금일(27일) 경기도 판교에 위치한 경기창조혁신센터 대회의장에서 열린 ‘대한민국 NFT 블록체인 게임 컨퍼런스’에서 파인더갭 김오중 대표가 ‘해외 NFT, 게임 해킹공격에 따른 피해와 해결방안’에 대한 강연을 진행했다.

단상에 오른 김 대표는 “가상자산 대상 해킹이 나날이 증가하고 있습니다. NFT 해킹 피해가 올해 1분기 약 643억 원을 기록했죠. 이는 작년 4분기 대비 약 35배 증가한 수치입니다. 가상자산 성장 추이에 비해 훨씬 높은 피해예요.”라고 말문을 열었다.

그는 가상자산 대상 해킹이 증가하는 이유를 규모가 큰 온라인 자본 시장은 블랙해커들에게 매력적이라는 점과 복잡한 서비스 형태에 따른 다양한 보안 홀(구멍)이 생길 가능성이 많기 때문이라고 진단했다.

이어서 김 대표는 해킹범이 주로 사용하는 기법을 크게 두 가지로 나누어 위험성을 알렸다. 각각 ‘NFT 기반 서비스 플랫폼 해킹’과 ‘NFT 서비스 이용자 해킹’이다.

먼저, ‘NFT 기반 서비스 플랫폼 해킹’은 악의적 코드를 서버에 업로드, 이중 인증 미사용 계정을 이용하여 침투, 웹 사이트 취약점을 파고드는 형태다.

김 대표는 2022년도 당시 가장 큰 NFT 마켓플레이스가 프론드엔드 취약점을 통해 해킹을 당한 일이 있었다고 말했다. 해킹범은 유명 NFT 8개를 탈취하여 재판매한 뒤 75만 달러(약 10억)의 부당 이익을 취했다고 한다.

다음으로, ‘NFT 서비스 이용자 해킹’의 경우 단순하게 이용자가 피싱 링크를 누르게 만드는 경우다. 관리자 계정을 탈취하거나, BOT 기능의 취약점을 이용하는 식이다. 김 대표는 수많은 방식이 있는 만큼 그 피해를 본 기업들이 꼽기 어려울 정도로 많다고 밝혔다.

김 대표가 해킹 피해를 막기 위해 설명한 보안 강화 방법은 버그바운티다. 버그바운티란 기업의 보안 취약점을 제보한 보안 전문가에게 포상금을 주는 제도로, 취약점을 조기에 발견 및 조치 가능하다는 면에서 긍정적으로 평가한다고 했다.

그는 ‘빗썸’, ‘바이낸스’ 같은 거래소부터 ‘더 샌드박스’, ‘갈라 게임즈’ 같은 게임 등 수많은 분야의 기업들이 사용하고 있다고 밝혔다. 기업 내에서 자체적으로 버그바운티 시스템을 운명하기 어렵다면 자체적으로 하기 어렵다면 버그바운티 플랫폼을 이용해도 좋다고 추가로 설명했다.

김 대표는 오픈소스로 코드가 전부 공개되는 Web 3.0 서비스 특성상 해킹에 더 취약한 편이고, 해킹 난도에 비해 피해가 크다는 점을 감안하면 보안을 선제적으로 강화하는 것이 중요하다고 재차 강조하며 강연을 마무리했다.