자꾸 털리는 내 '고릴라'…메타버스·NFT 보안, 정부가 해결해줄까

/사진='메타콩즈' 홈페이지 캡처

가상세계 보안이 위태롭다. 해외뿐 아니라 국내 주요 프로젝트에서도 보안 이슈가 연달아 터지면서 정부와 한국인터넷진흥원(KISA)은 블록체인 기업 및 보안업체 등으로 구성된 '보안협의체'를 구성, 연말까지 보안 지침서를 제작하겠다는 계획이다. 그러나 일각에선 블록체인 생태계 전반을 아우를 수 있는 제도 마련이 시급하다고 본다.
자꾸 털리는 NFT…정부-KISA "연말까지 보안 지침서 마련"대체불가토큰(NFT) 민팅(Minting·발행) 플랫폼 '프리민트'는 지난 17일 약 5억원 규모의 NFT가 도난되는 등 악성 자바스크립트로 인한 사이버 공격 피해를 입었다. 가상자산 전문매체 디크립트에 따르면, 도난당한 NFT는 약 320개로 '지루한 원숭이들의 요트 클럽(BAYC)'과 '아더사이드(Otherside)' 등 유명 프로젝트들도 포함됐다. 해커들은 '오픈씨'(OpenSea) 등 거래소에 훔친 NFT를 판매한 것으로 전해졌다.


보안이 흔들리는 건 국내 상황도 마찬가지다. 고릴라 캐릭터 NFT 프로젝트 '메타콩즈'도 올 4월 디스코드 해킹으로 약 4500만원 상당의 피해를 입은 데 이어, 지난 14일 재차 보안망이 뚫렸다. 메타콩즈 측에 따르면 해당 사안은 30여분 이내 조치됐으며 금전적 피해는 없는 것으로 확인됐다. 프로젝트를 이끄는 이두희 멋쟁이사자처럼 대표는 자신의 트위터에 "해킹 재발을 진심으로 사과드리며 관련자 전원 중징계 및 무게에 따라 권고사직을 경영팀에 요청했다"면서 "스스로 감봉하겠다"고 사과글을 올렸다.

/사진='프리민트' 홈페이지 캡처

보안 문제가 이어지자 과학기술정보통신부와 KISA는 최근 '메타버스·NFT 보안협의체'를 구성했다. 과기정통부에 따르면 협의체에 참여하는 곳은 △메타버스산업협회 △통신·포털 5개사 △금융 1개사 △서비스 플랫폼 2개사 △블록체인 기술 개발 5개사 △거래소 3개사 등 수요 영역과 한국정보보호산업협회 및 정보보안 업체 8곳으로 구성된 공급영역으로 나뉜다. 과기정통부과 KISA는 앞으로 협의체 참여 기관 및 기업 수를 확대하겠다는 계획이다.

실질적으로 협의체를 주도할 KISA가 제공한 '보안협의체 구성 및 운영계획'을 보면 협의체는 운영위원회, 운영사무국, 분과위원회(메타버스 보안 기술·NFT 보안 기술·정책 및 제도)로 세분화된다. 협의체는 사이버 보안 기술 이슈와 피해 사례를 분석·공유하고, 시범사업 기획·실증 및 표준 모델 개발 등의 활동을 이어간다. 과기정통부에 따르면 필요성이 인식되는 실증사업안이 도출될 경우 정부 차원의 예산 지원도 검토 중이다.

특히 도출된 요구사항을 토대로 보안 가이드라인을 마련하는 게 협의체 운영의 주요 목표다. KISA 관계자는 "산업 발전과 이용자 보호의 균형을 맞춘 유연한 가이드를 만들겠다는 것이 본 취지"라며 "디스코드 같은 커뮤니티 이용 등 서드 파티(Third Party)의 연결고리에서 발생하는 보안 문제가 훨씬 많다. 연말까지 보안지침서를 제작해 산업 성장에 방해되지 않는 선에서 기본적인 이용자 보호 방안을 제시할 계획"이라고 설명했다.
전문가들 "블록체인 생태계 아우르는 장치 필요"

24일 오후 3시20분 NFT 거래소 '오픈씨'(OpenSea)에 업로드 된 24시간 내 상위 NFT 컬렉션 순위. /사진='오픈씨' 홈페이지 캡처

일각에선 협의체 활동도 중요하지만 스마트 컨트랙트 등 블록체인 전반을 위한 제도 장치 마련이 우선이란 목소리도 나온다. 스마트 컨트랙트란 블록체인 기술을 통해 제3의 인증기관 없이도 개인간 계약이 가능하도록 하는 기술이다. 최근 스마트 컨트랙트의 보안 취약점을 이용해 러그풀(투자금 먹튀)을 목적으로 디파이(DeFi·탈중앙화금융) 프로젝트를 진행하는 등 위험 사례도 벌어지고 있다.


이에 전문가들은 '스마트 컨트랙트 보안감사'(Smart contract audit) 장치 의무화가 필요하다고 조언한다. 이는 스마트 컨트랙트 운영의 기술적 점검을 통해 서비스 안정성을 유지하는 조치다.시 △블록체인상 기술적 버그 유무 및 보안상 설계 문제 △운영자나 노드 등 특정인에게 과도한 권한 부여 여부 △연관된 지갑 등의 외부 노출 차단 여부 △디도스(DDoS) 공격 및 코딩상 구조 설계 문제로 외부해킹 발생 가능성 점검 △네트워크의 자산 안전 보관 여부 등을 종합적으로 점검하는 과정이다.

최화인 블록체인 에반젤리스트는 "기술적으로 블록체인 코드나 보안 설계에 대한 이해도를 상당히 요하는 일이기 때문에 전 세계에서 스마트 컨트랙트 보안감사를 제대로 진행해 돌아가는 체인은 많지 않다"며 "디파이나 탈중앙화 가상화폐 거래소(DEX)는 아예 이런 요건 자체가 없어 위험에 그대로 노출되는 경우가 많지만, 중앙화된 거래소의 경우 보안감사 확인서를 프로젝트에 요구하고 있어 문제 발생 가능성이 상대적으로 낮다"고 말했다.

장경필 쟁글 분석팀장은 "현재 정부가 가산자산 사업자들을 규제하는 상황이기 때문에 보안 관련 솔루션을 개발·운영 중인 업체를 통해 이슈를 보완하는 방향은 적합하다"며 "예컨대 거래소 토큰 상장시 스마트 컨트랙트 보안감사 절차를 의무화하는 방식으로 관리하는 것도 하나의 방법"이라고 전했다.