클레이튼 로고. 출처=클레이튼
클레이튼 로고. 출처=클레이튼

클레이스테이션 해킹으로 탈취된 10억원 상당의 클레이(klay)를 두고 개발사 오지스와 이용자가 치열한 책임 공방을 펼치고 있다.

클레이튼(klaytn)에서 사용하는 암호화폐 클레이를 활용한 스테이킹 서비스 클레이스테이션의 도메인 관리 계정이 2020년 11월2일 새벽 해킹당했다. 

당시 클레이스테이션의 개발사 오지스는 도메인 서비스 업체 후이즈(whois)를 이용 중이었다. 후이즈의 오지스 관리 계정이 '무작위 대입 공격(Brute Force Attack)'으로 인해 해킹되면서 문제가 발생했다. 무작위 대입 공격은 해커가 계정 정보를 알아내기 위해 모든 경우의 수를 대입하는 해킹 기술을 의미한다.

후이즈의 오지스 계정을 뚫은 해커는 클레이스테이션의 도메인 정보를 자신들이 만든 스캠(scam) 사이트로 연결했다. 그 결과 11월2일 새벽에 구글이나 네이버에서 클레이스테이션을 검색한 이용자는 스캠 사이트로 접속했다.

클레이스테이션 스캠 사이트에 접속하면 해커는 이용자에게 개인키를 입력하도록 알림을 설정했다. 개인키는 통장의 비밀번호의 역할을 하는 것으로 외부로는 절대 노출하면 안되는 정보다.

그렇게 스캠 사이트에서 개인키를 입력한 이용자는 보유하고 있었던 클레이를 해커에게 전량 탈취당했다.

박태규 오지스 대표는 "당시 스캠 사이트에서 개인키를 입력한 고객은 모두 4명으로 약 2억원 상당의 클레이가 외부로 유출된 것으로 확인했다"고 설명했다. 지난해 11월 1클레이 가격이 약 600원이었다는 점을 생각하면, 현재 약 10억원 상당의 금액이 탈취된 셈이다.

클레이스테이션. 출처=클레이스테이션 캡쳐
클레이스테이션. 출처=클레이스테이션 캡쳐

관리 소홀 vs. 이용자 부주의

피해자는 이번 사건의 원인이 클레이스테이션 관리 소홀로 인해 발생한 것이라고 주장한다. 만약 클레이스테이션의 도메인 관리 서비스가 해킹당하지 않았다면, 스캠 사이트에 접속이나 개인키 입력은 없었을 것이라는게 주된 요지다.

오지스를 상대로 해킹으로 인한 손해배상청구 소송을 진행 중인 A씨는 코인데스크코리아와의 통화에서 "클레이스테이션은 클레이를 예치해 일정 수준의 보상을 제공해주는 서비스로, 보상에 대한 수수료를 받는 오지스에게 관리 책임이 있다"며 "탈취당한 클레이 전량을 복구해주길 원한다"고 말했다.

반면 오지스는 도메인 계정이 스캠 사이트로 연결됐다는 점은 아쉽지만, 최종적으로 개인키를 입력한 이용자 책임이 크다는 입장이다. 클레이스테이션은 오지스가 개발했으나, 탈중앙화된 형태로 지갑 관리 권한과 책임은 개인키를 가진 이용자에게 있다는 게 오지스 측의 주장이다.

박태규 대표는 "당시 클레이스테이션에 접속한 수십명의 이용자 중 개인키를 입력한 이는 4명에 불과하다"며 "우리는 개인키로 클레이를 이동하는 이용자가 고객인지 해커인지 알 수 없으며, 개인키로 자산을 관리하는 이용자를 임의로 통제할 수 있는 권한은 갖고 있지 않다"고 말했다. 또 그는 "클레이스테이션은 절대 개인키를 요구하지 않는다"며 "개인키는 비밀번호에 해당하는 만큼 외부 유출 없이 철저히 관리해야 한다"고 덧붙였다.

한편 클레이스테이션 도메인 계정 해킹 사건 발생 이후 오지스가 보안업체 웁살라시큐리티에 탈취된 클레이튼 추적 의뢰를 한 결과 11월2일 오후 6시31분경 약 28만9247개의 클레이가 중국계 암호화폐 거래소인 빌락시(Bilaxy)로 이동된 정황이 확인됐다.

제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지