[팩플] “NFT도 해킹이 되나요?”...YES, 피해액 이미 1400억 육박

NFT 마켓플레이스에 등록된 NFT들 [로이터=연합뉴스]

블록체인 기반 디지털 자산인 대체불가능토큰(NFTㆍNon-Fungible Token)이 해커들의 먹잇감이 되고 있다. 올해 들어 NFT의 가격과 거래량이 등락을 반복하며 ‘거품론’이 나왔지만 NFT 탈취 피해 금액은 최고치를 기록했다. 수십억명이 쓰는 소셜네트워크서비스(SNS)들이 NFT로 발을 넓히며 보안 위협도 커지고 있다는 우려가 나온다.

19일 업계에 따르면 블록체인 연구 기업 엘립틱(Elliptic)은 최근 보고서에서 “NFT 탈취 금액이 올해 7월 기준 1억 달러(약 1394억원)를 넘어섰다”고 밝혔다. 피해 금액은 건당 평균 30만 달러(약 4억원) 수준. 피해자가 해킹 사실을 밝히지 않은 경우가 많은 점을 고려하면 실제 피해 금액은 이보다 더 클 것으로 보인다. 한국인터넷진흥원(KISA)도 ‘2022년 상반기 사이버위협 동향 보고서’에서 “NFT에 대한 해킹 시도와 그에 따른 피해가 급격히 증가했다”고 분석했다.

BYAC [로이터=연합뉴스]

대표적인 사례가 지난 4월 발생한 ‘지루한 원숭이 요트 클럽’(Board Ape Yacht ClubㆍBAYC) 디스코드에서 발생한 해킹이다. BYAC가 세계 최대의 NFT 프로젝트로 꼽히는 만큼 피해 금액도 약 166만 달러(23억원)에 달했다. 국내에서도 관련 피해가 잇따르고 있다. 지난 4월 NFT 프로젝트 ‘메타콩즈’의 디스코드 채널이 해킹돼 11.9 이더리움(한화 약 4500만원)의 피해가 발생했다. 5월 현대자동차가 출시한 NFT도 공식 디스코드 계정이 해킹돼 일부 구매자가 금전적 손해를 입었다.

① 거품론? NFT 열기 계속: 글로벌 유통·스포츠·통신 기업 등은 꾸준히 NFT 민팅(발행)을 하며 생태계를 확장하는 중이다. 리서치 기업 스카이퀘스트에 따르면 지난해 전세계 NFT 시장 규모는 157억달러(약 20조5100억원), 2028년까지 1224억3000만달러(약 159조9400억원)까지 클 것으로 보인다. 국내 기업도 NFT에 적극적이다. 넷플릭스 드라마로 방영됐던 웹툰 ‘지옥’을 모티브로 한 NFT 500개가 지난 14일 판매 개시 17분 만에 완판됐다. LG유플러스·신세계가 발행한 NFT도 출시 직후 모든 물량이 소진됐다. NFT를 거래하는 마켓플레이스도 빠르게 느는 추세다. 국내 대표적인 마켓플레이스인 네이버 도시(DOSI)나 그라운드X(클립 드롭스) 뿐 아니라 SK텔레콤·빗썸 등도 뛰어들었다.

전세계 NFT 시장 성장세 그래픽 이미지. [자료제공=스카이퀘스트]

② 만들기는 쉽고, 피해보상은 어렵다 : 최근 NFT 발행을 돕는 마켓플레이스가 급증하면서 NFT 발행이 쉬워졌다. 스타트업 뿐 아니라 개인들도 NFT 민팅에 뛰어들고 있다. 민팅 이후 하루만에 가격이 급등하거나, 몇 달 만에 수십 배씩 뛰는 프로젝트들이 생기면서다. 이승훈 IBK투자증권 연구원은 보고서에서 “첫 판매가 이뤄지는 1차 마켓 대비 재판매 시장인 2차 마켓의 평균 가격 격차가 2020년엔 1.15배였으나, 2021년 4.87배로 증가하는 등 재판매 시장의 규모가 커지고 있다”고 분석했다. 문제는 사기나 해킹 등 피해가 발생해도 보상받기가 어렵다는 점이다. NFT 관련 사고 발생 시 NFT 소유자가 보상을 받을 법적 근거가 없기 때문. 현재로서는 NFT를 민팅한 개별 기업의 보상 의지에 기대는 수 밖에 없다. 지난해 11월 금융감독원은 “NFT는 일반적인 가상자산으로 정의하기 어렵다”고 발표했고, 지난 6월 문화체육관광부가 ‘NFT 거래 시 유의해야 할 저작권 안내서’를 발간한 게 전부다.

● NFT의 개념은 ‘블록체인에 거래 내역을 저장하고 확인할 수 있어 제 3자가 토큰을 복제하거나 위조할 수 없다’는 데서 출발한다. 그러나 “블록체인이 해킹되지 않는다”는 얘기는 절반만 맞다는 게 전문가들의 설명. 특히 최근 NFT가 탈취 당하는 패턴을 보면 블록체인 자체가 아닌 연계된 외부 서비스를 공격하는 방식이 많다.

● 블록체인에 기록된 데이터를 직접 변조하는 것은 사실상 불가능하다. 해커들은 주로 디스코드나 SNS 계정을 탈취해 피싱하는 방법을 사용한다. 가장 보편적인 방법은 디스코드 관리자 계정을 해킹해서 서버에 가짜 공지를 올린 후 링크를 누르면 NFT를 훔쳐가는 피싱이다. 링크로 연결된 웹 사이트에서 “지갑 주소를 제출하라”는 공지를 본 개인이 이를 믿고 NFT를 보관하던 지갑을 순순히 내주는 식으로 피해가 발생한다. 문자메시지를 통해 일어나는 스미싱과 유사한 원리다. 보안업계 관계자는 “NFT 등 웹3.0 생태계에서는 디스코드와 같은 커뮤니티가 활성화돼 있기 때문에, 해커들이 이 지점을 노린 것”이라며 “돈 모이는 곳에 해커가 몰려드는 건 당연한 원리”라고 말했다.

인스타그램과 페이스북은 8월부터 디지털 지갑을 연동해 NFT를 자신의 SNS 피드에 올릴 수 있는 기능을 도입하고 있다. NFT의 저변이 넓어진다는 의미가 있지만, 보안 우려도 커지고 있다. 엘립틱에 따르면 NFT 탈취 공격 중 SNS를 이용한 경우가 전체 공격의 23%에 달했다. 김용대 KAIST 정보보호대학원 교수는 “서비스 접점이 늘어나면 그만큼 보안상 취약점도 늘 수 밖에 없다”며 “결국 사용자들이 NFT는 마냥 안전하다고 믿지 말고, 구매할 때부터 이 자산의 취약점을 명확히 인지하는 게 중요하다”고 말했다.

배너 클릭 시 구독페이지로 이동합니다. https://www.joongang.co.kr/factpl