Home > 전체기사

Z세대의 놀이터 NFT 마켓플레이스, 사고 사례로 본 보안위협 4

  |  입력 : 2022-09-19 00:51
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
암호화폐, NFT에 대한 Z세대의 관심으로 NFT 마켓플레이스 계속 생겨나
해커들이 눈독 들이고 있는 만큼 발생했던 보안사고 유형 파악해 대비 필요


[보안뉴스 김영명 기자] NFT(NFT : Non-Fungible Token)란 ‘대체 불가능한 토큰’으로 해석할 수 있는데, 블록체인 기술을 이용해 디지털 자산의 소유주를 증명하는 가상의 토큰(token)을 의미한다. 그림이나 영상 등 디지털 파일을 가리키는 주소를 가상의 토큰 안에 보관해 토큰이 공유한 원본성과 소유권을 나타내는 용도로 사용하는 ‘가상 진품 증명서’를 의미한다. NFT는 블록체인 기술을 이용해 복제 불가능한 고유성을 확보함으로써 자신이 만든 NFT는 다른 누구의 통제를 받지 않는다.

[이미지=utoimage]


NFT 마켓플레이스, NFT 생성 및 거래의 장
이러한 NFT가 부상함에 따라 NFT 마켓플레이스도 영역을 빠른 속도로 확장하고 있다. 특히, 최근 새로운 소비 트렌드를 주도하는 ‘Z세대’의 놀이터로 주목받고 있기도 하다. ‘디지털 네이티브(Digital Native)’ 세대라고도 부르는 Z세대는 암호화폐와 NFT를 미래 성장산업으로 생각한다는 조사결과가 나오기도 했다.

그렇다면 NFT 마켓플레이스는 무엇일까? 먼저 NFT는 예술 작품, 사운드트랙, 수집품, 게임 내 아이템 또는 부동산 등 물리적 혹은 디지털 아이템 구분 없이 본질적으로 독특하고 희소한 것에 대한 소유권을 나타내는 고유한 토큰이다. 그리고 NFT는 마켓플레이스라는 고유한 플랫폼에서만 거래가 가능하다.

NFT 마켓플레이스는 개인의 NFT를 저장 및 표시하고, 사용자간 거래를 하고 생성할 수 있는 전용 플랫폼이다. 국내 주요 기업들도 NFT 마켓플레이스에 앞다퉈 진출하고 있다. 9월 초까지 본지가 파악한 국내 기업에서 NFT 마켓플레이스를 운영하는 기업과 마켓플레이스명은 다음과 같다.

△298엑스(응용 소프트웨어 개발업)-픽톤(Picton) △커넥트(konnect, 블록체인업)-Konnect World △네이버 LINE(온라인 메신저)-도시(DOSI) △SK텔레콤(통신사)-TopPort △그라운드X(카카오 자회사, 블록체인 플랫폼 서비스)-클립 드롭스(Klip Drops) △두나무(정보통신업)-업비트 NFT △롯데홈쇼핑(홈쇼핑)-NFT SHOP △미투온(온라인 게임 소프트웨어 개발업)-미버스(Meverse) △빗썸(가상자산 플랫폼)-빗썸라이브 △세번째 공간(미술, 공예품)-3space Art △아프리카TV(정보통신업)-AFT 마켓 △카카오게임즈(온라인 게임 소프트웨어)-투데이이즈(TODAYIS) △컴투스홀딩스(온라인 게임 소프트웨어)-C2X △코빗(가상자산 플랫폼)-코빗 NFT 마켓 △파이랩테크놀로지(블록체인 기술기업)-비몰(Bmall) △팔라(크립토 서비스)-팔라 스퀘어(Pala Square) 등이 있다.

이밖에도 △위메이드(온라인 게임 소프트웨어)는 위믹스 월렛 내 NFT 마켓을 도입할 예정이며 △KT(정보통신업)는 애플리케이션 ‘민클’을 NFT 마켓플레이스로 전환할 예정이다. 또한, △갤럭시아머니트리(종합생활금융 플랫폼)은 메타갤럭시아를, △다날(모바일 콘텐츠업)은 다날메타마켓을, △엔씨소프트(게임개발업)도 NFT 마켓플레이스를 도입할 예정인 것으로 알려졌다.

