더보기

하마터면 250억달러 날릴 뻔…도지코인과 지캐시가 소스코드 취약점을 해결한 방법

3 mins
Shubham Pandey

요약

  • 2022년 암호화폐 해킹 규모는 38억달러를 기록했다. 이는 2021년 33억달러보다 15% 증가한 수치다.
  • 사이버 보안업체 할본은 최근 280개 이상의 UTXO 네트워크에 영향을 미치는 치명적 취약점을 다수 발견했다.
  • 할본은 도지코인 핵심 개발자와 긴밀히 협력해 모든 취약점이 수정될 때까지 각각의 제로데이 결과를 공개했다.
  • promo

암호화 네트워크의 취약성은 여전히 크게 존재한다. 2022년 시장에 불어닥친 재앙급 악재 이후에도 사라지지 않았다. 최근 한 보안 연구팀도지코인(Dogecoin), 라이트코인(Litecoin), 지캐시(Zcash)에서 막대한 위험을 발견했다. 개발진은 추가적인 위험을 경고했다.

암호화폐는 누구나 소프트웨어의 코드를 검사 및 수정, 배포할 수 있도록 설계된 오픈소스 코드베이스를 사용한다. 이러한 개방성은 투명성과 책임, 혁신을 촉진함으로써 암호화 커뮤니티가 블록체인 기술을 지속적으로 개발하고 개선할 수 있도록 돕는다.

그러나 이것은 한편으로 악의적 행위자에 의해 쉽게 악용될 수 있음을 의미한다. 이들은 코드의 취약점을 식별해 악용할 소지가 크다.

악의적 행위자가 네트워크에 침투하는 다양한 경로

다음은 블록체인 보안에 영향을 미칠 수 있는, 오픈소스 코드베이스의 몇 가지 취약점이다.

  • 아무리 경험 많은 개발자라도 악용에 노출될 수 있는 코딩 오류를 범할 수 있다. 예를 들어, 개발자가 적절한 입력 유효성 검사를 수행하지 못함으로써 공격자가 시스템에 악성 코드를 심어버리는 것이다. 이와 비슷하게 메모리 할당, 혹은 데이터 처리 오류로 인해 데이터 손상이나 유출이 발생할 수 있다.
  • 오픈소스 코드베이스는 코드 문제 식별 및 수정을 대개 팀 동료의 검토에 의존한다. 그러나 코드베이스에 엄격한 검토 절차가 없으면, 공격자가 악용할 수 있는 보안 허점이 발생할 수 있다. 또 경험이 부족한 개발자가 코드 수정의 영향에 대해 제대로 이해하지 못한 채 수정 작업을 진행해도 새로운 취약점이 생겨난다.
  • 포크는 개발자가 기존 코드베이스를 변경해 새로운 프로젝트를 만드는 과정이다. 포크는 주로 오픈소스 커뮤니티에서 진행되지만, 개발자가 보안 업데이트를 통합하지 않거나 제대로 변경하지 않는 경우 취약점이 발생할 수 있다. 포크된 프로젝트가 대중적으로 확산하면, 공격자는 잠재적 취약성을 근거로 이를 표적으로 삼을 수 있다.
  • 다수의 오픈소스 프로젝트는 타사 라이브러리나 프레임워크를 사용해도 제대로 작동한다. 이러한 의존성은 시간과 노력을 절약할 수 있지만, 결함이 있거나 오래된 경우 취약성을 유발할 수 있다. 공격자는 이러한 취약점을 악용해 민감한 데이터에 접근하거나 블록체인의 무결성을 훼손한다.
  • 코드베이스가 기술적으로 탄탄해도 공격자는 여전히 사람의 약점을 악용해 시스템에 접근할 수 있다. 이를테면, 피싱 공격으로 로그인 자격을 얻거나 개발자가 시스템에 악성코드를 심도록 속이는 것이다.

해킹 위험에 처한 암호화폐 플랫폼

암호화폐 코드베이스의 오픈소스 특징은 투명성과 혁신 등 상당한 이점을 제공한다. 그러나 공격자가 악용할 수 있는 잠재적 취약점도 함께 가져온다. 따라서 개발자는 보안을 보장하고 블록체인의 무결성을 유지하기 위해 코드를 지속적으로 검토하고 개선해야 한다.

