P2E(Play to Earn) 게임 선두주자로 꼽히는 ‘액시 인피니티’가 약 7500억원 규모의 해킹 피해를 당한 사실이 알려지면서 암호화폐 보안 문제가 다시 수면 위로 부상하고 있다. 특히 이번 해킹이 복수의 블록체인을 연결하는 브릿지를 노렸다는 점에서 유사한 기술을 사용하는 디파이(DeFi)의 신뢰성까지 흔들린다.
앞서 로닌네트워크를 이용하는 P2E 게임 액시 인피니티는 23일 해커로부터 공격을 당해 17만3600이더리움(ETH)과 2550만USD코인(USDC)을 해킹당했다. 이는 현재 환율 가치로 6억1500만달러(약 7500억원)이다. 공격 당시 가치는 5억4000만달러(약 6500억원)다.
해커는 일명 ‘브리지’의 보안 취약점을 악용해 해킹을 감행한 것으로 알려졌다. 브릿지는 암호화폐를 다른 네트워크에서 사용할 수 있도록 변환하는 소프트웨어다. 암호화폐에 접근할 수 있는 프라이빗 키를 해킹한 해커들이 두 차례에 걸쳐 암호화폐를 인출한 것으로 전해진다.
이 과정에서 로닌 측은 늑장 대처로 논란을 자초했다. 로닌 측은 해킹이 발생한 지 6일 뒤인 지난 29일에야 해킹 사실을 발견했기 때문이다. 한 로닌 사용자가 자신의 암호화폐를 입·출금할 수 없다고 신고했고, 이를 조사하던 중 뒤늦게 사건을 인지한 것이다.
로닌 측은 "우리는 범죄자들이 법의 심판을 받을 수 있도록 다양한 정부 기관과 직접 협력하고 있다"며 "사용자 자금이 손실되지 않도록 하는 방법을 액시 인피니티 측과 논의하고 있다"고 밝혔다. 액시 인피니티 개발사인 스카이 메이비스 역시 모든 자금을 복구해 변상하겠다고 약속했다.
대규모 암호화폐 해킹 사건이 이어지면서 보안을 우려하는 목소리가 커진다. 지난해 8월에는 디파이(DeFi, 탈중앙화금융) 사이트인 폴리 네트워크에서 6억1100만달러 규모의 암호화폐가 해커들에 의해 탈취당했다. 2018년에는 일본 암호화폐 거래소인 코인체크에서 580억엔(약 5800억원) 상당의 암호화폐가 도난당하기도 했다. 당시 피해자만 약 26만명에 이른다.
피해 회복이 쉽지 않다는 점도 우려를 키우는 이유다. 블록체인 데이터 분석 업체인 머클 사이언스의 리샤브 라이 책임 연구원은 "우리 경험상 회복 가능성은 낮다"며 "암호화폐 해킹과 강탈 사건을 찾아보면 자금이 회수되는 경우는 거의 없다"고 말했다.
보안 취약점으로 작용한 브리지를 지적하는 목소리도 이어진다. 보안 서비스 플랫폼 이뮤니파이의 에이드리언 헷먼은 "브리지는 제대로 구축하기가 매우 어렵고, 공격받을 수 있는 지점도 일반 디파이 프로젝트보다 훨씬 많다"며 "아직 개발 중인 분야다"고 꼬집었다.
앞서 암호화폐 이더리움의 창시자인 비탈릭 부테린은 브리지에 근본적인 보안상 한계가 있어 암호화폐 영역 내에서 오래 사용되지 않을 것이라고 주장하기도 했다.
임국정 기자 summer@chosunbiz.com