안녕하세요, @jayplayco입니다.
UK기반으로 활동하고 있는 Cashaa라는 암호화폐 거래소가 해킹이 되었습니다. 정확하게는 336비트코인 (약 33억원)이 도난이 되어서 해커의 지갑으로 이동을 했습니다.
이번 코인텔레그래프 기사에서 흥미로운 것은 해커가 어떤 방식으로 접근했는지를 기술했다는 것에 있습니다. 생각보다 일반인이 당하듯 당하는 방법으로 해킹이 이루어져서 허무할 정도이긴 합니다.
- Cashaa 직원의 PC에 멀웨어를 심는다.
- 직원이 해당 PC에 접근을 했을때 멀웨어가 해커에게 알려주고 해당 지갑에서 자금을 이동을 시킨다.
- Cashaa는 블록체인.com의 지갑을 이용해서 BTC를 보내고 있었습니다.
인도쪽의 아이피로 추정되는 해커의 접근으로 인도 델리쪽 경찰쪽에도 협조를 구한 상황이며, 특히 인도에 있는 암호화폐 거래소에도 해당 자금이 현금화되지 않도록 협조를 해놓은 상황입니다.
개인적인 생각
우선 해당 기사를 보고 몇가지 의문이 들었습니다. 영국 기반으로 블록체인 거래소를 운영하는 곳이 가장 거래량이 많은 BTC의 저장과 전송을 다른 곳에 (blockchain.com) 맡겨서 운영한 것이 의문이긴 합니다.
Bitcoin.com은 이메일만으로도 쉽게 지갑을 온라인으로 만들고 2step 보안과 백업 프레이즈로 보안이 되는 지갑입니다. 개인 사용 용도로는 충분히 로그인 정보를 갈취당하지 않으면 어느정도 안전성을 보장하는 지갑입니다만, 만약 해당 지갑을 거래소용으로 사용하고 있었다면, 2step보안을 사용하지 않았을 확률도 높습니다. 이것은 모든 거래소 유저의 전송을 메뉴얼로 승인을 해야했기 때문입니다.
그렇다면 이메일과 패스워드 접근만으로도 접근이 가능한 계정설치 PC가 따로 있었다는 뜻이고, 여기다가 멀웨어를 인도에서 설치할 정도라면, 이 PC에서 이메일등 외부와의 활동을 일반적으로 할 수 있는 PC를 사용했다는 뜻이 된다고 봐야합니다.
멀웨어는 거래소 직원이 점심을 먹고 오후 1:23분에 이 PC에 접속했을때 지갑 접근을 통한 전송을 한 것입니다.
어쩌면 해커는 거래소를 공격한것을 몰랐을 수도 있습니다. 아마도 보안이 취약하게 세팅된 blockchain.com 지갑 사용자를 털었다고 생각할 수 도 있습니다.
의문사항은, 왜 사용자들의 거래를 하는 서버와 같은 PC에서 (즉 사용자 BTC 거래를 관장하는 서버형 PC) 직원들이 로그인을 해서 다른 것을 할 수 있는지가 궁금합니다. (멀웨어를 심으려면 이메일, 채팅, 웹서핑을 통한감염이 되어야합니다.) 그냥 서버였을 경우에는 자기가 혼자 웹서핑을 하면서 멀웨어가 심어지는 일은 적습니다. 아니면 PC의 최적화나 업데이트가 최신이 아니여서 시큐리티 구멍을 통해서 멀웨어가 심어질 수 도 있기는 합니다.
거래소 내부의 사정을 알 수 없는 사용자 입장에서는 shiny한 홈페이지만을 바탕으로 거래소를 판단하게 되는데 실제 어떤 환경과 보안에서 운영이 되는지를 알 수 가 없다는 현실을 다시한번 보게 됩니다.
