침해사고/위협동향

[딜라이트닷넷] 클레이스왑 해킹, ISP의 보안 구멍 드러내는 계기 되나?

이종현
[IT전문 미디어블로그=딜라이트닷넷]

클레이튼 기반 탈중앙화 금융(De-fi, 디파이) 서비스 ‘클레이스왑’이 해킹으로 22억원 상당의 가상자산을 탈취당했다. 클레이스왑은 카카오의 퍼블릭 블록체인 플랫폼 ‘클레이튼’을 기반으로 하는 디파이 서비스 중 가장 많은 사용자 수를 확보한 국내 최대 규모 서비스다.

유출로 인한 피해액은 약 22억원 상당이다. 지난 3일 오후 12시경 클레이스왑에서 1시간 30분가량 비정상적인 출금이 이뤄진 건이다. 클레이스왑 개발사 오지스는 원인 파악 및 피해자 구제 조치에 나섰다.

보안기업 티오리와 오지스가 함께 조사한 결과 이번 사건에는 ‘BGP 하이재킹’이라는 방법이 쓰인 것으로 확인됐다. 사용자가 클레이스왑에 접근하면 인터넷서비스사업자(ISP)의 브로드 게이트웨이 프로토콜(BGP, Border Gateway Protocol)를 거쳐 정상 서버로 향하게 되는데, 라우터를 해킹해 정상 경로가 아닌 해커의 서버로 접속되도록 패킷을 ‘납치’한 것이다.
BGP 하이재킹 동작 개념 /KISA
BGP 하이재킹 동작 개념 /KISA

BGP는 인터넷을 구성하는 대규모 네트워크에서 데이터 패킷을 전달하는 방법을 관리하는 ISP의 표준 프로토콜이다. ISP는 흔히 ‘인터넷 회사’라고 불리는 인터넷 서비스 제공 사업자다. KT, SK텔레콤, SK브로드밴드, LG유플러스 등이 대표적이며 일부 케이블TV도 ISP 사업을 한다.

오지스는 마케팅을 목적으로 카카오의 오픈소스 소프트웨어 개발 키트(SDK)를 활용했다. SDK란 소프트웨어(SW) 개발을 위해 필요한 구성품을 담은 것을 뜻한다.

오지스에 따르면 해커는 패킷을 카카오 서버를 사칭한 자신의 서버로 납치했다. 또 서버에 접근한 사용자에게 악성코드를 다운로드받도록 했는데, 해당 악성코드는 감염된 이들의 암호화폐 지갑에서 해커의 지갑으로 암호화폐를 보내는 기능이 포함됐다.

피해 이후 오지스는 원인으로 지목된 카카오 SDK 파일을 제거하고 전반적인 소스코드 점검에 나섰다. 또 암호화폐 유출을 겪은 이들에게 전액 보상을 실시하고, BGP 하이재킹에 대응할 수 있는 라우팅인증(RPKI)이 적용된 SDK만 이용하겠다고 밝힌 상태다.

RPKI는 주소의 라우팅 정보 무결성을 보장하는 기술로, IP주소나 자율시스템(AS, Autonomous System)번호를 공개키기반구조(PKI) 기반에 암호화된 인증서를 발행, 해당 주소의 라우팅 정보 무결성을 보장하는 것을 골자로 한다. 패킷이 향하는 경로정보의 신뢰성을 확보하는 역할을 맡는다.

오지스 관계자는 “카카오는 BGP 하이재킹이 서버가 직접정으로 해킹된 것이 아닌, 외부 네트워크 공격에 의한 것이라는 입장이나 구글, 페이스북 등 글로벌 사업자와 달리 대부분의 국내 기업들이 RPKI를 사용하지 않고 있어 BGP 하이재킹에 취약하다”며 “클레이스왑을 공격한 방법으로 얼마든지 유사한 피해를 양산할 수 있다”고 경고했다.

티오리와 오지스가 분석한 내용이 사실이라면 문제는 심각해진다. 라우터의 경로를 임의로 설정하는 것은 여러 방법으로 악용할 수 있기 때문이다.

우리 국민은 해당 공격과 유사한 사례를 최근 경험한 적 있다. 작년 10월 발생한 KT 통신 장애 사태다. 당시 사태의 원인은 KT의 라우팅 오류(경로 설정 오류)였다.

패킷을 납치해 분산 서비스거부(디도스, DDoS) 공격을 수행할 수도, 서비스를 먹통을 만들 수도 있다. 클레이스왑 건처럼 악성코드를 내려받게 하는 것이 가능하다면 개인정보나 자산 유·노출 및 기기 제어건 탈취까지도 가능하다. 온갖 악성행위에 고스란히 노출돼 있다는 것을 시사한다.

대응하는 것도 쉽지 않다. 오지스가 언급한 RPKI의 경우 쌍으로 구성됐을 때 효력을 발휘한다. 가령 카카오의 SDK에 RPKI가 적용돼 있다 할지라도 ISP의 라우터가 RPKI를 활성화하지 않는다면 인증이 불가능하다.

ISP에 대한 근본적인 점검도 필요하다. 라우터가 해킹돼 경로가 변작되는 것이 문제의 시발점이다. 그야말로 총체적 난국이다.

다만 실제 BGP 하이재킹이 이뤄졌는가에 대한 의문의 목소리가 있다. 오지스가 지난 4일 한국인터넷진흥원(KISA)에 피해 사실을 신고한 만큼 원인 파악 및 후속 대응에 대한 논의가 본격화될 것으로 전망된다.

[이종현 기자 블로그=데이터 가드]
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널