업비트 해킹사건 공격시나리오 분석 및 대책
기자 : 관리자 날짜 : 2023-01-03 (화) 14:08



아무리 컴퓨터 기술에 관심이 없는 사람이라도 한 번쯤 들어봤을 것을 블록체인은 4차 산업혁명 이 진행되면서 전 세계적으로 큰 파장을 일으켰으 며, 블록체인 기술이 여러 산업 분야에서 활용되 고 있으나 가장 널리 알려진 것은 암호화폐로 알 려져 있다. 2013년경 비트코인이 대중적으로 알 려지면서 유행처럼 수많은 암호화폐가 생기게 되 었다. 특히 기존의 전통적인 ‘화폐’의 개념에서 벗 어나 은행이라는 ‘중개자’의 역할이 없이 개인 사 이 식별주소만 알고 있다면 어디에 있건, 어느 나 라 사람이건 송금할 수 있다는 점에서 굉장한 주 목을 받았다. 그러나 곧 개인의 익명성이 보장되는 사이버 공간의 이점을 고스란히 가지고 있는 암호화폐는 테러 지원, 자금 세탁 등의 목적으로 소위 검은돈 의 역할을 하였으며 이는 고스란히 범죄에 악용 되었다. 랜섬웨어 유포 이후 암호화폐를 요구하 는 해커들이 등장하였으며, 암호화폐 거래소를 대상으로 불법적으로 접근하여 해킹하고, 자산을 유출하는 사건들이 발행하였다. 2011년부터 모 든 비트코인 사기 및 불법행위가 전 세계적으로 발생하였으며 우리나라의 경우는 코인레일, 유빗 (야피존), 빗썸 등 유명한 거래소들이 해킹의 피 해를 받았으며, 최근 3년간 누적된 사고 금액은 약 1700억원에 이른다. 해커의 입장에서 거래소 가 매력적인 목표가 되는 이유는 개개인을 공격 하여 얻는 이득에 비해 거래소를 공격해 한번에 얻는 이익이 더 효율적이기 때문이다. 그래서 거 래소를 타겟으로 한 크고 작은 공격은 매년 발생 하였으며 앞서 이야기한 정황을 바탕으로 암호화 폐 거래소 업비트 해킹 사건에 대해 접근하려 한 다. 현재 명확하게 공격방법에 대한 수사 결과가 공식적으로 발표되진 않았으나, 현재까지 진행된 분석 결과 등을 바탕으로 업비트 해킹사건에 대 한 경과와 배후로 추정되는 북한 해커그룹에 대 해 간략히 알아본 후 예측 가능한 공격시나리오 와 이를 바탕으로 암호화폐 거래소 해킹에 대한 해결방안에 대해서 제시하고자 한다. 1. 업비트(Upbit) 해킹사건 업비트 (Upbit) 해킹 사건은 국내 암호화폐 거래소인 업비트에서 2019년 11월 27일 오 후 1시경 발생한 580억원 규모의 암호화폐 탈 취 사건이다. 업비트가 보유하고 있는 이더리 움(Ethereum) 핫월렛(Hot wallet)에서 이더리 움 34만 2,000개가 알 수 없는 지갑 (0xa09871 AEadF4994Ca12f5c0b6056BBd1d343c029) 으로 전송된 사건으로 당시 대한민국 내에서 꽤나 큰 규모의 거래소가 해킹 당한 것에 있어 서 많은 사람들이 충격을 받은 사건이다. 