▲NFT 마켓플레이스에 진출한 국내 주요 기업들[정리=보안뉴스]


이러한 NFT 마켓플레이스를 운영하기 위해서는 NFT 마켓플레이스에 가입한 뒤 NFT 생성, 판매, 새로운 NFT 발행 등을 진행할 수 있다. NFT 판매는 복잡한 프로세스를 갖고 있다. 특히, 사용자 본인이 만든 자산(아트워크, 사운드트랙, 트윗 등)을 판매할 때는 먼저 판매하려는 디지털 자산을 마켓플레이스에 업로드한 뒤, 고정된 가격을 입력하거나 경매를 통해 NFT 판매를 선택한다. 플랫폼에서 업로드된 자산을 확인한 후 승인하고, 판매자가 입찰을 수락하면 마켓플레이스는 판매자로 이전을 진행한다 그러나 NFT 마켓플레이스가 인기를 끌면서 해커들의 먹잇감으로 부상하는 등 보안위협도 급증하고 있다.

▲NFT 발행~거래 과정에서의 보안 위협[자료=KISA]


NFT 마켓플레이스에서 발생할 수 있는 다양한 보안위협
‘스마트 계약’은 모든 블록체인의 필수 기능이다. 스마트 계약은 모든 NFT 거래와 소유권 이전을 지원한다. 보안에 신경 쓴 스마트 계약을 프로그래밍하면 해커가 변조하기가 매우 어렵다. 그러나 스마트 계약 버그를 해결하지 않은 채 방치한다면 해커가 악용할 수 있다. 일례로, 인기 있는 NFT 프로젝트이자 이더리움 내에서 가장 오래된 NFT 마켓플레이스인 크립토펑크(Crypto Punks)는 2017년 스마트 계약 버그로 인해 참가자가 크립토펑크 NFT를 갈취당한 적이 있었다.

대부분의 NFT 마켓플레이스는 분산 시스템을 사용하지만, 일부는 중앙집중식 모델을 사용하기도 한다. 중앙집중식 모델을 사용하는 NFT 마켓플레이스는 데이터 변조, 검열 및 생성이 가능하고 수집한 NFT의 잠재적 손실이 발생하는 등 보안상 취약점이 있다. 중앙집중식 모델인 오픈씨(Open Sea)와 니프티 게이트웨어(Nifty Gateway) 등의 블록체인 플랫폼은 플랫폼에 있는 모든 자산의 개인 키를 자체 플랫폼에 저장하기 때문에, 플랫폼이 손상되면 짧은 시간에 여러 계정이 해킹될 수 있다.

보안사고 유형 1. 보안 취약점을 악용한 NFT 자산 도난 사건
실제로 지난해 12월, 아티스트이자 로스+크레이머 갤러리의 소유주이고 NFT 수집가인 미국 뉴욕의 토드 크레이머(Todd Kramer)는 Bored Apes와 Mutant Ape Yacht Club 등 NFT 자산 15개를 도난당했으며, 도난당한 전체 자산 가치는 약 220만 달러에 이른다고 밝혔다. 해당 거래가 일어난 블록체인 플랫폼 OpenSea는 도난당한 품목을 동결하고 모든 거래를 중단했다.

또한, NFT 마켓플레이스의 많은 사용자는 플랫폼에서 제공하는 추가 보안 조치를 무시하는 경우도 많은 것으로 알려졌다. 암호를 쉽게 설정하거나 이중 인증을 생략하며, 의심스러운 링크를 클릭하는 행위 등이다.

현재 NFT는 거래가 익명으로 이루어지는 데다가 아티스트의 닉네임과 아바타 뒤에 가려진 실체를 모를 수 있어 더욱 위험하다. 아직은 NFT 관련 법률이나 규정도 별도로 없기 때문에 NFT는 불법자금의 보관창고로 사용될 수도 있다.

더욱이 NFT 마켓플레이스는 규모에 상관없이 자금세탁방지와 테러방지, 확산금융 등 국제사회 표준을 준수할 필요가 없으며, 사용자는 개인정보를 입력하지 않아도 된다. 하지만 최근 들어 NFT 플랫폼에서의 인증 솔루션 채택 필요성에 대한 깊이 있는 논의가 진행되고 있다.

보안사고 유형 2. 유명인사 또는 기업 관리자 사칭, 억대 암호화폐 갈취 사기
NFT 마켓플레이스 가운데 가장 규모가 큰 오픈씨(OpenSea)는 최근 사이버 공격이 일어나 사용자에게 막대한 재산상 손실을 입혔다. 올해 1월 영국의 가수이자 영화배우인 오지 오스본(Ozzy Osbourne)의 NFT 프로젝트인 크립토배츠(CryptoBatz)에서 일어난 일로, 공격자는 오지 오스본의 가짜 홍보 채널인 디스코드(Discord) 서버를 만들었다. 해커는 NFT 마켓플레이스 사용자에게 크립토배츠와 오지 오스본의 트윗을 읽으며, 가짜 서버로 리디렉션해 자산 확인을 요청, 디지털 지갑으로 악성 페이로드에 서명을 요구했다. 오픈씨는 이 사건으로 총 32개의 계정이 손상됐으며, 공격자는 NFT를 매각한 후 이더리움에서 170만 달러를 탈취했다고 추측되고 있다.

