오지스, 오르빗 브릿지 이더리움 볼트 익스플로잇 관련 입장 발표
오지스, 전직 CISO에 대한 의혹 제기하며 민·형사 절차 진행 중...책임 전가 우려도
북한 라자루스 해킹 그룹 소행 가능성도 제기...현재 국정원, 경찰청, KISA 조사 중
[보안뉴스 김영명 기자] 오르빗 브릿지 이더리움 볼트 운영사인 오지스(Ozys)가 올해 새해 첫날부터 발생한 사이버 공격 사태로 대한 입장문을 발표했다. 이번 입장문은 최진한 대표 명의로 올라왔으며, 1월 1일 홈페이지에 공격이 발생했다고 언급한 이후 지금까지 수사 과정에 대해 언급했다.
▲오르빗 브릿지 운영사인 오지스가 올해 초 발생한 사고에 대한 입장문을 발표했다[자료=오지스 홈페이지]
사고 이후 오지스는 자체 조사, 보안업체 티오리(Theori)의 감사, 국가정보원, 경찰청, 한국인터넷진흥원(KISA)의 조사 및 수사를 통해 지금까지 확인된 내용을 설명했다.
최진한 대표는 “예기치 못한 익스플로잇에 대해 책임을 통감하며, 개발사로서 심려 끼쳐드리게 돼 깊이 사과드린다”며 “여전히 익스플로잇의 정확한 원인 규명을 위한 조사와 수사가 진행되고 있고 가능한 시점이 되면 수사기관의 협조 하에 이슈 리포트를 투명하게 공개할 계획”이라고 밝혔다.
입장문에 따르면, 오지스는 1월 1일 5시 52분부터 6시 25분까지 총 여섯 차례에 걸쳐 신원 불상의 공격을 받았다. 해당 공격으로 오르빗 브릿지 이더리움 볼트 내 ETH(이더리움), WBTC(랩트비트코인), USDT(테더), USDC(유에스달러코인), DAI(다이) 등 5개 자산에서 약 8,150만 달러 규모(탈취 시점 기준)의 탈취가 발생했다. 탈취 자산은 ETH와 DAI로 교환된 후, 8개의 지갑으로 분산돼 이동 없이 보관돼 있다.
오지스 개발팀은 밸리데이터 그룹 채널을 통해 사건 발생 40여분 뒤인 7시 5분 처음 사건을 인지, 초기 대응을 시작했다. 이어 7시 21분에 추가 피해 방지를 위해 이더리움 볼트 가동을 정지했으며, 9시 무렵에는 보안 파트너 티오리 사와 공동 대응 및 추적을 시작했다. 10시 경 서울경찰청 신고, 10시 20분 탈취 자금 이동 상황 파악 완료, 10시 35분 KISA에 신고를 마쳤다. 그 이후 북한 라자루스 해킹 그룹의 소행과 수법이 유사하다는 복수의 제보를 받고 국가정보원에도 신고를 접수하고 조사를 이어가고 있다.
최진한 대표는 “확인된 바에 따르면 이번 익스플로잇 공격은 오르빗 브릿지 스마트 컨트랙트의 취약점, 밸리데이터 키 탈취에 의해 발생한 것은 아니”라며 “명확한 원인 규명을 위해 최근 발생했던 국내외 네트워크 및 서비스 공격 사례들과의 연관성을 살피고 코드나 외부 솔루션의 취약점, 장기간 계획된 지능형 공격 등 모든 가능성을 열어 두고 있다”고 말했다.
지금도 국정원 국가사이버안보센터, 경찰청 사이버테러대응과, KISA 사이버침해대응본부 및 여러 보안업체와 협력해 원인 규명을 위해 조사하고 있으며, 오지스도 긴밀히 협력하고 있다는 설명이다.
최 대표는 “당사는 1월 10일 새로운 보안망 설계를 위해 유지보수 업체와 기존 방화벽 정책을 검토하던 중, 지난해 11월 22일, 오지스 CISO로 재직하던 A씨가 임의로 사내 방화벽의 주요 정책들을 변경한 사실을 인지하게 됐다”고 밝혔다. 이어 “A씨는 오지스 ISMS 인증 취득을 위한 업무를 총괄한 정보보호 전문가로서 11월 20일에 희망퇴직 결정, 그 이틀 후에 돌연 방화벽을 취약하게 만들고 인수인계 과정에서 이에 대해 구두나 서면을 통한 공유 없이 12월 6일자로 퇴직했다”고 밝히기도 했다.
