John Biggs
2019년 8월9일 17:00
- 지난 수요일 실제 바이낸스 고객 세부 정보가 폭로되기 전에, '브나토브 플라톤(Bnarov Platon)'이라는 이름의 해커와 코인데스크 기자가 약 한 달 동안 대화를 나눴다.
- 그는 세계 최대 규모의 거래소인 바이낸스에서 7000개의 비트코인(BTC)을 훔친 해커가 어떻게 해킹했는지 설명했다.
- 플라톤은 해커의 신원을 밝혀 정의를 지키기 위한 순수한 의도에서 한 것이라고 말했다. 하지만 그는 바이낸스 고객 정보를 유출하지 않는 대가로 바이낸스에 돈을 요구한 것으로 보인다.
- 플라톤과 바이낸스는 많은 대화를 나눴다. 그 결과 취소되긴 했지만 초반 협상은 이뤄졌던 것으로 보인다. 코인데스크는 전체 협상 과정을 입수했다.
이번 사건은 해커가 해커를 해킹하는 방식의 정교한 해킹 게임으로 보인다. 바이낸스 고객 정보 유출을 하지 않는 조건으로 바이낸스에 수백만 달러를 요구한 과정과 관련해, 브나토브 플라톤이라는 이름의 해커가 코인데스크에 정보를 제공했다.
플라톤이 7일 웹사이트와 텔레그램에 실제 바이낸스 고객 유출 사진을 올리면서 한달 넘게 진행된 교류로 수집된 해커에 대한 정보가 대중들에게 알려졌다. 그리고 전 세계 주요 뉴스와 트위터 인플루언서를 통해 바이낸스의 고객 정보가 안전하지 않다는 소식이 삽시간에 퍼져나갔다.
이번 사건의 전체 이야기는 지금까지 알려진 것보다 훨씬 복잡했다.
이야기의 시작은 지난 5월 해킹 그룹이 바이낸스 사용자 계정에 침입해 7000비트코인(BTC)를 훔친 사건으로 거슬러 올라간다. 당시 바이낸스는, 항상 그래왔듯이, 사건을 공개하며 "해커가 수많은 사용자의 API 키, 2FA 코드 및 다양한 정보를 해킹한 '대규모 보안 사고'였다"고 설명했다.
그러나 사용자 식별이 가능한 정보가 유출됐을 가능성은 언급하지 않았다.
플라톤은 그 사건으로 바이낸스 고객 정보가 유출됐으며, 이는 바이낸스 내부자 소행이라고 주장했다. 지난 2018년 2월 KYC(Know-your-customer)를 담당하기로 바이낸스와 계약한 업체를 통해서 고객 데이터가 유출됐다는 주장이다.
코인데스크 확인 결과, 유출된 수백 개의 개인 정보 중 적어도 두개는 실제 바이낸스 고객이었다. 그 중 하나는 조작된 것으로 보이지만, 사진 주인공이 개인 정보 유출 사고 발생을 전후해 바이낸스 계정을 만든 것이 확인됐다.
플라톤은 코인데스크에 자신은 '화이트 해커'(White hat hacker)라고 주장했다. 사이버 공격을 시도하는 블랙 해커(Black hacker, Cracker)를 막는 해커라는 뜻이다. 그는 바이낸스에게 개인정보 유출에 대한 취약점을 발견한 대가로 버그바운티(Bug bounty)를 제안했다고 말했다. 버그바운티는 해킹 취약점을 발견한 화이트 해커에게 포상금을 지급하는 제도다. 플라톤은 자신이 보유한 개인정보의 대가로 300 BTC을 요구했지만 협상은 결렬됐다.
바이낸스는 성명서를 통해 "두려움·불확실성·의심"이라는 표현을 썼다.
"신원 미상의 개인이 바이낸스 KYC 정보와 유사한 1만여장의 사진을 유출하지 않는 대가로 우리에게 협박과 위협을 하며 300 BTC를 요구했다. 우리는 이 사건의 합법성과 관련성에 대해 조사 중이다." - 바이낸스
우리는 좀 더 정보를 얻기 위해 바이낸스에 연락했다.
플라톤은 바이낸스의 KYC 정보 6만여건을 보유하고 있다고 주장했다.
돈의 이동
코인데스크가 플라톤을 처음 접촉한 것은 지난 7월로, 두달 전인 5월 바이낸스에서 유출된 비트코인이 어떻게 움직이는지에 대해 보도하기 시작한 시점이었다.
바이낸스는 당시 해킹에 대해 악의적인 행위자들이 고객 API와 2FA 코드를 획득했으며, 잠재적으로 다른 정보도 갖고있을 수 있다고 발표했다.
플라톤의 입장은 달랐다. 바이낸스 내부자가 해커들이 고객 계정에 직접 접근할 수 있도록 하는 API 키를 유출했다고 주장했다. 플라톤에 따르면 해커는 원격으로 고객 계정에 접근할 수 있는 코드인 고객 API 키 목록을 훔쳤다. 해커들은 훔친 고객 API 키를 통해 원격으로 바이낸스의 보유 암호화폐에 접근할 수 있었다.
