지난달 이더리움 송금 수수료로 수십억원이 지불된 초유의 사건이 발생한 가운데, 이 사건이 업비트와 플러스토큰 등 국내외 대규모 해킹사건과 관련됐을 가능성이 제기되고 있다.
한 달 전인 6월10~12일 3차례에 걸쳐 이더리움 송금 수수료로 수십억원이 빠져나갔다. 일반적으로 이더리움 송금 수수료가 건당 60원 안팎인데 견주면, 어마어마한 실수거나 해킹이 아니면 불가능해보이는 이상거래였다. 코인데스크코리아는 그 배경에 대해 블록체인 보안업체 웁살라시큐리티와 분석 작업을 진행했다.
우선, 3차례의 이상거래는 다음과 같다. 3차례 송금 과정에서 수수료만 2만3646이더(약 66억5000만원) 규모였다.
- 1차 - 6월10일 오후 6시47분경 굿사이클(국내 암호화폐 P2P 서비스)의 핫월릿에서 0.55이더가 외부 지갑으로 이체됐고, 수수료로 1만668이더(약 30억원)가 빠져나감.
- 2차 - 6월11일 낮 12시30분경 굿사이클에서 350이더(약 9840만원)가 이체되면서, 수수료로 1만668이더가 빠져나감.
- 3차 - 6월12일 오전 8시12분경 마이닝풀허브(국내 이더리움 채굴풀)에서 3221이더가 송금되면서, 2310이더(약 6억5000만원)가 빠져나감.
이더리움 블록체인에서 거래 완료는 블록이 생성되는 시점으로 확정된다. 이 과정에서 높은 수수료를 지불할수록 블록 생성 속도는 빨라진다. 거래 과정에서 지불되는 수수료는 블록을 생성하는 채굴자에게 보상으로 지급된다. 이번 사건에서 발생한 수십억원에 달하는 수수료는 스파크풀과 이더마인, 에프투풀(F2Pool)에 블록 생성 보상으로 들어갔다.
굿사이클, 피해 사실 뒤늦게 알았다
각 지갑은 어떤 지갑들이었을까. 먼저, 굿사이클의 핫월릿을 살펴보자. 10~11일 양일간 수수료로 2만1336이더가 빠져나간 곳이다.
굿사이클은 뒤늦게 이상거래를 알아챘을 가능성이 커보인다. 핫월릿인 '0xcdd6'에는 총 5만5023이더(약 154억원)가 보관된 상태였는데, 10일 오전 6시부터 출금거래가 본격적으로 이뤄졌다. 그러나 전체 잔고의 약 40%에 달하는 60억원이 수수료가 빠져나가는 치명적인 사고가 벌어졌지만, 굿사이클에서의 출금은 이틀 동안 아무 문제 없이 이뤄졌다. 13일이 되자 비로소 출금이 중단됐다. 굿사이클은 그제야 자신들의 지갑에서 비정상적 움직임이 발견됐음을 확인한 것으로 판단된다.
1,2차 이상거래가 발생한 굿사이클은 12일 밤 9시30분경 공식 텔레그램 공지를 통해 "해커의 공격이 수차례 있었지만, 비트코인과 이더리움은 안전하다"며 "시스템 안정화를 위한 점검 후 재오픈 예정"이라고 밝혔다. 수수료 폭탄 사건이 발생한 지 이틀이 지난 뒤에야 해킹 관련 사실을 공개하면서도 피해는 전혀 없었다고 밝힌 셈이다. 그리고 3차 이상거래가 또다시 발생했다.
코인데스크코리아 취재 결과, 굿사이클이 해킹 피해를 의도적으로 숨기고 있을 가능성도 있어보인다. 내부 상황을 잘 아는 복수의 관계자에 따르면, 굿사이클은 자체적인 전산 관리 역량을 갖추지 못했다고 한다. 외부 용역으로 시스템을 구축하고 문제가 생기면 유지·보수를 받는 구조여서 즉각적인 대응이 힘들다는 것이다. 이 관계자는 "자신들이 직접 개발하거나 관리하지 않은 탓에 보유 자산의 절반가량이 수수료로 사라졌음에도 곧바로 조처를 취하지 못했을 것"이라고 말했다. 또 수십억원이 유실된 상황이 전면적으로 공개된다면 투자자들이 '뱅크런'에 나설 가능성도 있다고 지적했다.
이와 관련해 코인데스크코리아는 굿사이클의 설립자로 알려진 김아무개 회장에게 여러 차례 접촉을 시도했지만, 기사가 나가는 시점까지 아무런 답변을 듣지 못했다.
