지난 2월 3일 클레이스왑에서 발생한 암호화폐 유출 사고는 해커가 통신을 가로채고 악성 기능을 주입하는 방식으로 이뤄졌다는 분석이 나왔다. 공격 과정에서는 인터넷 통신의 구조적 약점을 악용했으며, 이에 대해 대형 인터넷 서비스 기업의 대비책 마련이 필요하다는 지적도 제기됐다.

클레이스왑 운영사 오지스가 지난 6일 발표한 사건 보고서에 따르면 정체를 알 수 없는 공격 조직이 장기간 공격을 준비했으며, BGP 하이재킹이라는 기법을 이용해 통신을 가로챈 뒤 자신의 서버로 사용자를 연결시켰다. 특히 공격자가 만든 서버는 무료 SSL 인증서를 사용해 보안 통신 규약인 HTTPS를 우회했다.

해당 공격으로 약 471개 암호화폐 지갑에서 22억원 상당의 자산이 유출됐으며, 오지스는 이에 대해 선제적으로 보상하겠다고 밝혔다. 특히 이번 공격 이후 유사한 형태의 대형 공격이 다른 곳에서도 발생할 수 있다고 설명했다.

BGP 하이재킹은 사용자 PC와 서버가 통신하는 규칙인 '라우팅 테이블'을 손상시키고, 정상적인 서버가 아닌 다른 곳으로 유도하는 공격 기법이다. 사용자의 통신 목적지를 서버가 아닌 다른 곳으로 변조하며, 사용자가 정상적인 주소(IP)로 연결하더라도 해커가 만든 가짜 서버에 도달하게 된다.

클레이스왑은 마케팅을 목적으로 카카오가 제공하는 오픈소스 SDK를 사용해왔다. 공격자는 여기에 개입해 카카오 서버로 가는 통신을 가로채고, 가짜 서버로 유도해 악성코드를 주입했다. 

특히 2월 3일 11시 31분부터 시작된 해당 공격으로 인해 약 90분간 카카오 서버로 연결되는 일부 서비스에서 장애가 발생한 것으로 보인다고 덧붙였다. 카카오 서버로 접속돼야 할 통신이 공격자 서버로 연결됐기 때문이다.

오지스에 따르면 이번 공격을 위해 공격자가 약 7개월 전부터 다양한 시도와 실험을 한 흔적이 블록체인 네트워크에 남아 있으며, 암호화폐를 빼돌린 지갑은 약 1개월 전에 새로 생성됐다. 공격을 위해서 국내 중소규모 사이트를 해킹해 명령제어(C&C) 서버를 구축한 것으로 추정하고 있으며, 자산 탈취 이후에는 즉시 이더리움으로 환전해 자금 출처를 세탁하는 등 수준 높은 공격 기술을 구사했다는 설명이다.

다만 공격 시점이 대응이 어려운 야간이 아닌 정오께 이뤄졌다는 점은 의문을 남긴다. 이에 대해 오지스는 단순한 실수거나 더 큰 공격을 위한 실험일 수 있다는 의견을 냈다. 때문에 단순 민간 기업 해킹사고가 아닌 더 큰 규모의 공격을 예상하고 대응해야 한다고 말했다.

또 BGP 하이재킹 공격을 예방하기 위한 국내 주요 인터넷 서비스 기업의 대비가 필요하다고 덧붙였다. 오지스에 따르면 구글이나 페이스북 등 글로벌 기업의 경우 라우팅 테이블 변조를 예방하기 위해 라우팅 인증(RPKI) 기능을 도입했다.

RPKI는 IP 주소와 망식별번호를 암호화하고, 권한을 가진 상대방만 내용을 확인할 수 있는 기술이다. 공격자가 SDK 변조 등을 통해 사용자 네트워크를 악성 서버로 유도하더라도, 이를 비정상적인 경로로 인지하고 데이터 전송을 차단할 수 있다. 때문에 사용자가 악성 서버에 접속하는 것을 막고 피해를 예방할 수 있다는 설명이다.