가상자산 거래소 지닥의 해킹 원인으로 내부 인프라 시스템 침투 가능성이 제기됐다.
11일 블록체인 보안 업체 티오리는 산하 체인라이트팀을 통해 지닥 거래소 자산 탈취 사고 분석 결과를 발표했다.
앞서 지닥은 지난 9일 오전 7시쯤 해킹으로 총 보관자산의 23%가 식별되지 않은 지갑으로 전송됐다고 공지했다. 탈취된 가상자산은 사라진 가상자산은 △비트코인(BTC) 60.80864074개 △이더리움(ETH) 350.5개 △위믹스(WEMIX) 1000만 개 △테더(USDT) 22만 개 등 180억 원 이상 규모이다.
지닥은 해킹의 원인으로 ‘핫월렛’을 지목했다. 핫월렛은 온라인에서 동작하는 지갑으로 바로 입출금과 송금이 가능한 암호화폐 지갑으로 보안성이 낮다는 평가를 받고 있다.
하지만 티오리 체인라이트팀은 이번 해킹이 내부 시스템 침투를 통해 이뤄졌을 가능성이 높다고 진단했다.
지닥 핫월렛 비밀 키가 탈취당한 것이 아니라 내부 시스템에 있는 입출금 관련 응용프로그래밍인터페이스(API)를 공격자가 호출했을 가능성이 높다는 의견이다.
티오리 측은 해커의 ‘스윕’(sweep) 과정을 주목했다. 지닥의 해커는 바로 이용자 지갑에서 해킹하지 않고, 굳이 다시 한번 거래소 지갑으로 코인을 보냈다.
이를 토대로 볼 때 티오리 측은 해커가 모든 입금 지갑의 비밀 키를 탈취했다기 보다 내부 인프라 공격을 통해 스윕 거래를 발생시킬 수 있는 권한을 쥐게 됐을 확률이 높다고 판단했다.
만약 공격자가 지닥의 모든 입금 주소의 비밀키를 탈취할 수 있었다면 거래소 핫월렛으로 가상화폐를 모으는 게 아니라, 곧바로 공격자 지갑으로 전송하는 데 효율적이기 때문이다.
또 잔고가 적은 계좌부터 순서대로 트랜잭션이 발생한 점, 해킹 대상 지갑에 보관된 모든 자산을 탈취하지 않은 점 등도 근거로 제시했다.
아울러 이어 비트코인, 이더리움, 위믹스를 제외한 가상자산에 전혀 손대지 않은 점도 공격자가 비밀 키를 획득하지 못했기 때문이라고 봤다.
티오리 체인라이트팀은 “해커는 내부 API를 실행할 수 있는 인프라에 침투해 공격했을 가능성이 더 높다”면서 “거래소 내 존재하는 내부 API 인프라를 해킹해 침투하고, 이후 내부 API를 호출해 다양한 사용자 입금 주소로부터 핫월렛으로 자산을 모은 뒤 자신의 지갑으로 같은 방법을 사용했을 것”이라고 설명했다.