출처=셔터스톡
출처=셔터스톡

올해 발생한 블록체인 관련 보안 사고 중 스마트 컨트랙트의 취약점을 공격한 사례가 가장 많은 것으로 나타났다.

15일 금융보안원과 금융정보보호협의회, 금융보안포럼이 주최한 ‘금융정보보호 컨퍼런스 피스콘(FISCON) 2022’에서 김지훈 금융보안원 연구원은 "올해 스마트 컨트랙트의 취약점을 공격한 사고는 총 59건"이라고 밝혔다. 이는 올해 발생한 전체 블록체인 사고 중 22% 가량이다. 사기가 56건, 플래시 론 공격과 메신저·SNS 해킹이 각각 33건, 27건으로 뒤를 이었다.

중국 보안업체 슬로미스트 내용 분석 및 기사 참고. 출처=금융보안원.
중국 보안업체 슬로미스트 내용 분석 및 기사 참고. 출처=금융보안원.

스마트 계약은 암호화폐(가상자산)를 발행할 때 서명 검증의 취약점이 발견되면서 공격당한 것으로 나타났다. 암호화폐 발행은 지정된 계정만 수행해야 하는데 서명 검증 함수에서 계정 확인 과정이 누락되고, 공격자가 계정을 생성한 후 가상자산 발행을 시도하면서 서명 검증이 통과된 것이다. 

암호화폐 연결서비스 웜홀에서 발생한 서명 검증 함수 버그. 출처=웜홀.
암호화폐 연결서비스 웜홀에서 발생한 서명 검증 함수 버그. 출처=웜홀.

이와 같은 사고는 코드 검사(Audit)를 수행해도 취약점이 발견되지 않는 경우가 많았다. 따라서 금융보안원은 기존 코드에 대해서도 주기적으로 검사를 실시하고 누락된 취약점이 없는지 지속적으로 확인해야 한다고 강조했다.

투자자들이 보안 사고를 당하지 않기 위해선 최근 발생하는 사고 유형에 관심을 둘 필요가 있다. 김 연구원은 “사기범들은 개발 중인 디지털자산 서비스에 초기 투자를 유도하곤 한다”며 “실현 가능한 서비스인지, 혜택은 과도하지 않은 지 면밀히 판단해야 한다”고 조언했다. 

그러면서 “디스코드 등의 메신저와 SNS의 관리자 권한을 획득해 피싱 링크를 게시하는 경우도 반복적으로 발생하므로 주의가 필요하다”며 “외부 URL이나 단축 URL 클릭을 조심하고 무분별한 이벤트 참여를 삼가야 피해를 예방할 수 있다”고 덧붙였다.

관련기사

제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지