지난해 12월에는 해커가 아시아 최초 PFP(Profile Picture) NFT 기업인 몽키 킹덤(Monkey Kingdom) 그룹의 관리자인 척 속여 그룹의 디스코드 사용자들에게 피싱용 웹사이트 URL을 전송한 후, 웹사이트 접속 시 암호화폐 지갑으로 인증하도록 유도해 피해자의 지갑에서 암호화폐를 갈취한 사건도 발생했다. 이 사건으로 갈취된 암호화폐 규모는 한화로 약 16억원 규모다.

NFT 마켓플레이스 내 다양한 사기 중 아티스트 사칭 빈도가 가장 높은 것으로 조사되고 있다. 가장 유명한 사건은 지난해 8월, 해커가 유명 아티스트인 뱅크시(Banksy)의 웹페이지를 해킹해 마치 뱅크시가 자신의 작품을 NFT로 발행해 판매하는 것으로 속여 33 만6,000달러(약 4억6,394만원)의 피해가 발생한 사건이다.

캐나다 온타리오주에 거주하고 있는 유명한 일러스트레이터 데렉 라우프만(Derek Laufman)도 NFT 마켓플레이스에서 그의 이름을 내걸은 작품이 가짜 계정으로 판매되기도 했다.

보안사고 유형 3. 러그 풀 사기, 참여자의 투자금을 가로채는 행위
러그 풀(rug pull)은 프로젝트 실행자가 참여자들의 자금을 받은 후, NFT 프로젝트를 갑자기 중단하거나 거래 없이 도망가는 사기 행위를 뜻한다. 참가자들은 NFT 마켓플레이스에서 자신의 토큰을 온전히 빼앗기게 되는 것이다.

이 같은 행위를 방지하기 위해서는 NFT 프로젝트의 실질적인 운영자를 확인하는 것이 중요하다. 악성 행위자는 프로젝트를 과대 포장해 참가자를 끌어들여 투자를 유혹하고, 사전 통지 없이 참가자들이 투자한 투자금을 모두 인출한 뒤 프로젝트를 삭제하고 도망가는 경우가 있다.

러그풀 사기의 유명한 사례는 넷플릭스의 인기 한국 드라마인 ‘오징어 게임(Squid Game)’에서 영감을 받아 출현한 토큰이다. 이 토큰은 드라마의 인기에 힘입어 순식간에 나타나 빠르게 가치가 상승했으며, 한순간에 사라지기 전까지 가치가 2,800달러(약 386만원)에 도달하기도 했다. 참여자들은 많은 돈을 투자했다가 날려버렸는데, 관련 전문가들은 이 사기꾼들이 330만 달러(약 45억5,700만원)를 탈취한 것으로 분석하고 있다.

보안사고 유형 4. 정상적인 메일처럼 위장, 개인정보 탈취 사기
마지막 사고 사례 유형으로, 해커는 NFT 마켓플레이스 안에서 사용자에게 이메일을 보내거나 암호화폐 거래소에서 공지사항을 보낸 것처럼 가장해서 계정에 접근하는 경우가 있다. 이러한 메일은 특히 사용자 계정과 암호를 제공해서 재빠른 조치를 취해야 더 큰 피해를 막을 수 있다는 식으로 현혹시킨 후, 사용자에게서 받은 개인정보를 활용해 참여자의 NFT 플랫폼의 계정에 액세스하게 된다. 또 다른 사례로 블록체인 플랫폼 오픈씨 마켓플레이스에서는 악성 NFT를 수많은 사용자에게 보낸 사건도 있었다.

▲전 세계 NFT 마켓플레이스 인기 순위[자료=댑레이더]


한편, 탈중앙화 분산 애플리케이션을 기반으로 NFT 정보를 제공하는 업체인 댑레이더(DappRadar)에 따르면 현재 전 세계에서 등록 운영 중인 NFT 마켓플레이스의 수는 386개다. 이용자수를 기준으로 했을 때 1위는 ‘Magic Eden’으로 솔라나(Solana) 블록체인을 기반으로 하며, 2위는 ‘OpenSea(ETH 블록체인)’, 3위는 ‘AtomicMarket(WAX 블록체인)’, 4위는 ‘PlayDapp Marketplace(ETH 블록체인)’, 5위는 ‘objkt.com(Tezos 블록체인)’으로 나타났다. 댑레이더의 NFT 마켓플레이스 인기 순위는 최근 24시간, 최근 7일, 최근 30일 기준으로 업데이트해 보여주기 때문에 시간에 따라 순위에는 변동이 있을 수 있다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)