파인더갭 김오중 대표, “Web 3.0 해킹 피해에는 버그바운티가 해법입니다.”
금일(27일) 경기도 판교에 위치한 경기창조혁신센터 대회의장에서 열린 ‘대한민국 NFT 블록체인 게임 컨퍼런스’에서 파인더갭 김오중 대표가 ‘해외 NFT, 게임 해킹공격에 따른 피해와 해결방안’에 대한 강연을 진행했다.
단상에 오른 김 대표는 “가상자산 대상 해킹이 나날이 증가하고 있습니다. NFT 해킹 피해가 올해 1분기 약 643억 원을 기록했죠. 이는 작년 4분기 대비 약 35배 증가한 수치입니다. 가상자산 성장 추이에 비해 훨씬 높은 피해예요.”라고 말문을 열었다.
그는 가상자산 대상 해킹이 증가하는 이유를 규모가 큰 온라인 자본 시장은 블랙해커들에게 매력적이라는 점과 복잡한 서비스 형태에 따른 다양한 보안 홀(구멍)이 생길 가능성이 많기 때문이라고 진단했다.
이어서 김 대표는 해킹범이 주로 사용하는 기법을 크게 두 가지로 나누어 위험성을 알렸다. 각각 ‘NFT 기반 서비스 플랫폼 해킹’과 ‘NFT 서비스 이용자 해킹’이다.
먼저, ‘NFT 기반 서비스 플랫폼 해킹’은 악의적 코드를 서버에 업로드, 이중 인증 미사용 계정을 이용하여 침투, 웹 사이트 취약점을 파고드는 형태다.
김 대표는 2022년도 당시 가장 큰 NFT 마켓플레이스가 프론드엔드 취약점을 통해 해킹을 당한 일이 있었다고 말했다. 해킹범은 유명 NFT 8개를 탈취하여 재판매한 뒤 75만 달러(약 10억)의 부당 이익을 취했다고 한다.
다음으로, ‘NFT 서비스 이용자 해킹’의 경우 단순하게 이용자가 피싱 링크를 누르게 만드는 경우다. 관리자 계정을 탈취하거나, BOT 기능의 취약점을 이용하는 식이다. 김 대표는 수많은 방식이 있는 만큼 그 피해를 본 기업들이 꼽기 어려울 정도로 많다고 밝혔다.
김 대표가 해킹 피해를 막기 위해 설명한 보안 강화 방법은 버그바운티다. 버그바운티란 기업의 보안 취약점을 제보한 보안 전문가에게 포상금을 주는 제도로, 취약점을 조기에 발견 및 조치 가능하다는 면에서 긍정적으로 평가한다고 했다.
그는 ‘빗썸’, ‘바이낸스’ 같은 거래소부터 ‘더 샌드박스’, ‘갈라 게임즈’ 같은 게임 등 수많은 분야의 기업들이 사용하고 있다고 밝혔다. 기업 내에서 자체적으로 버그바운티 시스템을 운명하기 어렵다면 자체적으로 하기 어렵다면 버그바운티 플랫폼을 이용해도 좋다고 추가로 설명했다.
김 대표는 오픈소스로 코드가 전부 공개되는 Web 3.0 서비스 특성상 해킹에 더 취약한 편이고, 해킹 난도에 비해 피해가 크다는 점을 감안하면 보안을 선제적으로 강화하는 것이 중요하다고 재차 강조하며 강연을 마무리했다.