"해커가 훔친 정보에는 고객의 이메일 주소와 계정 비밀번호를 포함해 민감한 정보가 포함돼 있다. 2018년과 2019년 사이에 바이낸스 계정을 개설한 고객이 대상이다." - 플라톤
해커들은 훔친 개인 정보를 이용해 한번에 0.002 BTC(약 23달러)를 인출할 수 있는 악성 스크립트를 작성했다. 해커들은 이 코드를 이용해 블록메이슨 크레딧 프로토콜이라는 알려지지 않은 토큰으로 바꾼 후 다시 비트코인으로 전환했다. 이 코드는 일반에게 공개되지 않은 다양한 API 호출 기능을 수행할 수 있는 것으로 보인다. 서버 시간 확인을 요청하는 API 호출 기능을 테스트한 결과, 아직도 동작하고 있다.
플라톤은 바이낸스에서 도난 당한 비트코인이 최근 문을 연 PIT 거래소를 만든 암호화폐 지갑 제작사가 제공하는 지갑에 보관돼 있다고 주장했다.
플라톤에 따르면 이 지갑을 추적한 결과, 해커가 비트멕스(Bitmex), 요빗(Yobit), 쿠코인(KuCoin), 후오비(Huobi) 등을 통해 하루에 백만 달러 규모로 지금까지 약 2000여개의 BTC를 '세탁'했다.
작동 방식
플라톤은 개인정보가 유출된 계정 6만여개 중 코인데스크와 636개의 정보를 공유했다. 그는 언론이 관심을 가져야 바이낸스가 해킹의 진실을 공개하고, 해커들이 법의 심판을 받을 수 있다고 여겼다.
한편, 바이낸스는 도난 당한 비트코인은 회사 보유분이며, 고객에게는 영향을 미치지 않았다고 발표했다. 당시 바이낸스는 고객 보호를 이유로 암호화폐 입출금을 중단했다. 하지만 유출된 고객 정보의 범위는 공개되지 않았다.
플라톤은 여권 이미지, 운전 면허증, 신분증을 들고 있는 전면 사진 등 외에도 개인정보와 관련된 메타데이터 사례를 공개했다.
예컨대, 이 코드는 사용자가 2018년 3월 20일 KYC 인증을 받았다는 것을 나타낸다.
이 KYC 정보에 감사인(auditor) 부분을 보면, 이름과 국가명 뒤에 중국어로 '美国'이라고 기입된 게 나온다. 정황상 해당 KYC는 중국에서 이뤄진 것으로 볼 수 있다.
또한, 플라톤은 내부자가 바이낸스 서버에 설치된 백도어에 해커가 접근하는 코드를 코인데스크에 공개했다.
"이 코드는 API 키 공격을 위한 것으로 보인다. 그들이 어딘가로부터 API 키를 수집한 것으로 여겨진다." - 빅터 시파크(Viktor Shpak), 블록체인 개발업체 비저블매직(VisibleMagic) CTO
API 키는 응용 프로그램 내에서 암호화폐 거래나 서비스 인증에 사용된다. API 키를 통해 해커는 고객 계정에 접속해 암호화폐 거래나 외부지갑으로 자유롭게 이체할 수 있다.
빅터 시파크는 코인데스크에 이 코드가 API 키를 통해 독립적으로 접근해 기능을 수행하는지 알 수는 없지만, 바이낸스 내에서 백도어 역할을 한다고 말했다.
"내부자가 고객 API 키에 접근하기 위한 핸들러(컨트롤 할 수 있는 장치 혹은 코드)를 만들었을 것이다. 이를 통해 API 키를 수집하고, 고객 정보에 접근하는 해킹 도구를 구축했을 가능성이 높다." - 빅터 시파크 CTO
바이낸스 대변인은 이 자료에 대해 "내부 담당자에 따르면 바이낸스의 KYC 사진이라는 어떤 증거도 현재 없다"고 말했다.
플라톤의 동기
플라톤은 코인데스크에 자료를 공유하면서, 해커들이 법의 심판을 받게 한다는 목적으로 바이낸스의 CGO(Chief growth officer, 최고 성장 책임자)인 테드 린(Ted Lin)에게 연락했다.
"개인적으로 바이낸스가 해커를 잡는 세계 최초의 거래소가 되길 원한다. 이는 바이낸스의 평판에 긍정적인 효과를 줄 것이다. 나는 린에게 내부자 세부사항, 외부인과 내통하는 내용, 심지어 내부자 사진 등 내부자 정보를 입수했다고 알렸다. 또한 서버 정보, 신원 정보, 전화번호를 비롯해 해커에 대한 자세한 정보를 갖고 있다고 린에게 전했다." - 플라톤
플라톤이 코인데스크에 공유한 자료에 따르면, 린은 플라톤의 해커 및 내부자 정보 등에 대한 비용을 지불하기로 약속했다.
