스테이블코인 결제 및 이전 사업에서 중개자 역할을 맡는 크로스체인 사업자를 노린 해킹공격이 확대되고 있다. 금융회사들이 디지털자산 사업을 추진하는 가운데 보안검증 강화 필요성이 제기된다.
금융보안원은 6일 디지털자산 보안 위협을 심층 분석한 정기간행물인 '딥체인:디지털자산 인텔리전스'를 창간했다.
창간에는 크로스체인 보안 위협 분석 내용이 담겼다. 국내 금융권에서 스테이블코인을 통한 ST(토큰증권) 결제를 지원하거나 서로 다른 블록체인 간 스테이블코인 이전하는 등 디지털자산 업무를 확대하고 있다. 이때 크로스체인 사업자와의 제휴가 필수적이다.
크로스체인 사업자는 서로 다른 블록체인 간 연계를 수행하는 기관으로 스테이블코인을 예치하고 여기에 매칭되는 토큰을 발행하는 역할을 맡는다.
문제는 일부 크로스체인 사업자는 기존 금융권 수준의 보안·내부통제 체계가 충분히 갖춰지지 않은 경우가 있어 보안사고로 이어지고 있다는 점이다. 지난 2022년 3월 로닌(Ronin)에선 출금 승인에 필요한 검증자 서명키 중 과반수 이상의 서명키를 탈취당해 무단 출금이 발생했다. 피해액은 9472억원에 달했다. 올해 4월에는 켈프타오(KelpDao)에 이벤트 메시지를 검증하는 인프라가 침해공격을 받아 가상화폐가 무단으로 발행되는 사고가 발생했고 피해는 약 4432억원 규모였다.
보고서는 크로스체인 관련 공격의 경우 기존 전통적인 금융회사를 타깃한 공격 방식과는 다르다는 점에 주목했다. 디지털자산의 출금 및 발행 등의 중요 권한을 보유한 내부 직원에 접근해 단말기를 감염시키는 방식으로 침투가 이뤄진다.
따라서 보고서는 금융회사가 크로스체인 사업자의 보안수준에 대해 철저히 검증하는 것이 필요하다고 조언한다. 특히 업체가 출금 및 발행을 검증하는 과정에서 검증자를 여러개로 구성했는지 혹은 안전한 서명 임계치를 확보했는지 등을 확인해야 한다.
박상원 금융보안원장은 "디지털자산 보안 사고는 고객의 직접적인 자산 피해로 이어질 수 있을 뿐 아니라 디지털자산 생태계 전반에 대한 신뢰를 저해할 수 있다"며 "디지털자산 인텔리전스의 지속적인 발간을 통해 금융권에서 디지털자산 관련 위협을 선제적으로 대응할 수 있도록 적극 지원하겠다"고 밝혔다.