이번 익스플로잇 사건은 시간상 A씨가 퇴직한지 한달이 지나지 않은 시점에서 발생했다. 25년 경력의 보안전문가가 이를 예측하지 못했을리 없다는 판단하에 오지스 측은 A씨에 대한 민형사상 소송 절차를 진행하고 있다고 말했다.
최 대표는 “당사는 오르빗 브릿지 재개 시점 및 브릿지 자산 손실 복구안에 대한 구체적인 방안이 확정되는 대로 공유하겠다”며 “얼마의 시간이 소요되든 모든 자원을 총동원해 공격자를 추적하고 탈취 자산의 동결과 회수를 위해 끝까지 노력할 것”이라고 말했다. 이어 “이번 익스플로잇 공격으로 불편과 고충을 겪고 계신 사용자와 모든 서비스 생태계 참여자들에게도 깊이 사과드린다”며 재차 머리를 숙였다.
이번 사건과 관련해 한국블록체인학회를 이끌고 있는 박수용 회장은 “블록체인 자체 기술보다는 각각의 노드 등 세부적인 기술을 얼마나 끌어올리느냐가 더 중요하다”고 말했다. 박 회장은 “특히 블록체인 시장에서는 망분리 이슈가 가장 중요하다”며 “블록체인 기술 자체는 해킹이나 위변조 문제에 대해서는 안전하지만 운영과 관리와 구현은 철저하게 보안 기술이 적용될 필요가 있다”고 설명했다. 이어 “아직도 블록체인 분야에 대한 보안 시스템은 미흡하며 이를 총체적으로 아우르며 다룰 수 있는 시스템 도입을 위해 정부가 나서야 한다”며 “기술 자체는 있지만 이를 구현하는 데는 부족함이 많기 때문에 조금 더 발빠른 움직임이 필요하다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]
오지스, 전직 CISO에 대한 의혹 제기하며 민·형사 절차 진행 중...책임 전가 우려도
북한 라자루스 해킹 그룹 소행 가능성도 제기...현재 국정원, 경찰청, KISA 조사 중
[보안뉴스 김영명 기자] 오르빗 브릿지 이더리움 볼트 운영사인 오지스(Ozys)가 올해 새해 첫날부터 발생한 사이버 공격 사태로 대한 입장문을 발표했다. 이번 입장문은 최진한 대표 명의로 올라왔으며, 1월 1일 홈페이지에 공격이 발생했다고 언급한 이후 지금까지 수사 과정에 대해 언급했다.
▲오르빗 브릿지 운영사인 오지스가 올해 초 발생한 사고에 대한 입장문을 발표했다[자료=오지스 홈페이지]
사고 이후 오지스는 자체 조사, 보안업체 티오리(Theori)의 감사, 국가정보원, 경찰청, 한국인터넷진흥원(KISA)의 조사 및 수사를 통해 지금까지 확인된 내용을 설명했다.
최진한 대표는 “예기치 못한 익스플로잇에 대해 책임을 통감하며, 개발사로서 심려 끼쳐드리게 돼 깊이 사과드린다”며 “여전히 익스플로잇의 정확한 원인 규명을 위한 조사와 수사가 진행되고 있고 가능한 시점이 되면 수사기관의 협조 하에 이슈 리포트를 투명하게 공개할 계획”이라고 밝혔다.
입장문에 따르면, 오지스는 1월 1일 5시 52분부터 6시 25분까지 총 여섯 차례에 걸쳐 신원 불상의 공격을 받았다. 해당 공격으로 오르빗 브릿지 이더리움 볼트 내 ETH(이더리움), WBTC(랩트비트코인), USDT(테더), USDC(유에스달러코인), DAI(다이) 등 5개 자산에서 약 8,150만 달러 규모(탈취 시점 기준)의 탈취가 발생했다. 탈취 자산은 ETH와 DAI로 교환된 후, 8개의 지갑으로 분산돼 이동 없이 보관돼 있다.