하지만 린은 플라톤이 무기로 삼은 '두려움·불확실성·의심'에 반박하고 나섰다.
"우리는 터무니 없는 요구에 대응하지 않는다." - 테드 린 바이낸스 CGO
플라톤은 금전적인 이득에는 관심이 없다고 말했다.
"돈이 필요할 때는 해커의 거래소 계좌를 해킹하면 된다. 나는 지금 당장이라도 해커의 지갑을 해킹해 최소 600~700개의 비트코인을 회수할 수 있다. 그러나 나는 더 많은 암호화폐가 세탁되고, 추적을 피하는 것을 막기 위해 푼돈은 건들지 않았다." - 플라톤
대화의 끝
플라톤은 자신의 목적이 목표가 이타적이었다고 주장하지만, 코인데스크는 플라톤이 7월 환율 기준 약 300만 달러 규모인 300 BTC를 50개월 분할로 요구했다는 사실을 플라톤과 바이낸스 양측 모두로부터 확인했다.
7월 22일 플라톤과 바이낸스는 협상을 중단했다.
"바이낸스와 한 달 정도 협상한 결과 단 한푼도 받지 않았다. 바이낸스와 거래는 깨졌다." - 플라톤
플라톤과 바이낸스 간 협상이 파탄난 것은, 플라톤이 입수한 고객 정보를 모두 유출하겠다고 위협하는 '인질 상황'으로 치닫게된 시점이었다.
플라톤은 테드 린 CGO와 나눈 결렬된 협상 내용을 공개했다.
테드 린
당신이 가진 정보를 이미 언론에 유출한 것을 봤다
테드 린
당신이 두려움·불확실성·의심의 태도를 취하면서 우리가 입은 피해에 견주면, 당신이 갖고있는 정보를 토대로 요구하는 보상은 별 것도 아니다. 이미 밝혔듯이 우리는 터무니 없는 요구에 대응하지 않는다. 다만 나쁜 놈들을 재판에 넘기고 자금을 회복할 수 있는 유용한 정보를 당신이 갖고 있다면, 우리는 범인 관련 정보를 좀 더 받아볼 용의는 있다.
플라톤
이미 말했듯이, 나는 당신들의 돈이 필요한 게 아니다.
플라톤
난 이미 거래를 할 생각이 없다.
플라톤
당신이 어떤 반응을 내놓을지를 기대하는 것도 아니다.
플라톤
다만 보도가 나왓을 때 내부자와 해커들의 반응은 무척 보고 싶다. 다시 한 번 말하지만, 당신이 뭐라고 하건 관심이 없다.
테드 린
당신은 해커들이 붙잡히기를 바라는 것으로 생각했는데?
플라톤
그랬다. 지금은 아니다.
플라톤
차라리 한발 물러서서 계속 지켜보겠다.
테드 린
우리는여전히 해커, 내부자, 자금 회복을 위한 정보에 대해 지불할 용의가 있다.
테드 린
만약 이를 가능하게 해줄 정보가 더 있다면 알려주기 바란다.
테드 린
당신이 (우리와) 협상하지 않기로 결정하기 전까지, 우리는 당신이 가진 정보의 종류를 확인중이었다.
테드 린
생각이 바뀌어서 계속 하고 싶다면 알려주기 바란다.
테드 린
도와줘서 고맙다.
플라톤
그렇다면 돈을 내라.
"바이낸스와 협상하겠다는 내 결정은 실수였다. 그들은 올바른 사람들이 아니기 때문에, 나는 모든 자료를 고객들에게 공개하겠다." - 플라톤
실제로 7월 22일 플라톤은 바이낸스 대변인과의 대화에서 "현재 나의 관심사는 해커들과 당신 회사 내부자의 반응이다. 이 소식이 알려졌을때 그들의 반응이 궁금할 뿐"이라고 말했다.
지난 5일 플라톤은 166명의 KYC 정보가 담긴 사진 500여장을 '기디언엠(Guardian M)'이라는 이름으로 파일 공유 사이트에 올렸다. 바이낸스를 향한 플라톤의 협박이 실현된 셈이다.
그는 이어 수요일(7일) 오전 한 텔레그램 대화방에서 신분증을 들고 있는 수백 여명의 개인 사진을 공개했다.
플라톤은 "그들은 자기가 옳은 일을 하고 있다고 생각한다"며 바이낸스를 비난했다.
"사람들이 '왜 자꾸 KYC 사진을 공개하는지'와 '그것들을 어떻게 구했는지' 묻는다. 내가 KYC를 공개하는 이유는 간단하다. '바이낸스를 이용하는 사람들에게 경고하기 위해서'이다. 내가 만약 돈이 필요했다면, 입수한 개인 정보를 장물시장에 팔았을 것이다." - 플라톤
번역: 박근모/코인데스크코리아
This story originally appeared on CoinDesk, the global leader in blockchain news and publisher of the Bitcoin Price Index. view BPI.
제보, 보도자료는 contact@coindeskkorea.com으로 보내주세요.