탈취공격 당한 위믹스재단 "추가 공격 우려에 공지 지연, 은폐 시도 없었다"

김영욱 2025. 3. 17. 14:05
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
플레이 브릿지 해킹 공격...87.5억원 빼돌려
관련 자금 전량 매도 후인 4일 관련 공지 게시
공격 당한 이후 긴급 TF 구성...기술·시장 대응
21일 플레이 브릿지 서비스 정상화 예정

김석환 위믹스 재단 대표가 17일 경기 성남 판교 한컴타워에서 열린 기자회견에서 고개 숙여 사과하고 있다. 김영욱 기자

김석환 위믹스 재단 대표가 17일 경기 성남 판교 한컴타워에서 열린 기자회견에서 고개 숙여 사과하고 있다. 김영욱 기자

해킹 공격으로 위믹스를 탈취당한 뒤 관련 공지를 뒤늦게 올려 닥사로부터 소명 요청을 받은 위믹스 재단은 취약점을 발견하지 못한 상황에서 이런 사실을 공개할 시 추가적인 공격이 우려돼 공지를 며칠 뒤 올리기로 결정했다고 밝혔다.

김석환 위믹스 재단 대표는 17일 판교 한컴 타워에서 열린 기자회견에서 사건 경과와 대응 중인 현안, 미래 계획에 대해서 이야기했다.

위믹스 재단은 지난달 28일 해킹 공격에 의해 87.5억원 규모의 위믹스 865만여개를 탈취당했다. 공격을 즉각적으로 감지한 이후 위메이드와 위믹스 재단은 긴급 TF팀을 꾸렸으며 문제된 플레이 브릿지의 서비스를 중단했다. 현재 대체불가능토큰(NFT) 브릿지의 서비스만 재개된 상황이다.

위믹스 재단은 해킹 공격 이후 피해 복구와 생태계 정상화 대응책을 수립하고 신속하게 후속 조치에 나섰지만, 즉각적으로 공지하면서 위믹스 홀더(투자자)에게 사안을 공유하지 않았고, 사고 발생 며칠 후인 지난 4일 공지를 올렸다.

김석환 대표는 "지난 3일 피해 규모와 탈취 자산 99.99%에 대한 자금 흐름이 파악됐고, 조치 요청도 일단락이 됐다. 근본적인 사고 원인을 조사 진행 중이지만, 추가 피해 가능성을 배제할 수 있겠다고 판단했다"며 "탈취 물량이 대부분 매도된 상황에서 시장 물량이 더 이상 나올 일이 없을 것이라고 생각하고 공지를 냈다"고 말했다.

해킹 사실 은폐에 대해 김 대표는 "해킹 은폐 시도는 추호도 없었다. 해킹 인지 이후 해외 거래소에 연락하고, 보안 전문가에 협조 요청, 경찰에 신고하는 등 외부와 사안을 공유해왔다"면서 지연 공지에 대해 "추가 공격 가능성이 존재한다고 생각했고, 탈취된 위믹스로 인한 시장 영향이 우려됐다. 공격자가 내부 시스템에 침입해 서버를 탈취한 것으로 1차 파악이 됐지만, 침투 케이스가 특정되지 않은 상황에서 취약점을 명확하게 판단할 수 없어 기술적 조치와 검토가 필요했던 상황"이라고 부연했다.

이날 기자회견에 따르면 위믹스 재단은 문제가 발생한 브릿지를 셧다운하고 상세 분석한 결과 공격자가 '서명'을 탈취해 임의로 비정상적인 트랜직션을 만들었고, 총 15건의 시도 중 13건을 성공하면서 재단이 보유하던 865만4860개를 유출했다. 이 위믹스 물량은 해외 거래소로 전송된 이후 전량 매도된 것으로 추정된다.

위믹스 재단은 이번 사고 원인의 유력 시나리오를 내부 개발자의 실수를 거론했다. 2023년 7월 중순 서비스를 빠르게 개발하고 출시하기 위해 개발자가 공용 저장소에 업로드한 사실을 발견됐고, 해당 자료를 통해 문제가 발생했다는 것으로 가닥을 잡았다.

위믹스 재단은 신뢰 회복을 위해 기술적 대응과 시장 대응으로 구분, 진행한다. 공격자가 동일한 경로로 침해를 할 수 없도록 내부 인증 로직을 교체했다. 이를 재개한 NFT 브릿지 서비스에 적용했다.

이와 함께 이번 공격으로 시스템이 오염됐을 수 있다는 잠재적인 위험을 해소하기 위해 모든 인프라를 새로운 환경으로 이전하고 있으며 모든 서비스를 재개하는 21일 이전까지 작업 완료를 목표로 하고 있다. 또한 서비스 모니터링과 제어 범위를 확대, 24시간 모니터링하고 의심 거래 경로에 추가 승인 과정을 거치도록 시스템을 재구축 중이다.

안 최고기술책임자(CTO)는 "NFT 브릿지 재오픈 당시 모든 키를 교체해서 공격자가 무슨 키를 들고 있던지 동일 이슈가 발생할 가능성이 낮다"며 "서버 내에 무엇이 남아있을지 몰라 오염되지 않은 소스코드로 바꿨다. 키, 경로, 인프라 등을 모두 교체해 동일한 침해 사고 발생 확률은 굉장히 적다"고 설명했다.

이 외에도 위믹스 재단은 자산 탈취에 따른 시장 영향 해소와 시장 신뢰 회복을 위해 100억원 규모의 위믹스를 최대 1년 동안 시장에서 매수한다. 탈취 당한 87.5억원보다 많은 수준이며 위믹스 재단은 이에 더해 위믹스 2000개를 사들일 계획이다.

김 대표는 "이번 일을 계기로 서비스 보안, 커뮤니 등 위기 대응 프로토콜 정비하고 개선할 것을 약속하고, 위믹스에 대한 신뢰 회복을 위해 최선을 다하겠다"며 "변화된 모습을 보여주기 위해서 노력하고 있으며 달라진 위믹스 팀으로 시장의 기대에 부응하겠다"고 전했다. 김영욱기자 wook95@dt.co.kr

Copyright © 디지털타임스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
디지털타임스에서 직접 확인하세요. 해당 언론사로 이동합니다.