웹3와 암호화폐 산업은 분명히 사이버 보안에 대해 배울 것이 많다.

지난 주 위협적인 암호화폐 해킹 사건이 일어났다.이 사건은 하나의 프로토콜이나 애플리케이션뿐만 아니라 하나의 인프라스트럭처에 의존하고 있는 셀 수 없는 수많은 앱들을 위협했다. 그러나 이는 자연스러운 보안 관행으로 방지될 수도 있었을 것이다.

그 사건은 14일(현지시간) 밤에 일어났다. 공격자가 그 하드웨어 지갑 제조사에 의해 유지되는 소프트웨어 구성요소인 레저의 커넥트 키트에 악성 드레인 코드를 주입한 것이다.

패치되기 전 몇 시간 동안, 그 악성 코드는 커넥트 키트를 통해 서비스에 연결된 지갑에서 디지털 자산을 빼앗아갔다. 한 논평가는 그 해킹이 "세계의 모든 웹3 웹사이트"를 손상시킨다고 묘사했다.

다행히도, 암호화폐 사용자들의 피해는 재앙적이지 않았다. 하지만 이 해킹은 레저에게 큰 충격으로 다가왔다. 그 이유는 무엇보다도 간단한 코드 업데이트 모니터링 프로세스만 갖췄다면 100% 막을 수 있었기 때문이다. 손상된 코드가 레저 자신이 아닌 업데이트 모니터링 프로세스 버전을 사용해 제3의 회사인 블록케이드에 의해 최초로 탐지됐다는 사실은 이 사건을 더욱 심각하게 만들고 있다.

많은 실패는 암호화폐와 블록체인 프로젝트 전반에 걸쳐 일반적이고 비슷한 이유로 발생한다. 구체적으로 많은 암호화폐 프로젝트들은 미성숙하거나 부족한 보안환경을 갖췄다. 일반적인 해킹은 취약점을 찾기 위해 특정 코드 조각을 검색하는 것에 초점을 맞추고 있다.

레저 해킹은 취약점이 코드에 전혀 없었기 때문에 이 접근법이 얼마나 제한적인지를 보여준다. 대신 코드를 관리하는 과정에 허점이 있었다. 내부 프로세스 실패를 방지하기 위해 암호 프로젝트는 은행 부문에서 흔히 볼 수 있는 강력한 보안을 표준화 할 필요가 있다는 지적이 나온다.

가장 큰 취약점 '배관문제'

커넥트 키트는 분산된 앱들의 확장된 세계를 위한 일종의 '배관' 역할을 한다. 커넥트 키트는 이론적으로 레저 지갑 사용자가 레저의 하드웨어 동글을 사용하여 저장된 암호화폐에 대한 제3자 앱의 접근을 제어해 준다. 커넥트 키트를 손상시키는 것은 연결된 모든 서비스를 손상시키는 것과 마찬가지다.

러시아가 지원하는 솔라윈즈 해킹으로 악명을 얻은 고전적인 공급망 공격의 새로운 방법으로 불린다. 이는 인프라 소프트웨어를 손상시켰고 지난 2020년에 여러 기업과 기업에 1000억 달러에 달하는 피해를 입혔다고 추산된다. 레저 커넥트 키트 해킹은 몇 시간 만에 해결됐으며, 현재 사용자들은 암호화폐 비용으로 50만 달러 가량의 비용을 지불한 것으로 알려진다.

그러나 레저는 사용자에게 가장 중요한 것은 소프트웨어가 하이퍼 시큐리티라는 점에 깊은 문제를 노출시켰다.

레저에 따르면, 초기 타협안은 레저의 전 직원의 계정에 접근할 수 있는 피싱 공격이었다. 확실히 말하는 것은 불가능하지만, 더 나은 피싱 방지 교육을 제공하는 것이 명백한 프로세스 실패를 막을 수 있었을 것으로 보인다.

하지만 훨씬 더 나쁜 것은 전 직원이 여전히 NPM이라는 타사 서비스를 사용해 관리되는 레저용 자바스크립트 패키지에 접근할 수 있었다는 점이다. 이것은 두 번째 프로세스 실패로 지적되는 문제다. 전 직원들의 코드 접근은, 그들이 퇴사하자마자 즉시 권한을 없애야 한다는 것이다.

하지만 그마저도 진정으로 근본적인 문제점은 아니었다. NPM이 운영하는 자바스크립트 패키지를 변경한 후에 커넥트 키트 코드를 실시간으로 업데이트하는 데 사용하는 것은 일상적인 일이었으며, 사람의 검토나 승인은 전혀 없었다. 그것이 세 번째 프로세스 실패이며, 특히 심각한 일이다.

실시간 코드 데이터베이스로부터의 자동 업데이트는 종종 "CDN(콘텐츠 전송 네트워크)로부터의 로드"라고 불린다. 이를 통해 사용자의 상호 작용 없이 애플리케이션을 빠르고, 자주, 그리고 빠르게 업데이트할 수 있다. 그러나 이 방법은 큰 취약점을 만들어냈는데, 이는 변경 사항이 의도되고 공식적인지 확인하기 위한 확인이 없었기 때문이다.

해커가 NPM의 자바스크립트 패키지 안에 들어가더라도 그들과 사용자들의 지갑을 통제하는 코드 사이에는 사실상 아무 보안장치가 없었다. 로키의 이더리움 개발자 레프테리스 카라페타스는 이 라이브 업데이트 방법의 사용을 미친 것으로 묘사하며 비판했다.

'감사'의 중요성

블록체인 기업들이 자주 언급하는 보안 '감사'라는 언어가 때로는 오해를 불러일으킬 수 있는 이유다.

공식적인 재무 감사는 단지 한 특정한 순간에 회사의 모든 돈이 원래 있어야 하는 곳에 있는지 확인하는 문제가 아니다. 회계 감사는 회사의 전반적인 자금 처리 관행에 대한 완전하고 끝까지 검토하는 것이다. 재무 감사를 수행하는 공인회계사는 은행 명세서와 수익 번호만을 보는 것이 아니라, 기업의 내부 통제를 평가하고 사기 위험을 평가하도록 요구된다.

하지만 사이버 보안의 감사는 회계에서와 같은 포괄적이고 공식적인 의미를 갖지 않는다. 많은 보안 감사는 대부분 특정 시점에서의 코드 리뷰가 유일하다. 회계감사로 치면 단순히 현재의 은행 잔액을 검토한 재무 감사에 불과한 것이다. 코드 리뷰는 분명히 중요하지만, 실제 보안의 시작일 뿐이지 끝이 아니다.

사이버 보안 검토는 공식적이고 체계적인 프로세스를 통해 기업의 전체 개발 라이프사이클을 평가해야 한다. 여기에는 품질 보증을 포함한 개발 라이프사이클의 다양한 단계를 검토하는 것과 발생 가능한 위험을 식별하는 위협 분석을 개발하는 것을 의미한다. 피싱 예방과 같은 것에 대한 내부 보안 검토도 포함된다. 그리고 특히 레저 사건과 관련된 변경 관리 프로세스도 점검해야하는 것이 필수다.

암호화폐 산업이 성숙함에 따라 이러한 보안 기준을 충족하기 위해 투자하는 기업들이 신뢰를 얻을 것이다. 이를 간과한 나머지 기업들은 실패라는 낙인이 찍힐 것이다.

※해당 카지노 민회장는 Fortune.com 원문을 바탕으로 작성됐습니다.

글 DAVID SCHWED &김동현 기자