암호화폐 거래소 보안 '빨간불'…크라켄, 300만 달러 자산 도둑 맞았다

취약점 발견한 보안연구원, 크라켄 암호화폐 탈취…"고객 자산에는 문제 없어"

(지디넷코리아=남혁우 기자)암호화폐 거래소의 취약점을 발견한 보안연구원이 이를 악용해 암호화폐를 탈취하는 사건이 발생했다.

20일 해커뉴스 등 외신에 따르면 암호화폐 거래소 크라켄(Kraken)은 익명의 보안 연구원이 거래소 플랫폼의 '치명적인' 제로데이 결함을 악용해 300만 달러 상당의 디지털 자산을 훔쳤다고 밝혔다.

닉 페코코 크라켄 최고 보안 책임자(CSO)은 "지난 9일 한 보안 연구원이 인위적으로 거래 잔액을 부풀릴 수 있는 취약점을 버그바운티 프로그램을 통해 신고했다"고 말했다.

암호화폐 거래소 '크라켄'에서 외보 보안연구원이 취약점을 악용해 암호화폐를 탈취하는 사건이 발생했다(이미지=크라켄)

버그바운티 프로그램은 제품이나 시스템에서 보안 취약점을 찾아낸 사람에게 포상금을 지급하는 제도다.

닉 페코코 CSO는 "보고서를 받은 후 취약점을 바로 해결했다"며 "현재는 이로 인한 문제가 발생하지 않는다"고 밝혔다.

문제는 취약점을 신고한 보안 연구원이 이미 이를 악용해 크라켄 계좌에서 약 300만 달러 상당의 암호화폐를 탈취한 것으로 확인됐다는 점이다.

닉 페코코 CSO는 "해당 연구원이 탈취한 자산은 크라켄의 내부 금고에 있던 것"이라며 "고객 자산에는 영향을 미치지 않는다"고 밝혔다.

이어 "이 보안연구원은 비즈니스 개발팀과 통화를 요구하며 이 취약점을 공개하지 않았을 때 발생할 수 있는 피해 금액을 산정해 보상금액을 제공할 것을 강요했다"며 "만약 비용을 지불하지 않는다면 암호화폐를 반환하지 않을 것이라고 협박했다"고 말했다.

현재 크라켄은 이번 사건을 법 집행 기관에 형사 사건으로 신고하고 해결을 위해 논의 중인 상황이다.

닉 페코코 CSO는 "이것은 화이트해킹이 아닌 갈취"라며 "보안 규칙을 무시하고 회사의 자산을 갈취하면 보안연구원으로서의 해킹 라이센스가 취소되고 범죄자로 신고할 수밖에 없다"고 강조하며 관련 당사자들에게 훔친 자금을 돌려줄 것을 촉구했다.

남혁우 기자(firstblood@zdnet.co.kr)