반면, 3차 이상거래가 발생한 마이닝풀허브를 운영하는 차일들리의 김은태 대표는 해킹 피해 사실을 시인했다. 김 대표는 코인데스크코리아와 인터뷰에서, "6월12일 새벽 마이닝풀허브 시스템 점검 과정에서 인적 실수가 발생해 핫월릿과 외부를 연결하는 포트(port)의 접근 권한이 해제됐다. 그로부터 불과 2시간 사이에 취약점을 노린 해커의 공격으로 일부 이더리움이 외부로 송금되는 사건이 발생했다. 사건 발생 직후 취약점을 모두 해결한 상태"라고 말했다. 이는 '포트스캐닝(port scanning)'이라고 부르는 해킹 기법의 하나로, 봇(bot)을 통해 온라인상에 취약점이 노출된 포트를 자동으로 찾아 공격하는 방식이다. 김 대표는 "마이닝풀허브에서 빠져나간 수수료는 F2pool과 협상을 통해 상당 부분 돌려받기로 협의가 이뤄진 상황"이라고 덧붙였다.
업비트·플러스토큰 해킹 흔적
굿사이클과 마이닝풀허브에 가해진 공격은 과거 대규모 해킹 사건과도 관련이 있어 보인다.
굿사이클의 핫월릿은 굿사이클이 직접 만들어서 쓴 게 아닌 것으로 보인다. 굿사이클은 2020년 5월25일부터 서비스를 시작했다고 밝히고 있지만, 굿사이클에서 발급받은 유저 월릿은 서비스 이전부터 사용 흔적이 있었다. 예컨대 굿사이클 월릿 '0x1009'은 5월21일 식별되지 않은 지갑으로부터 소액의 이더리움을 전송받은 기록이 있다. 이 지갑은 심지어 해킹에도 연관돼 있었다. 지난해 11월 발생한 업비트 해킹 사건에서 탈취된 이더리움 관련 거래가 기록돼, 웁살라시큐리티의 암호화폐 추적 솔루션 센티넬프로토콜에 블랙리스트로 등록돼 있었다. 이처럼 업비트 해킹 사건에 사용된 지갑과 굿사이클의 핫월릿이 이러저러한 방식으로 잇닿아 있는 경우는 100여개에 달했다.
이들 지갑은 지난해 3월 발생한 싱가포르 소재 암호화폐 거래소 드래곤EX 해킹과 3조원 규모의 다단계 폰지 스캠 '플러스토큰(Plus token)' 사건과도 연결돼 있었다.
굿사이클 서비스 시작 전부터 굿사이클의 유저 월릿으로 이더리움을 보낸 '0x45b7' 지갑을 살펴보니, 이더스캔 상에 드래곤EX 해킹으로 꼬리표가 붙은 이더리움을 지난해 12월부터 외국 거래소인 바이낸스와 비트렉스 유저 월릿으로 보내고 있었다. 거래소 유저 월릿에 들어온 암호화폐는 대개 거래소 핫월릿에 옮겨지고, 그 이상은 추적이 불가능해진다. 따라서 해킹된 자금이 거래소 핫월릿으로 들어갔다면 자금세탁이 이뤄졌을 가능성이 높다.
굿사이클 핫월릿에서 수수료와 함께 이체된 지갑, 곧 각각 0.55이더, 350이더가 입금된 지갑도 살펴보자. 30억원에 달하는 수수료가 붙어서 빠져나간 목적지는 업비트의 유저 월릿 '0xe87f'였다. 이 지갑에는 플러스토큰 사건 관련 지갑인 '0x587e'로부터 여러 차례 플러스토큰 연관 이더리움이 입금된 적이 있었다.
끝으로 3차 사건 때는 마이닝풀허브의 채굴용 핫월릿에서 식별이 불가능한 월릿 '0xe386'로 수수료 2310이더와 함께 3221이더가 송금됐다. 이더스캔에서 보면, 여기에도 수차례 해킹에 이용된 해커의 지갑 주소라는 꼬리표가 달려 있다. 거래 내역을 살펴보니 2018년부터 플러스토큰 사기와 업비트 해킹 이더리움의 자금 세탁에 이용된 정황이 나타났다.
웁살라시큐리티의 패트릭 김(김형우) 대표는 "수수표 폭탄 사건과 업비트 해킹, 드래곤EX 해킹, 그리고 플러스토큰 사기 등의 배후에 동일한 해커 혹은 해커 그룹이 존재할 가능성이 높다"고 분석했다. 같은 지갑이 반복해서 등장하고 있으므로, 블록체인상에서 암호화폐를 송금하기 위해 필요한 개인키 등 해당 지갑의 관리 권한을 통합 관리하는 개인 또는 집단이 있다는 것이다. 김 대표는 "코인데스크코리아 취재대로 굿사이클의 전산 시스템이 외부 개발팀에 의해 구축됐다면, 이번 '수수료 폭탄' 사건은 과거 해킹 사건과 직·간접적으로 연루된 이들이 개발한 시스템 탓에 발생한 것으로 볼 수 있다"며 "이들이 이용한 지갑이 국내·외 거래소를 통해 자금세탁이 이뤄지고 있는 점도 확인되는 만큼 가장자산사업자(VSAP)의 협조를 통해 대응에 나설 필요가 있다"고 강조했다.
제보, 보도자료는 contact@coindeskkorea.com