지난 2월, 탈중앙화 암호화폐 거래소인 픽스드플로트(FixedFloat)는 드레인 공격으로 인해 2,600만 달러 상당의 비트코인(BTC)과 이더리움(ETH)을 잃었습니다. 3월 말, 이 거래소는 두 번째 공격을 받아 280만 달러의 추가 손실을 입었습니다.
몇 달 후, 픽스드플로트는 이러한 사건의 세부 사항과 현재 진행 중인 조사를 비인크립토와 공유했습니다.
픽스드플로트는 올해 두 차례 해킹을 당했습니다. 어떻게 이런 일이 발생했을까요?
첫 번째 해킹은 2월 16~17일 밤에 발생했습니다. 이는 보안 구조의 취약점으로 인한 외부 공격이었습니다. 해커가 보안의 취약점을 악용하여 FixedFloat의 일부 기능에 액세스할 수 있었습니다. 두 번째 침해는 3월 31일에 발생했으며, 당시 해커는 당사가 사용하던 타사 서비스의 취약점을 악용했습니다.
두 번째 해킹은 이전 해킹을 일으킨 해커와 동일한 해커가 저지른 것인가요, 아니면 다른 공격자가 저지른 것인가요?
동일한 IP 주소에서 공격이 시작되었기 때문에 동일한 해커가 두 해킹을 모두 저지른 것으로 추정됩니다. 현재로서는 자세한 내용을 모두 알려드릴 수 없습니다. 하지만 해커가 다수의 침해된 서버를 보유하고 있다는 사실은 알려드릴 수 있습니다.
이러한 서버 중 일부에는 공격용 인프라가 구축되어 있습니다. 해커들은 자신의 디바이스에 증거를 저장하지 않고 타사 서버를 사용했을 가능성이 높습니다. 해커들은 수많은 고유 IP 주소를 사용했지만, 일부는 두 가지 공격을 모두 실행하는 데 사용되었습니다.
해킹의 배후가 정확히 누구인지에 대한 정보가 있나요?
저희는 오랫동안 Time4VPS 호스팅을 사용해 왔습니다. 이 업체는 2012년부터 운영 중인 유럽에서 꽤 큰 규모의 웹 호스팅 제공업체입니다. 이 호스팅은 성능이 낮고 상당히 저렴한 서버를 제공하기 때문에 우리는 우리의 목적을 위해 Time4VPS를 선택했습니다. 이것은 프로젝트 개발 초기 단계에서 일부 기술 솔루션을 구현하는 데 편리하고 수익성있는 옵션이었습니다.
지난 몇 년 동안 저희는 서브서버와 지갑을 마이그레이션했습니다. 2024년 초, 지갑과 일부 서브시스템이 있는 저전력 노드 몇 개가 Time4VPS 서버에 남아있었습니다. 첫 번째 해킹 이후 해커는 Time4VPS에서 대여한 기술 서버 중 하나의 IP 주소를 발견했습니다.
해커는 이 정보를 어떻게 사용했나요?
해커는 하나의 IP 주소만 알고 있었음에도 불구하고 Time4VPS 호스팅에서 대여한 모든 서버에 동시에 로그인했습니다. 즉시 서버와 계정의 모든 비밀번호를 변경했지만 해커는 재빨리 비밀번호를 다시 변경했습니다. 서버 인증을 방지하는 솔루션을 찾아서 이 호스팅 업체에서 전환하기 시작했습니다.
하지만 해커가 모든 서버에 대한 글로벌 액세스를 포함한 모든 호스팅 기능에 액세스하여 솔루션이 효과가 없게 되었습니다. 해커는 계정 이메일을 잘못된 이메일로 변경하여 로그인이나 비밀번호 변경 알림을 받지 못하도록 했습니다. 해커는 권한 없이 서버에 연결했습니다.
이 시점에서 저희는 해당 서버를 즉시 파괴하고 화이트리스트에서 삭제해야 한다는 사실을 깨달았습니다. 그렇게 하는 것이 지연되는 동안 해커는 자금을 훔칠 수 있는 요청을 보낼 수 있었습니다.
Time4VPS 지원팀에 연락하셨나요?
3월 31일, 저희 서버에 대한 무단 액세스를 발견한 직후 Time4VPS에 연락하여 해킹을 신고했습니다. 저희는 그들의 무반응에 매우 놀랐습니다. 기술 지원팀은 기술자가 쉬는 날이라 도움을 줄 수 없다고 알려주었습니다. 다음 날에도 Time4VPS 팀은 아무런 연락도 하지 않았습니다. 그들은 단지 계정의 비밀번호를 변경하라는 조언만 했습니다.
결국 개인 계정을 통해 특정 작업을 수행할 수 없다는 것을 확인하도록 설득했습니다. 그제서야 해킹 사실을 확인하고 다음 날 사고에 대한 보고서를 제공하겠다고 약속했습니다.
Time4VPS로부터 해킹 관련 보고를 받았나요?
3개월 이상이 지났지만 아직 Time4VPS로부터 아무런 보고를 받지 못했습니다. 대신 시스템을 통해 몇 가지 문서를 제공해 달라고 요청했습니다. Time4VPS 담당자가 취약점을 발견하고 수정했는지 확인하지 않았기 때문에 이를 거부했습니다. 그들의 요구로 인해 또 다른 정보 유출의 위험이 발생했습니다.
