바이비트 이더리움 15억달러 해킹사고..."주소기반 거래의 취약점 드러나"

암호화폐 거래소 바이비트에서 역대 최대 규모인 15억달러 상당의 이더리움이 정교한 피싱 공격으로 탈취됐다. 이번 사고는 기존 거래소 해킹과는 달리 핫월렛이나 콜드월렛 등의 백엔드 키가 탈취되는 방식이 아닌 매우 이례적인 방식으로 발생했다. 벤 저우 바이비트 최고경영자(CEO)의 라이브 스트리밍에 따르면, 그와 다른 멀티시그 서명자들이 렛저 기기를 통해 의심 없이 승인한 거래가 사실은 해커들에게 직접 자금을 이체하는 사기성 거래였다.

이번 사태의 핵심적인 문제는 바이비트의 보안 인프라 자체가 아닌, 렛저가 이해할 수 없는 원시 지갑 주소와 디파이 사용에 내재된 위험이었다. 저우 CEO는 일상적인 운영의 일부라고 생각해 렛저 화면을 확인하지 않고 서명했다고 인정했다. 이는 해커들이 웹 UI상에서 거래를 교묘하게 조작해 정상적으로 보이게 만들었고, 이로 인해 여러 서명자들이 렛저 화면에서 사람이 해독할 수 없는 이체를 승인하게 된 것으로 추정된다.

이러한 공격은 암호화폐의 지속적인 문제점을 드러낸다. 주소 기반 거래는 본질적으로 인적 오류와 피싱 공격에 취약하다. 대형 거래소의 CEO조차 사기성 거래에 서명하도록 속았다면, 일반 사용자들은 더 큰 위험에 노출될 수밖에 없다.

이 근본적인 문제를 해결하기 위해서는 원시 지갑 주소에 대한 의존도를 완전히 제거해야 한다. 복잡한 영숫자 문자열을 수동으로 확인하는 대신, 사용자들이 사람이 읽을 수 있는 이름으로 암호화폐를 전송하는 방식이 필요하다. 바이비트가 이러한 기술을 도입했다면, 렛저는 오류를 표시하고 운영자들에게 서명하지 말라고 경고했을 것이며, 해커들이 거래를 조작하기가 훨씬 어려웠을 것이다.

매터파이(MatterFi)와 같은 인프라 제공업체들은 모든 지갑이 사용자의 등록된 이름을 기반으로 올바른 수신 주소를 암호화 방식으로 계산할 수 있게 하면서도, 민감한 정보가 체인상에 노출되지 않도록 할 수 있다. 이는 사용자들이 인스타그램에서 "Mehow"와 같은 결제명을 공개적으로 공유하면서도 거래 내역이나 잔액을 노출하지 않을 수 있다는 것을 의미한다. 개인키 인프라는 의도된 수신자만이 자금에 접근할 수 있도록 보장하여 근본적인 수준에서 피싱 위험을 완화한다.

바이비트가 이번 사고로 이더리움 입금을 중단해야 했던 상황을 볼 때, 암호화폐 플랫폼들은 보안 모델을 재검토할 필요가 있다. 아무리 강화된 주소 기반 시스템이라도 여전히 사회공학적 공격과 인적 오류에 취약하다.

암호화된 이름 기반 거래 방식으로 전환함으로써, 업계는 향후 유사 사고 예방을 위한 중요한 진전을 이룰 수 있을 것이다.