오지스 개발팀은 밸리데이터 그룹 채널을 통해 사건 발생 40여분 뒤인 7시 5분 처음 사건을 인지, 초기 대응을 시작했다. 이어 7시 21분에 추가 피해 방지를 위해 이더리움 볼트 가동을 정지했으며, 9시 무렵에는 보안 파트너 티오리 사와 공동 대응 및 추적을 시작했다. 10시 경 서울경찰청 신고, 10시 20분 탈취 자금 이동 상황 파악 완료, 10시 35분 KISA에 신고를 마쳤다. 그 이후 북한 라자루스 해킹 그룹의 소행과 수법이 유사하다는 복수의 제보를 받고 국가정보원에도 신고를 접수하고 조사를 이어가고 있다.
최진한 대표는 “확인된 바에 따르면 이번 익스플로잇 공격은 오르빗 브릿지 스마트 컨트랙트의 취약점, 밸리데이터 키 탈취에 의해 발생한 것은 아니”라며 “명확한 원인 규명을 위해 최근 발생했던 국내외 네트워크 및 서비스 공격 사례들과의 연관성을 살피고 코드나 외부 솔루션의 취약점, 장기간 계획된 지능형 공격 등 모든 가능성을 열어 두고 있다”고 말했다.
지금도 국정원 국가사이버안보센터, 경찰청 사이버테러대응과, KISA 사이버침해대응본부 및 여러 보안업체와 협력해 원인 규명을 위해 조사하고 있으며, 오지스도 긴밀히 협력하고 있다는 설명이다.
최 대표는 “당사는 1월 10일 새로운 보안망 설계를 위해 유지보수 업체와 기존 방화벽 정책을 검토하던 중, 지난해 11월 22일, 오지스 CISO로 재직하던 A씨가 임의로 사내 방화벽의 주요 정책들을 변경한 사실을 인지하게 됐다”고 밝혔다. 이어 “A씨는 오지스 ISMS 인증 취득을 위한 업무를 총괄한 정보보호 전문가로서 11월 20일에 희망퇴직 결정, 그 이틀 후에 돌연 방화벽을 취약하게 만들고 인수인계 과정에서 이에 대해 구두나 서면을 통한 공유 없이 12월 6일자로 퇴직했다”고 밝히기도 했다.
이번 익스플로잇 사건은 시간상 A씨가 퇴직한지 한달이 지나지 않은 시점에서 발생했다. 25년 경력의 보안전문가가 이를 예측하지 못했을리 없다는 판단하에 오지스 측은 A씨에 대한 민형사상 소송 절차를 진행하고 있다고 말했다.
최 대표는 “당사는 오르빗 브릿지 재개 시점 및 브릿지 자산 손실 복구안에 대한 구체적인 방안이 확정되는 대로 공유하겠다”며 “얼마의 시간이 소요되든 모든 자원을 총동원해 공격자를 추적하고 탈취 자산의 동결과 회수를 위해 끝까지 노력할 것”이라고 말했다. 이어 “이번 익스플로잇 공격으로 불편과 고충을 겪고 계신 사용자와 모든 서비스 생태계 참여자들에게도 깊이 사과드린다”며 재차 머리를 숙였다.
이번 사건과 관련해 한국블록체인학회를 이끌고 있는 박수용 회장은 “블록체인 자체 기술보다는 각각의 노드 등 세부적인 기술을 얼마나 끌어올리느냐가 더 중요하다”고 말했다. 박 회장은 “특히 블록체인 시장에서는 망분리 이슈가 가장 중요하다”며 “블록체인 기술 자체는 해킹이나 위변조 문제에 대해서는 안전하지만 운영과 관리와 구현은 철저하게 보안 기술이 적용될 필요가 있다”고 설명했다. 이어 “아직도 블록체인 분야에 대한 보안 시스템은 미흡하며 이를 총체적으로 아우르며 다룰 수 있는 시스템 도입을 위해 정부가 나서야 한다”며 “기술 자체는 있지만 이를 구현하는 데는 부족함이 많기 때문에 조금 더 발빠른 움직임이 필요하다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