이렇게 유출된 이더리움은 추적을 회피하기 위해서 순식간에 다양한 곳의 지갑으로 전송되었으며, 2019년 12월 10일 기준 총 7216개 지갑을 통해 16,303번 거래된 것으로 확인되고 있으며, 바이 낸스(Binance)12곳, 후오비(Huobi) 3곳, 라토 큰(LATOKEN) 8곳,비트렉스(Bittrex), 빌럭시 (Bilaxy) 등의 지갑에서 포착되었다. 추가적으로 이때 당시 이더리움이 제공하는 이더리움 네임 서비스(ENS)를 통해 확인한 결과 업비트가 등록한 3개의 주소 중 자금 이동이 일 어난 계정은 단 1개의 계정이나, 이날 출금된 이 더리움은 전체의 약 30%에 에 이르는 자산이 이 동한 것으로 확인되었다. 당시에는 해킹이 ‘내 부자 소행이다.’ 혹은 ‘탈세의 목적으로 진행되 었다.’ 등 여러 의견이 분분하였다. 아직 KISA나 경찰의 공식적인 수사 결과가 공지되지 않은 상 태에서 얼마 전 미국 사법부에서는 북한 해커를 도와 돈을 세탁한 중국인 2명을 기소한 것에 대 해 발표하였다. 해당 기소장을 통해서 밝혀진 바 에 의하면 이들은 1억 달러가 넘는 자금을 세탁 하였으며 배후에는 북한의 해커그룹인 라자루스 (Lazarus)1)가 있고, 그들의 자금은 라자루스에 1) 북한의 정찰총국 예하에 존재하는 110 연구소 예하의 사 이버 부대로 대표적인 사이버 공격으로는 7.7 DDos, 3.4 DDos 공격, 2014년 소니 픽처스 해킹, 2016년 방글라데 시 SWFIT망 해킹 등이 있다. 부당하게 취득한 것이라 밝혀졌 다. 이어서 라자루스가 2018년 일본의 코인체크의 암호화폐와 2019년 11월 한국에서 발생한 암 호화폐 거래소 공격에 관한 내용 이 포함되어 있어 업비트 해킹 사 건의 배후가 라자루스일 가능성이 제기되었다. 핵개발로 인해 국제 사회로부터 경제 제재를 받 아 점차 고립되면서 북한은 거래소를 해킹을 외 화벌이가 가능한 창구로써 활용하였으며, 이번 업비트 사건 역시 이러한 자금을 마련하기 위한 목적의 공격일 것으로 추측된다. 2. 공격 시나리오 이번 업비트 해킹사건에서 사용된 공격시나리 오는 다음과 같을 것으로 추정된다. 첫 번째 방법 은 가장 손쉬운 거래소 직원 혹은 내부자를 통한 방법이다. 여기서 말하는 방법은 사회공학적으 로 스파이를 이용한다거나 인적자원을 활용한다 는 식을 이야기하려는 것은 아니다. 여기서 이야 기하려는 내용은 거래소 직원의 컴퓨터의 권한을 탈취하거나, 하나의 프라이빗 키를 탈취하는 것 을 의미한다. 탈취당한 자금은 업비트의 핫월렛 (Hot wallet)에 있던 자금이다. 여기서 핫웰렛이 란 쉽게 생각해 온라인으로 연결된 지갑으로, 온 라인 상태에서 거래를 주고 받을 수 있고 실시간 으로 거래 정보를 주고 받는 지갑을 의미한다. 반대로 콜드월렛(Cold wallet)은 오프라인 상 태의 지갑으로 하드웨어 지갑, 오프라인 지갑으 로 불리기도 하며 온라인과 연결되지 않은 지갑 을 의미한다. 이렇듯 인터넷과 연결된 상태의 핫

