"감당 어려운 해킹, 효율적인 대응 방안은 버그바운티'
“웹3와 코인 시장을 노린 해킹 공격은 매년 규모가 커지고 복잡해지고 있지만 리소스가 제한된 기업이 이를 모두 막기엔 한계가 있다. 이를 극복하기에 가장 적합한 방법이 바로 버그바운티다.” 27일 경기도 판교 경기창조경제혁신센터에서 열린 '대한민국 NFT 블록체인 게임 컨퍼런스'에서 김오중 파인더갭의 대표는 급격히 늘어나는 NFT 블록체인 해킹 공격에 대한 대안으로 버그바운티를 제안했다. 버그바운티는 보안 취약점을 발견해 제보한 전문가에게 포상금을 지급하는 제도다. 제한된 소수의 내부 인력이 아닌 다수의 인력이 지속적으로 취약점을 조사하고 실제 공격이 발생하기 전 조기에 발견하고 조치할 수 있다는 장점이 있다. 구글, 마이크로소프트 등이 해외 기업에서 적극적으로 활용하고 있으며 국내에서도 IT기업을 중심으로 도입이 늘고 있다. 김 대표는 기업의 한정적인 리소스로 웹3 생태계의 다양한 보안 위협을 모두 점거하기는 어려운 기업을 위한 방안으로 버그바운티를 제안했다. 가상 자산 관련된 해킹 피해 사례는 매년 늘어나 2022년 약 4조 9천억 원으로 최대치를 기록했다. 가상자산의 성장추이에 비해 훨신 높은 비율의 해킹 피해규모다. 버그바운피 플랫폼 이뮤네피에서 발표한 가상 자산 손실 보고서에 따르면 웹3와 관련 손실 중 해킹 피해가 95.6%에 달했다. 해킹 비율이 압도적인 이유는 웹3 생태계의 서비스 형태가 매우 복잡하기 때문이다. 이로 인해 보안 취약점이 발생할 가능성이 크고 기업에서 모든 영역을 점검하기 어렵기 때문이다. 웹3 환경의 보안 위협은 앱, 시스템, 네트워크로 구분할 수 있다. 블록체인 보안사고 중 가장 큰 비중을 차지하는 앱 영역은 탈중앙화 앱(DApp) 및 스마트 컨트랙트와 같은 블록체인 어플리케이션에 존재하는 취약점으로 인해 보안 위협이 발생한다. 시스템 영역은 블록체인 시스템 자체의 코드 취약점으로 인한 보안위협이다. 다양한 오픈소스를 활용해 전체 시스템이 구성되며, 각 구성요소에 대한 취약점이 전체 시스템의 취약점으로 영향을 미친다. 네트워크 보안 위협은 인프라의 구조적 취약점을 활용하여 데이터를 탈취, 네트워크 마비 등을 일으킨다. 또한, 특정 타겟 피해자의 컴퓨팅 자원을 악용해 가상화폐 채굴을 하거나 비용을 발생시키는 공격을 시도한다. 글로벌 블록체인 분석 기업 체이널리시스가 발행한 2022년 가상화폐 범죄 리포트에 따르면 2021년 4분기, 약 140만 달러 23년 1분기에는 약 4900만 달러 규모의 해킹 피해가 발생했다. ] 김 대표는 “이와 같은 추세를 감안할 때 NFT 이용 과정에 사용자 보호를 위한 보호체계가 마련돼 있는지 충분한 검토가 필요한 상황이다”라고 말했다. NFT를 탈취하는 주요 해킹 기법은 악의적인 코드 업로드, 이중 인증 미사용 계정 탈취, 웹 사이트 취약점 침투 등이었다. 한 블록체인 게임사도 구인 제안서로 위장된 악성코드에 감염되면서 게임 사용자의 암호화폐를 탈취당했다. 이로 인해 약 8천억 원 규모의 피해가 발생했다. 김오중 대표는 “"오픈소스 기반 중심으로 개발환경으로 바뀌면서 해킹에 상대적으로 취약해진 반면, 소규모 프로젝트가 많은 웹 3.0 서비스는 보안 인력을 확보하기가 쉽지 않다"며 "한 번의 공격이 기업에 치명적일 수 있는 만큼 버그바운티 도입은 합리적인 선택이 될 수 있을 것"이라고 설명했다.