암호화폐 온체인 데이터 기업인 체이널리시스에 다르면 암호화폐 해킹범이 탈취한 금액은 지난 2022년 한해에만 약 38억달러로 집계됐다. 이는 2021년 33억달러보다는 15% 증가한 수치지만, 2020년 5억달러보다는 매우 큰 폭으로 증가한 규모다.

Crypto Hacks from 2016 to 2022 Source: Chainalysis. Dogecoin (DOGE)
2016~2022년 암호화폐 해킹 규모. 출처: Chainalysis

사이버 보안업체 할본(Halborn)의 조사 결과에 따르면, 올해 해킹 피해 규모는 훨씬 더 증가할 것으로 보인다. 이미 280개 이상의 주요 블록체인에서 취약점이 발견됐다. 여기에는 도지코인, 라이트코인, 지캐시 등이 포함된다. 전체적으로 약 250억달러의 자산이 위험에 처한 셈이다.

주요 허점 노린다

할본 연구팀은 도지코인의 오픈소스 코드베이스를 평가해 해당 코드에서 블록체인 채굴자의 자산을 노리는 익명의 탈취, 혹은 제로데이(zero-day) 취약점에 대한 테스트를 진행했다.

Zero Day Vulnerabilities Source: Panda Security
제로데이 취약점. 출처: Panda Security

그 결과 연구팀은 코드명 ‘Rab13s’라는 취약점을 발견했다. 도지코인 측은 할본의 경고에 따라 해당 코드를 수정했다.

악의적 행위의 심각한 결과

라이트코인, 지캐시 등 유사 블록체인 네트워크에서도 이 같은 제로데이 변형이 발견되면서 허점을 식별할수록 더 많은 의심이 생겨났다. 이는 결국 심각한 결과로 이어질 수 있다.

우선, P2P 메시징 메커니즘과 관련해 악의적 합의 메시지가 각 노드에 전송되어 노드가 종료되고, 네트워크는 51% 공격 같은 심각한 위험에 노출될 수 있다. 이후 공격자는 계속해서 공용 인터페이스(RPC)를 통해 일반 노드 사용자처럼 행세하며 코드를 실행할 수 있다. 그러나 공격을 수행하려면 유효한 자격 증명이 필요하므로 탈취 가능성은 크지 않다.

따라서 할본 연구팀은 추가 피해 방지를 위해 도지코인 같은 UTXO 기반 노드를 모두 최신 버전(1.14.6)으로 업그레이드할 것을 권장했다.

Screenshot shared by the Halborn team 
할본팀이 제공한 스크린샷 

이와 관련해 당사는 지캐시, 라이트코인, 도지코인이 취약점을 어떻게 수정했는가에 대해 할본에 물었다. 이에 스티브 발브로엘 최고보안책임자 겸 공동 창업자는 다음과 같이 답했다.

“이 같은 사건은 암호화폐 생태계에 폭넓게 영향을 미칠 수 있다. 공용 메인넷에 문제가 오래 남아 있을수록 악의적 의도를 가진 해커가 문제를 발견해 이를 악용할 가능성이 커진다. 우리는 가장 먼저 도지코인 오류 수정을 끝냈다. 가장 큰 이해관계자의 솔루션을 식별하고 문제를 수정하는 작업을 완료한 셈이다. 그리고 다른 모든 체인에 이를 하나의 사례로 제시했다. 요컨대, 서로 다른 프로젝트가 공동의 위협을 해결하며 긍정적인 결과를 얻도록 지원한 것이다.”

도지코인 및 지캐시 핵심 개발자에게도 연락을 취했으나 아직 답을 받지 못했다.

최고의 암호화폐 거래소

Trusted

비인크립토 웹사이트에 포함된 정보는 선의와 정보 제공의 목적을 위해 게시됩니다. 웹사이트 내 정보를 이용함에 따라 발생하는 책임은 전적으로 이용자에게 있습니다.
아울러, 일부 콘텐츠는 영어판 비인크립토 기사를 AI 번역한 기사입니다.

yun_choi.jpg
Yun-yeong Choi
비인크립토에서 한영 기사 번역을 맡고 있습니다. 코인데스크코리아 등 블록체인 매체에서 프리랜스 번역가로 활동했으며 『돈의 패턴』, 『두려움 없는 조직』, 『오늘부터 팀장입니다』 등 약 30권의 책을 번역했습니다. 한국외대 학부에서 이란어를, 대학원에서 한영번역을 전공했습니다. 블록체인이 바꿔 나갈 미래를 꿈꾸며 기대합니다.
READ FULL BIO
스폰서
스폰서