월렛은 사용자의 입장에서 실시간 거래가 가능 하기 때문에 편리하지만, 해킹 등 보안에 취약한 단점이 있다. 이런 핫웰렛의 특성을 이용하여 회 사 내부 PC 혹은 프라이빗 개인키를 탈취하여 공격을 실시한 것으로 판단된다. 하지만 여기서 누군가는 다중서명2)에 대해서 이야기할 수도 있 다. 다중서명이란 온라인상의 핫월렛의 보안성 을 강화하는 개념으로 일반적인 전자서명과 다 르게 거래를 위해서 한 개의 지갑에 다수의 관리 자가 복수의 키를 생성하고 동시에 서명할 때 거 래가 발생하게 하는 방식이다. 실제로 많은 암호 화폐 거래소에서 핫월렛의 보안 안전성을 강화 하고자 다중서명 방식을 사용하곤 한다. 이러한 다중서명의 개념을 이더리움에서는 스마트컨트 랙트(Smart Contract)를 이용해 제공하였다. 스마트컨트랙트란 이더리움이 가지고 있는 특 징 중 하나로, 특정 계약을 스스로 수립하고 검증 2) 데이터의 위변조, 부인을 막고 메시지의 무결성을 확인, 인 증을 수행하는 기술인 전자서명 중 특수 전자서명 방식에 해당되는 기술 하고 이행하기 위한 컴퓨터 프로토콜로서 말 그 대로 계약서를 코드로 작성하여 블록에 삽입한다 는 개념이다. 이더리움은 자체 프로그래밍 언어 인 내 솔리디티(Solidity)를 개발하여 이 프로그 래밍 언어를 통해 스마트컨트랙트를 포함한 거래 가 이루어지게끔 한다. 문제는 이더리움의 스마 트컨트랙트 자체가 가지고 있는 취약점이 상당하 다는 점이다. 2018년 싱가폴 국립대학교와 런던 대학교는 공동 연구를 통해 발견한 바에 의하면 이더리움 네트워크상에서 34,000개 이상의 취약 한 스마트컨트렉트가 발견되었으며, 이러한 취 약점을 이용한 공격은 충분히 가능할 것으로 판 단된다. 대표적인 취약점으로는 오버플로 및 언 더플로 발생, 메시지 호출과 접근권한 제어의 문 제 등이 있다. 대표적인 취약점인 오버플로 및 언 더플로 발생, 메시지 호출과 접근 권한 제어등의 문제가 있다. 이런 취약점들이 쉽게 전파가 되는 주요 이유는 바로 코드 재사용 때문이다. 흔히 개 발 단계와 컨트랙트 실행 단계에서의 완전 재사 용 혹은 부분적 재사용을 실시하는 경우, 하나의 취약한 컨트랙트 코드가 그것을 가져다가 사용하 는 모든 사람들을 공격에 노출시키게 된다. 실제 이더스캔에 등록되어있는 검증된 컨트랙트를 다 운받아 컨트랙트 수준의 재사용 현황을 살펴보 면, 완전히 동일한 컨트랙트가 많이 존재한다. 토 큰위자드 등의 편리한 서비스를 활용해서 각자만 의 토큰을 만들고 있는 상황인 것이다. 함수 수준 의 재사용을 살펴본 결과, 세이프매스(safemath) 라는 함수를 가장 많이 사용하고 있고, 취약한 함 수에서 일부 수정을 했던 코드상에서도 취약점이 발견되고, 이로 인해 익스플로잇 가능한 코드들이 다수 존재한다. 이러한 취약점 및 개발언어가 존재하는 이더리움 환경 자체에 의해 공격이 진 행될 가능성이 크다. 하지만 앞서 이야기한 공격 시나리오가 진행되기 위해서는 내부 네크워크에 잠입하거나, 다수의 계정의 개인키를 탈취하는 등의 시도가 이루어져야 하는데 실제로 업비트 해킹사건이 발생하기 약 6개월 전부터 각종 암호 화폐 거래소 이용자와 거래소 임직원대상을 겨냥 한 스피어 피싱 공격이 지속 포착되었으며, 업비 트의 경우에는 업비트 팀장을 사칭한 해킹메일 공격이 업비트 고객을 대상으로 진행되었으며 포 스트 스크립 파일이 포함된 한글파일이 첨부문서 로 공격이 진행되었다. 