NFT 거래소 취약점으로 '피싱' 제기...가상자산 탈취 가능성 있어

2021-10-18 16:00
피싱이나 스미싱과 유사한 방식으로 가상자산 노려
실제로 악용되지는 않았으나, 탈취로 이어질 가능성 있어

오픈씨에서 가상자산 지갑을 노리는 피싱 공격 가능성이 제기됐다[사진=오픈씨 홈페이지 갈무리]


NFT(대체 불가능 토큰)와 가상자산에 대한 투자가치가 커지면서 ‘에어드랍’이라 불리는 신규 토큰 무상증자에 대한 관심도 덩달아 커지고 있다.

에어드랍은 블록체인을 기반으로 디앱(Dapp) 등 신규 서비스를 출시하면서, 함께 쓰이는 유틸리티 토큰을 사용자에게 무료로 제공하는 것을 말한다. 서비스 기업은 에어드롭으로 인지도 상승을 노리고, 사용자는 향후 유틸리티 토큰 가치 상승을 기대해 여기에 참여한다. 하지만, 에어드랍을 가장하고 가상자산 지갑을 탈취하는 공격 방식이 검증돼 주의가 필요하다.

사이버보안기업 체크포인트 세계 최대 규모 NFT 유통 플랫폼 오픈씨(OpesSea)를 점검한 결과 가짜 NFT 에어드랍 과정이 실제로 악용될 가능성이 있으며, 공격자는 이러한 방식으로 사용자의 계정과 가상자산 지갑을 탈취할 수 있다고 밝혔다. 체크포인트는 해당 취약점을 지난 9월 26일 오픈씨에 알렸으며, 오픈씨는 1시간 이내에 조치를 마쳤다고 설명했다.

공격이 이뤄지는 방식은 다음과 같다. 공격자는 우선 가짜 NFT 에어드랍을 발행해 피해자에게 선물한다. 피해자는 가짜 NFT를 받기 위해 오픈씨 홈페이지에서 자신의 지갑을 연결한다. 가령, 메타마스크 같은 지갑을 선택하면 웹 브라우저 플러그인으로 설치한 지갑이 팝업으로 열리면서 해당 서비스와 연결할지 묻는다. 이는 블록체인 기반 서비스에서 흔히 수행하는 작업이다.

일반적으로 피해자는 이 과정에서 승인을 누른다. 하지만, 공격자는 이 과정에 개입해 추가적인 팝업창을 만들고, 사용자 가상화폐 지갑에서 자신의 지갑으로 인출하는 거래화면을 보여준다. 만약 사용자가 이를 제대로 읽지 않고 승인할 경우 공격자가 요구한 만큼 가상자산이 인출된다. 블록체인 기술 특성상 공격자가 가상자산을 직접 탈취하는 것은 어렵기 때문에 사기에 가까운 사회공학적 기법이 이용되고 있다.

체크포인트는 이러한 공격을 예방하기 위해 지갑을 통해 서명하라는 요청을 받을 때 주의해야 한다고 당부했다. 요청을 승인하기 전에는 팝업창에서 요청 내용을 주의깊게 검토하고, 비정상인지 혹은 의심스러운지 확인해야 한다. 의심스럽다면 요청을 거부하는 것이 현명하다.

오픈씨는 해당 취약점이 실제로 악용된 사례는 확인하지 못했으며, 피싱 등 가상자산과 NFT를 노리는 사기를 예방하기 위해 블록체인 커뮤니티를 통한 교육을 늘리고, 탈중앙화 기술을 안전하게 이용하는 방법에 대해 소개할 계획이라고 밝혔다.

한편, 오픈씨는 지난 8월을 기준으로 NFT 거래량 34억 달러(약 4조 362억원)을 기록하며 한 달 사이에 10배 이상 늘었다. 전년 동기와 비교하면 약 200배 증가한 수치다.