2년 전 찾은 비트코인 취약점, 다른 암호화폐서 재발견

"'INV도스', 자금 손실 초래 위험"..악용 사례는 발견 안돼

(지디넷코리아=김윤희 기자)2년 전 비밀리에 보고됐던 비트코인 네트워크 상의 취약점이 조명을 받고 있다. 당시 해커 악용을 막기 위해 비공개적으로 보안 패치가 이뤄졌는데, 최근 같은 취약점이 또다시 다른 암호화폐에서 발견됐기 때문이다.

비트코인 프로토콜 엔지니어인 브레이든 풀러는 지난 2018년 이 취약점을 발견했다. 취약점 명칭은 'INV도스(INVDoS)'다.

그에 따르면 공격자는 비트코인 블록체인 노드를 통해 기형적인 비트코인 거래를 생성할 수 있었다. 결과적으로 이 거래는 서버 메모리 리소스 소모를 제어할 수 없게 해 시스템 파괴를 일으킬 수 있다.

풀러는 지난 9일 발표한 INV도스 관련 보고서에서 이 취약점을 발견했을 당시 비트코인 생태계의 50%가 영향을 받는 것을 확인했고, 자금 손실 등을 초래할 위험이 있는 취약점이라고 설명했다.

출처=미국지디넷

2년 전 그는 발견한 취약점을 모든 관계자에게 보고했다. 이후 공통보안취약점공개항목(CVE) 번호로 'CVE-2018-17145'가 부여됐고, 세부 내용에 대한 명시 없이 보안 패치가 적용됐다. 악용을 방지하기 위함이었다.

그러나 또다른 비트코인 프로토콜 엔지니어인 자베드 칸이 올 여름 같은 취약점을 디크레드 네트워크에서 발견, 버그 바운티 프로그램에 보고했다. 이후 풀러와 칸은 이 취약점의 세부 내용을 지난달 공동으로 공개, 각 암호화폐 개발자들이 INV도스 존재 여부를 점검할 수 있게 했다.

풀러와 칸은 현재까지 이 취약점을 악용한 공격이 발견되지 않았다고 밝혔다.

김윤희 기자(kyh@zdnet.co.kr)