카카오 블록체인 플랫폼 클레이튼 기반 디파이 서비스 클레이스왑 해킹 책임을 두고 클레이스왑 개발사 오지스와 카카오 사이의 책임 공방전이 펼쳐지고 있다.
앞서 지난 3일 클레이스왑에서 22억 원 가량의 암호화폐가 해커에게 탈취당하는 사건이 발생했다. 이와 관련 클레이스왑 개발사 오지스는 "정체를 알 수 없는 해커 집단이 대략 7개월에 걸쳐 치밀한 준비를 하여 BGP 하이재킹이라는 방법으로 해킹한 것으로 판단된다"고 분석했다.
BGP(Border Gateway Protocal)이란 라우팅 프로토콜의 일종이다. 서로 다른 AS(네트워크 관리자가 관리하는 도메인)를 연결해 주는 경계 게이트웨이 프로토콜이다. 상호 간의 신뢰를 기반으로 고안되어 근처에 있는 BGP 피어가 보내는 라우팅 정보는 무조건적으로 신뢰한다는 보안 취약점이 있다.
BGP 하이재킹이란 이러한 BGP 프로토콜의 취약점을 활용해 다른 BGP 피어가 가진 라우팅 정보 값을 조작하여 해커가 지정한 주소로 보내는 방법이다. 즉, 목적지 IP를 변경시켜 사용자는 정확한 IP 주소를 사용해도 해커가 지정한 사이트에 접속하도록 유도하는 해킹 방식을 뜻한다.
오지스는 "클레이스왑에서 BGP 하이재킹이 이뤄지던 약 1시간 30분 동안 KT 등 일부 ISP 사업자들의 인터넷 망을 통한 해당 카카오 서버로의 접속이 차단되어 카카오의 여러 서비스에 동시다발적으로 장애가 발생했다"고 말했다.
클레이스왑은 마케팅 목적으로 카카오 SDK(소프트웨어 개발 키트)라는 파일을 동적 로딩하고 있다. 오지스는 "이번 해킹은 클레이스왑의 프론트 코드, 시스템, 스마트 계약 등 보안 이슈가 아닌 외부 네트워크망에 의한 공격으로 인해 카카오 SDK 파일이 정상 서버가 아닌 공격자의 서버로 연결되어 발생한 것"이라고 말했다.
이어 "절차 상 카카오 등 관계사와의 협의를 통한 정확한 규명 및 책임 소재에 따른 보상 재원의 조성 등이 필요하나, 피해자가 당면한 고충과 불안감을 해소하고자 유출 자산에 대해 탈취 당한 22억 원을 전액 오지스의 비용 부담으로 선제적인 보상을 진행하기로 결정했다"고 덧붙였다.
회사는 "클레이스왑의 카카오 SDK를 동적 로딩하는 소스코드를 삭제하여 같은 문제가 발생되지 않도록 조치했다"고 설명했다.
오지스는 이번 해킹 사고의 책임이 카카오 측에 일부 있다고 판단한 것으로 보인다.
개발사는 "해커 집단이 언제든 같은 방식으로 해당 카카오 서버로의 요청을 가로채 악성 코드를 활용하는 다른 피해를 양산할 수 있다는 리스크가 여전히 상존해 카카오 및 ISP 업체의 보안 강화 필요성이 대두되고 있다"고 주장했다.
오지스는 "카카오에선 BGP 하이재킹이 서버가 직접적으로 해킹된 것은 아닌 외부 네트워크의 공격에 의한 것이라는 입장이나, 카카오, 네이버 등 대부분의 국내 대형 AS사업자들은 RPKI를 사용하지 않고 있어 BGP 하이재킹에 대응하기 어렵다"고 설명했다.
이어 "국내 AS사업자들이 RPKI를 사용하지 않는 배경에는 ISP 사업자와 AS 사업자가 동시에 RPKI를 적용할 때 효과적이나 현재 대부분의 ISP사업자가 RPKI를 적용하지 않고 있어 실효가 적다고 판단했기 때문으로 보인다"고 덧붙였다.
RPKI(Resource Public Key Infrastructure)란 AS 넘버와 IP 프리픽스 정보를 가진 라우트 정보를 암호키로 사인하고 검증하는 기법이다. BGP 하이재킹을 사전에 방지하는 대표적인 솔루션으로 손꼽히낟.
오지스는 "그럼에도 불구하고 만약 카카오가 RPKI를 선제적으로 적용하고 있었다면 해킹 피해를 줄일 수 있었을 것으로 보인다. 이에 카카오를 포함한 국내의 모든 AS사업자 및 ISP사업자들이 하루빨리 RPKI를 구축하는 등 철저한 보안 대책을 구현해야 한다"고 끝마쳤다.
이에 카카오는 클레이스왑 해킹 사고와 카카오 서버는 무관하다고 말했다. 카카오 관계자는 핀포인트뉴스에 "클레이스왑에서 발생한 상황은 카카오 SDK 보안 취약이나 공격받아 생긴 것이 아니다"라고 말했다.
회사는 "BGP 교란행위로 인해 카카오 개발자 사이트 서버와 동일한 IP를 외부 서버에 할당해 해커가 트래픽을 가로채고, 카카오 SDK로 가장한 악성 코드를 내려받도록 한 것으로 보인다. 카카오 서버나 카카오SDK 자체는 외부에서 공격받은 적 없다"고 설명했다.
RPKI 적용 여부에 대해서는 "현재 국내 사업자 중에서 적용한 선례가 없어 어렵다"고 말했다.