물론, 우연한 계기로 공격 이 진행되었을 수 있으나, 해당 사건이 발생하고 약 6달 뒤 거래소 해킹사건이 발생하였다는 점에 서 이번 사건은 수개월 전부터 이어져온 APT 공 격에 의한 해킹사건일 것으로 추측되며, 해킹메 일 유포와 거래소 해킹사건의 연관성을 주목해야 할 것이다. 결론적으로 생각해본다면 스피어피 싱 공격을 실시해 거래소 직원 혹은 거래소 고객 의 PC를 장악한 후 거래소 직원의 PC를 장악한 경우라면, 권한이 높은 운영 PC의 제어권을 확보 하거나 내부 정보를 탈취하는데 성공하여 자금을 전송하였을 것이다. 거래소 고객의 PC의 경우라 면 어려 고객의 개인 키를 탈취하여 자금 이동을 실시했을 것이다. 3. 결론 미국 사법부에서 밝힌 기소장의 내용에서도 볼 수 있듯 업비트 해킹사건은 배후에 북한이 있 으며 확연한 해킹 사건이다. 공격 시나리오에 서 확인하였듯, 거래소를 해킹하는 일은 생각보 다 쉬운일이 아니며 자금에 대한 추적을 회피하 기 위해서는 수많은 지갑들에 대한 거래를 거쳐 야 한다. 그만큼 이번 공격은 계획적이고 공격적 이며 라자루스의 실력을 알 수 있는 사건이라 볼 수 있다. 업비트 해킹사건과 유사한 거래소에 대 한 공격은 지금도 계속해서 진행중이다. 군의 입 장에서는 거래소 해킹사건이 군과 큰 관련이 없 는 것처럼 느껴질 수 있으나, 거래소 해킹을 통 해 북한은 자금난에 봉착한 경제재재 해소방안 으로 활용되고 있으며, 군사 자금으로도 충분히 횔용되는 상황이기에 계속적으로 북한이 불법 적인 암호화폐를 탈취하는 것은 장기적으로 좋 지 않은 신호라 할 수 있다. 이렇듯 직·간접 적으 로 군에 좋지 않은 영향을 끼치는 거래소 해킹사 건을 방지하기 위해서는 크게 두가지 관점에서 바라봐야한다. 먼저, 거래소의 입장에서 최초 컨 트렉스 설계 단계에서부터 취약한 코드의 사용 을 금하고 품질관리 등을 통해서 기존에 발견된 취약점들에 대한 검증을 실시해야한다. 또한 핫 웰렛에 대한 관리와 더불어 거래소 입장에서 해 커들의 활동에 대한 동향 파악 등의 적극적인 조 치와 높은 보안의식을 가져야 한다. 거래소를 이 용하는 개인 그리고 거래소 내부 직원의 입장에 서는 공격에 단초가 될 수 있는 정보수집에 이용 되지 않기 위해서 아주 기초적인 보안조치를 놓 치지 않고 실시하는 것이 중요하다. 의심이 되 는 이메일 열람이나, 의심가는 파일 다운로드 해 서는 안되며 지인을 사칭한 스미싱, 알 수 없는 URL 링크 클릭을 금하며 평소 개인 프라이빗 키 에 대한 관리등에 유의해야 할 것이다


이름 패스워드
비밀글 (체크하면 글쓴이만 내용을 확인할 수 있습니다.)
왼쪽의 글자를 입력하세요.
   

 

본사 : 서울시 종로구 사직로 96파크뷰타워 208호 (사)21c안보전략연구원

인터넷신문등록번호 : 서울아 02284 / 발행인 : 박정하

정기간행물등록번호 :서울라10600 / 대표전화 : 02-6953-0041, 02-2278-5846
팩스 : 02-6953-0042 / 청소년보호책임자 : 박정하

군사저널소개 | 이용약관 | 개인정보취급방침 | 이메일무단수집거부 | 새소식

Copyright ⓒ군사저널. All rights reserved.