‘NFT 해킹 주의보’… 오픈씨·‘지루한원숭이들의요트클럽’ 다 뚫렸다

대규모 자금 몰리며 해커들 먹잇감
보안 등 시스템은 여전히 불안정
1분기에 해킹 통해 620억원 도난

지난해 1년새만도 10배 이상 급성장한 대체불가능한토큰(Non-Fungible Tokens, NFT) 시장에 해킹 위협이 급증하고 있다. 오픈씨(OpenSea), 지루한원숭이들의요트클럽(Bored Ape Yacht Club·BAYC) 등 내로라 하는 NFT 플랫폼들이 잇따라 해커들이 먹잇감이 된 것이다. NFT 가 단기간 급성장하면서 대규모 자금이 유통되는 반면, 보안 등 시스템은 시장 성장을 뒷받침할만큼 안정화되지 못한 틈을 노리는 것으로 분석되고 있어 이용자들의 각별한 주의가 요구되고 있다.

■너무 쉬운 NFT 해킹

2일 업계에 따르면 올 1·4분기에만 총 20여건의 대형 NFT 해킹으로 4900만달러(약 620억원) 상당의 NFT가 도난당한 것으로 나타났다.

보안업체 슬로우미스트해킹 분석에 따르면 NFT 해킹의 상당수는 소셜미디어서비스(SNS)를 이용해 이뤄지는 것으로 나타났다. 해커가 소셜미디어 이용자에게 특정 링크가 삽입된 개인메시지를 보내 해킹 프로그램 설치를 유도하거나, 피싱사이트 링크가 담긴 개인메시지를 보내 이용자들이 자신의 지갑을 의심없이 연결하도록 하는 방식 등이다. 그만큼 NFT 해킹이 쉽다는 것이다.

최근 가상자산 업계를 발칵 뒤집어 놓은 BAYC 해킹도 SNS가 이용됐다. 해커는 BAYC의 공식 인스타그램 계정을 해킹한 뒤 '새로운 NFT를 발행(민팅)할 수 있는 링크'라며, 악성코드를 배포했다. 이 해킹으로 300만달러(약 38억원) 상당의 NFT가 도난당한 것으로 알려졌다.

지난달에는 필리핀대학교가 운영하는 공식 트위터 계정 '@upsystem'이 NFT 사기를 목적으로 해킹되는 사건도 발생했다. @upsystem은 20만 팔로워를 가지고 있는데, 사기 조직은 계정명을 '다카시 무라카미(takashi murakami)'로 변경한 뒤 "론칭을 기념하기 위해 '무라카미 플라워 시드(Murakami Flower Seeds)를 에어드롭 한다"는 문구와 피싱 사이트로 연결되는 링크를 함께 게시했다. 다카시 무라카미는 일본의 팝아티스트로 활짝 웃는 꽃 캐릭터로 잘 알려져 있다. 실제 자신의 작품을 '무라카미 플라워 시드'라는 NFT 시리즈로 선보이기도 했다. 사기조직들은 이 트위터 계정을 다카시 무라카미의 공식 계정인 것처럼 속여 가스비를 내도록 유도해 피싱사기를 시도한 것으로 보인다. 피해 규모는 알려지지 않고 있다.

■이용자, NFT 해킹 위험 인식해야

글로벌 최대 NFT 마켓플레이스인 오픈씨도 잇따라 해커들의 공격 대상이 됐다.

지난 1월 75만달러(약 9억원) 상당의 NFT가 도난당한 데 이어, 2월에도 해킹으로 170만달러(약 21억원) 규모의 피해가 발생했다.

이번 공격은 회사의 e메일로 가상한 피싱에 의한 것으로 사용자 17명이 속았고, 이들 중 일부가 NFT를 탈취 당했다.

데빈 핀저 오픈씨 최고경영자(CEO)는 "이번 사건은 피싱 사건이며 오픈씨 웹사이트에서 시작된 것이 아니라고 결론 내렸다"고 말했다.

NFT 해킹을 피하기 위해서는 △소셜미디어에서 낯선 사람과 대화하지 말고 △특히 트위터나 디스코드를 통한 가짜 민팅 사이트에 주의를 기울여야 하며 △공식웹사이트를 통한 공지 외에는 의심할 필요가 있다.

또 △가상자산 지갑 복구 문구는 누구와도 공유하지 않으며 △알 수 없는 링크는 클릭하지 말아야 하고 △다양한 플랫폼에도 동일한 암호를 사용하는 것을 피하며 △중요 자산은 하드웨어지갑에 보관하고 △스마트계약 승인을 제한해야 한다.

ronia@fnnews.com 이설영 기자