저희는 법 집행 기관이 직접 개입하거나 취약점이 수정되었음을 확인한 후에만 협조하기로 합의했습니다. 또한, 저희 변호사가 회사 사무실에서 직접 필요한 서류를 제출하여 신고와 지원을 받을 수 있도록 준비했습니다. 하지만 Time4VPS 경영진은 이 제안을 거절했습니다.
해킹 당시 Time4VPS가 비활성 상태였고 해킹 이후에도 지원을 제공하지 않은 이유는 무엇이라고 생각하나요?
저희는 호스트의 직원이 해킹을 조장했을 가능성을 배제하지 않습니다. 하지만 Time4VPS와 그 배후에 있는 리투아니아 회사가 단순히 부주의했을 가능성이 더 높다고 생각합니다. 호스트의 중요한 취약점이 수정되지 않은 채로 남아 있어 모든 고객의 데이터가 해커의 공격으로부터 보호되지 않는다고 생각합니다.
해킹으로 인해 고객에게 영향을 미쳤나요?
이 사건은 저희뿐만 아니라 사용자들에게도 문제를 일으켰습니다. 저희는 해킹을 감지하자마자 FixedFloat를 끄고 진행 중인 모든 거래를 중단했습니다.
FixedFloat는 자동화된 비수탁형 중앙집중식 암호화폐 거래소 서비스이므로 사용자의 자금을 보관하지 않습니다. 또한 FixedFloat는 암호화폐 믹서가 아닙니다. 저희는 저희 주소로만 거래소에 자금을 송금하며, 이 정보는 공개되어 있습니다.
해킹으로 인해 당시 거래소를 이용했던 고객에 대한 의무가 있었습니다. 이후 저희는 사용자에 대한 모든 의무를 이행했으며, 서비스 중단으로 인해 중단된 모든 주문을 완료했습니다. 저희 서비스만 해킹과 자금 도난으로 인해 피해를 입었습니다.
해킹 이후 어떤 조치를 취했나요?
첫 번째 침해는 보안 취약점으로 인한 것이었으며, 이후 보안 취약점을 수정했습니다. 안타깝게도 제3자의 공격은 예상하지 못했습니다. 두 번째 해킹 이후에는 두 달 넘게 서비스를 유지보수했습니다. 이 기간 동안 전문가들이 인프라를 개선하고 이러한 공격으로부터 보호하기 위해 광범위하게 노력했습니다.
보안 시스템을 근본적으로 수정했습니다. 여기에는 종합적인 감사 실시, 추가 보안 조치 시행, 위협 탐지 및 예방 시스템 개선 등이 포함되었습니다.
기술적인 작업은 완료했나요?
네, 픽스드플로트는 운영을 재개했습니다. 이미 대부분의 암호화폐를 교환할 수 있으며, 전문가들이 새로운 통화를 추가하기 위해 노력하고 있습니다. 저희는 6년 동안 고품질의 편리하고 빠른 암호화폐 거래소 서비스를 제공해왔으며 앞으로도 계속 노력할 계획입니다.
해킹 피해자의 입장에서 다른 플랫폼과 사용자들에게 보안을 강화하기 위한 조언을 해주시겠어요?
서로 다른 이유로 두 번의 해킹을 경험한 서비스로서 다음과 같은 사항을 추천하고 싶습니다:
- 보안 시스템에 대한 감사를 자주 실시하세요. 모든 취약점을 즉시 파악하고 해결합니다.
- 공급자 취약성에 대한 계획을 세우세요. 두 번째 해킹은 호스팅 제공업체인 Time4VPS의 취약점을 악용했습니다. 플랫폼은 이러한 시나리오를 예상하고 서비스 제공업체 해킹에 대처할 수 있는 강력한 절차를 마련해야 합니다.
- 항상 사용자 안전을 우선시하세요. 사용자 데이터와 자금을 보호하기 위해 엄격한 보안 조치와 프로토콜을 구현하세요.
이러한 사고 이후 사용자의 신뢰를 회복하기 위해 어떤 조치를 취하고 있나요?
저희는 소셜 네트워크와 포럼 등 다양한 커뮤니케이션 채널을 통해 사용자들과 적극적으로 소통하고 있습니다. 이를 통해 사용자들에게 변경 사항을 알리고 있습니다. 현재 모든 사용자가 FixedFloat의 운영이 재개되었다는 사실을 알고 있는 것은 아니지만, 이 정보를 널리 알리기 위해 노력하고 있습니다.
해킹이 사용자에게 미칠 영향에 대해 우려하시는 분들이 많다는 것을 잘 알고 있습니다. 그러나 당사는 비수탁 서비스이며 사용자 자금을 보관하지 않는다는 점을 강조합니다. 긴급 셧다운으로 인해 이행되지 않은 주문은 모두 완료되었습니다. 현재 저희는 사용자에 대한 재정적 의무가 없습니다.
비인크립토 웹사이트에 포함된 정보는 선의와 정보 제공의 목적을 위해 게시됩니다. 웹사이트 내 정보를 이용함에 따라 발생하는 책임은 전적으로 이용자에게 있습니다.
아울러, 일부 콘텐츠는 영어판 비인크립토 기사를 AI 번역한 기사입니다.