[SCOOP 질문] 보안성 최고라던 NFT 왜 털렸을까

NFT 탈취 사건의 함의
“NFT는 만능” 이란 생각부터 잘못돼
2차 인증 등 보안 강화할 수단 필요

세계 최대 NFT 거래소 오픈시(OpenSea)에서 NFT가 탈취당하는 사건이 벌어졌습니다. 해커는 가짜 계약서로 이용자들의 서명을 얻어냈고, 이를 이용해 NFT를 빼내갔습니다. 이 사건으로 NFT의 보안 문제가 도마에 올랐는데, 전문가들은 “NFT가 만능이 아니다”고 지적합니다. 블록체인이 적용됐다고 해서 해킹의 위협까지 사라진 건 아니라는 얘기입니다. 더스쿠프가 NFT를 둘러싼 오해가 무엇인지 점검했습니다.

NFT가 해킹과 피싱으로부터 안전하지 않다는 지적이 제기되고 있다.[일러스트=게티이미지뱅크]

최근 NFT(대체불가능한 토큰·Non Fungible Token)가 투자자들 사이에서 큰 관심을 얻고 있습니다. NFT는 쉽게 말해 블록체인 기술로 만든 디지털 인증서를 뜻합니다. 디지털 사진, 영상, 캐릭터, 게임아이템 같은 디지털 파일을 거래내역 정보를 위변조하거나 해킹이 불가능한 블록체인에 저장하는 방식이죠. NFT마다 고유값을 갖고 있어 다른 NFT로 대체할 수 없는 것으로 알려져 있습니다.

이런 NFT의 특징을 이용해 예전에는 불가능했던 다양한 서비스도 생기고 있습니다. 특히 디지털 예술품이나 게임 아이템 등 디지털 자산 거래 서비스를 제공하는 산업에서 각광받고 있죠. 디지털 자산의 소유권은 물론이고 판매 이력 등의 관련 정보가 모두 블록체인에 저장되므로 위조나 복제가 불가능하다는 게 NFT의 장점입니다.

그 덕분인지 NFT 시장은 하루가 다르게 성장하고 있습니다. 블록체인 네트워크 시장조사업체인 댑레이더(DappRader)에 따르면 지난해 3분기 기준 세계 NFT 시장 규모는 107억 달러(12조8988억원)에 이릅니다. 같은해 13억 달러(1조5674억원)를 기록한 2분기와 비교하면 무려 723.0%나 증가한 셈입니다.

그런데, 이런 NFT 시장에 찬물을 끼얹는 사건이 발생했습니다. 지난 2월 19일(현지시간) 미국에 있는 세계 최대 NFT 거래소 ‘오픈시’가 피싱 공격을 받았기 때문입니다. 해킹범은 오픈시 이용자 32명의 지갑에서 NFT 254개를 탈취했는데, 업계에 따르면 그 피해액만 최소 170만 달러(20억5003만원)에 달합니다.

이용자들은 어떻게 NFT를 도난당한 걸까요? 그 과정은 이렇습니다. 해킹범은 이용자의 이메일 등에 접근해 자체적으로 만든 ‘계약서’를 보냅니다. 이용자들이 그 계약서에 사인하면, 해킹범은 이를 자신의 입맛대로 재작성합니다. NFT 소유권을 이용자에게서 해킹범으로 옮긴다는 계약을 넣는 식으로 말이죠.

이런 수법으로 해킹범은 ‘지루한 원숭이 요트클럽(BAYC)’ ‘아즈키’ ‘두들스’ 등 거래소에서 인기를 끄는 NFT를 훔쳤습니다. 핀저 오픈시 CEO는 “피해자들은 백지 수표에 사인을 한 셈이지만 해킹범이 수표의 나머지를 채워 계약을 완료했다”며 피싱 과정을 설명했습니다. 이용자들 입장에선 눈뜨고 코 베인 것이나 다름없습니다.[※참고: BAYC·아즈키·두들스는 NFT 기술이 적용된 이미지 파일입니다. 오픈시를 NFT 기반의 음악·사진·이미지 등이 거래되는 플랫폼으로 생각하면 이해하기 쉽습니다.]

눈뜨고 당한 이용자들

세계 최대 NFT 거래소가 피싱 공격을 당했다는 건 생각보다 시사하는 바가 큽니다. NFT 관련 산업이 빠르게 성장할 수 있었던 요소 중 하나가 NFT의 뛰어난 보안성 덕분이었는데, 이번 피싱 사건이 NFT의 보안성을 단번에 무너뜨렸기 때문입니다.

이를 어떻게 설명해야 할까요? 업계의 전문가들은 “NFT가 해킹이나 피싱을 막는 데 탁월하다고 알려진 것 자체가 문제”라고 말합니다. 김승주 고려대(정보보호학) 교수의 설명을 들어보시죠. “블록체인을 이용한 NFT는 어디까지나 데이터의 위조·변조를 방지하는 기술에 불과하다. 해킹이나 피싱을 예방하는 기술이 아니란 얘기다. 해킹범이 이용자의 개인정보를 얻을 수 있다면 이용자가 보유한 NFT를 훔쳐가는 건 얼마든지 가능하다.”

김 교수는 NFT를 등기권리증에 빗대어 설명했습니다. 등기권리증은 특수한 잉크와 스티커 등을 사용해 타인이 문서 내용을 함부로 수정하지 못하도록 만들어져 있습니다. 따라서 등기권리증을 위조하기란 쉬운 일이 아니겠죠. 하지만 이런 장치들은 도둑이 등기권리증 자체를 훔치는 것까지 막아주진 못합니다.

오픈시 피싱 사건의 핵심도 이와 비슷합니다. 해킹범은 가짜 문서를 보내 이용자들이 자신의 개인정보를 입력하도록 유도했고, 이 정보를 이용해 NFT를 훔쳐내는 데 성공했습니다. 김 교수는 “블록체인을 쓴다고 해서 NFT 거래소가 다른 사이트보다 보안성이 뛰어나다고 생각하는 건 오산”이라면서 “휴대전화·생체인식 등 개인정보를 이용한 2차 인증을 적용하지 않는 이상 오픈시 피싱 사건과 같은 범죄가 재발할 가능성은 여전히 존재한다”고 지적했습니다.

NFT 역시 보안성 강화해야

NFT도 해킹의 위험에서 안전하지 않다는 얘긴데, 그렇다면 보안성을 높일 방법은 없는 걸까요? 오픈시 측은 “스마트 콘트랙트(계약서)를 업그레이드해 보안성을 강화했다”고 발표했지만 이것만으로 NFT가 해킹으로부터 안전해졌다고 장담하긴 어렵다는 게 업계의 평가입니다. NFT란 기술을 제외하면 NFT 거래소도 일반 사이트와 다를 게 없다는 이유에서죠.

이정륜 블록체인기술연구소 대표는 오픈시 피싱 사건이 가진 함의含意를 이렇게 설명했습니다. “NFT는 데이터가 돈이 될 수 있다는 걸 증명했다. 앞으로 NFT의 가치는 점점 커질 텐데, 그럴수록 NFT를 관리하는 방법도 그만큼 중요해질 것이다. 이런 의미에서 NFT의 신뢰성과 보안성을 높이는 블록체인 기술이 발전돼야 한다. NFT 기업들은 소유자의 권리를 보호하고 안전하게 행사할 방법을 고민해야 할 것이다.”

이혁기 더스쿠프 기자
lhk@thescoop.co.kr