,400억 원) 상당의 손실이 발생했다. 이를 제외하더라도 1억 2,600만 달러(약 1조 8,400억 원)가 추가로 유출됐다.

해킹 사고의 원인은 버그 바운티 프로그램이 일부 보안 취약점을 보상 범위에서 제외했기 때문이라는 지적이 제기됐다. 보안업체 피어스오프(FearsOff)의 최고운영책임자(COO) 마르완 하쳄(Marwan Hachem)은 코인텔레그래프와의 인터뷰에서 "바이비트의 멀티시그 지갑 제공업체인 세이프(Safe)는 프론트엔드와 백엔드 보안 결함을 보상 대상에서 제외했다"며 "결국 이러한 '범위 밖(out of scope)' 취약점이 사상 최대 규모의 해킹 사건으로 이어졌다"고 분석했다.

또한 그는 현재 바이비트의 버그 바운티 프로그램이 공식 웹사이트에서 최고 4,000달러(약 580만 원), 해커원(HackerOne) 플랫폼을 통해 최대 1만 달러(약 1,460만 원)의 보상금을 제공하는데, 이는 악의적인 공격자들이 얻을 수 있는 수익과 비교했을 때 현저히 낮은 수준이라고 강조했다. 하쳄은 "화이트해커들에게 충분한 보상을 제공하면 사전에 해킹을 방지할 수 있다"면서 "대규모 해킹 사건이 발생한 후 도난 자금의 10%를 제안하는 것보다 사전 예방이 더 효과적인 대책"이라고 지적했다.

이와 함께, 보다 엄격한 보안 조치가 필요하다는 목소리도 나오고 있다. 서틱 관계자는 "향후 바이비트와 같은 사건을 방지하려면 오프라인 서명 기기(air-gapped devices), 비휘발성 OS 환경(non-persistent OS) 등을 도입해 고액 거래에 대한 강화된 인증 절차를 마련해야 한다"고 조언했다.

이번 바이비트 해킹은 다중 서명(signer) 담당자가 피싱 공격에 속아 악성 계약 업그레이드를 승인하면서 발생했다. 인피니(Infini) 해킹 사례에서는 관리자의 개인 키가 유출돼 무단 인출이 이뤄졌다. 서틱은 "두 사건 모두 서명 과정을 검토하지 않은 채 승인하는 '블라인드 서명(blind signing)'의 위험성을 여실히 보여줬다"며 "강화된 인증 절차, 실시간 거래 모니터링, UI 보안 개선이 필수적"이라고 덧붙였다.