NFT '뚝딱' 만들지만..잇딴 해킹에 보안 구멍 '숭숭'

자본 조달·추가 사업으로 NFT 발행 기업↑
유명인·브랜드 내세우지만 보안은 허술
NFT가 가상자산인지도 규정 안 내려져
해킹 사고에도 업체 보상 외에는 구제책 無

[서울경제]

지난 14일 NFT(대체불가토큰) 프로젝트 ‘메타콩즈’의 커뮤니티 플랫폼 ‘디스코드’가 해킹을 당했다. 지난 4월에도 메타콩즈 디스코드 계정이 해킹돼 11.9이더리움(약 4500만원)의 피해액이 발생했다. 프로젝트를 주도하고 있는 모 대표는 각종 방송에서 NFT 사업을 홍보하며 국내 유명 카드·자동차과 협업하는 사업으로 키워왔다. 하지만 잇딴 해킹으로 보안에는 소홀했다는 비판을 피할 수 없게 됐다.

20일 업계에 따르면 지난해부터 NFT를 발행하는 기업·개인이 늘어났지만 보안 체계 미비로 해킹 사고가 빈번한 것으로 나타났다. NFT는 디지털로 된 상품의 소유권을 증명하는 블록체인 기술이다. 토큰마다 고유한 인식 값이 부여돼 ‘대체불가토큰’이라는 이름이 붙었다. 이전에는 직접 프로그래밍을 거쳐 NFT를 발행해야 해 과정이 상대적으로 복잡했다. 현재는 세계 최대 NFT 거래 플랫폼 '오픈씨'나 카카오 블록체인 계열사 그라운드 X의 ‘크래프터 스페이스’를 비롯해 NFT 발행을 돕는 플랫폼이 늘어나는 등 진입 장벽이 낮아졌다. 특히 스타트업들이 초기 자본 조달 또는 추가 사업 수단으로 NFT 프로젝트를 진행하는 경우가 부쩍 늘었다.

NFT 제작 플랫폼 ‘크래프터 스페이스’. 사진=홈페이지 캡쳐

문제는 업체들이 NFT 해킹에 대한 보안 체계는 제대로 구축하지 않은 채 판매에만 급급하다는 것이다. 현대자동차그룹 광고 계열사인 이노션 월드와이드는 지난 5월 별똥별 NFT 1만 개 판매에 나섰다. 판매 과정에서 해커가 현대차 NFT 디스코드를 해킹해, 구매자 지갑의 NFT를 해커 지갑으로 옮기도록 유도하는 피싱 사이트를 올렸다. 허위 링크를 클릭한 사람들은 최대 수백만 원의 피해를 입은 것으로 추정된다. 도미너스게임즈도 지난달 무협 만화 '열혈강호' 지적재산(IP)을 원작으로 한 흑풍회 NFT를 발매하고 전량 판매 기록까지 세웠지만 해커가 구매자들의 NFT를 탈취하는 일이 벌어졌다.

'열혈강호 흑풍회 NFT' 프로젝트. 1초만에 5000개 전량 판매 기록을 세웠지만 해킹 사고 피해가 발생했다. 사진제공=도미너스게임즈

NFT 해킹에 따른 피해는 온전히 소비자 몫이다. 금융위원회는 지난해 11월 “NFT는 일반적으로 가상자산으로 규정하기 쉽지 않은 측면이 있다”며 유보적 입장을 취한 상태다. 이렇다 보니 사고 발생 시 투자자들은 보상 받을 법적 근거가 없다. NFT 판매 업체에서 보상해주길 바라는 게 현재로선 유일한 대안이다.

메타콩즈 프로젝트는 고릴라 이미지 형태의 프로필 사진(PFP) NFT를 발행한다. 사진=메타콩즈 홈페이지 캡쳐.

과학기술정보통신부와 한국인터넷진흥원(KISA)은 지난해 말 올해 주목해야 할 사이버 위협으로 NFT 등 신기술 대상 신종위협을 꼽기도 했다. 한국인터넷진흥원은 지난 3월 NFT·메타버스 등을 개발하는 중소기업 350곳을 대상으로 보안 취약점을 점검하겠다고 말했다. 하지만 강제성이 없고 NFT 한정으로는 점검 기업의 수가 적어지는 한계가 있다. 이기혁 중앙대학교 융합보안학과 교수는 “NFT를 통한 자금 세탁이나 불법 증여가 가장 큰 이슈로 부각됐고 보안은 뒤쪽에 밀려나 있다”며 "중앙은행이 발행하지 않고 개인들이 사고 파는 시스템상 보안 문제는 더 불거질 것"이라고 지적했다.

NFT 활성화 속에서 개인들의 NFT 소유 기간은 짧아지고 있다. NFT 분석 사이트인 논펀지블닷컴에 따르면 지난해 전 세계 NFT 거래액은 176억 달러(약 23조 384억 원)로 전년 보다 215배나 급증했다. 반면 NFT 평균 소유 기간은 지난 2020년 156일에서 지난해 48일로 급감했다. 업계 관계자는 “NFT 재판매로 시세차익을 노리는 소비자들이 많다"며 “유명한 개인·기업이 홍보하면 안전하겠지하며 사람들이 몰리는 게 현실이지만 해킹 등에 유의할 필요가 있다”고 말했다.

강도림 기자 dorimi@sedaily.com