스마트 컨트랙트 관리부터 검증자 집합까지 아우른 가이드라인 제시
[보안뉴스 조재호 기자] 금융보안원은 디지털자산 생태계를 위협하는 보안 사고를 심층 분석한 정기간행물 ‘딥체인(DeepChain): 디지털자산 인텔리전스’를 창간했다고 6일 밝혔다.

이번 제1호 주제는 ‘크로스체인 보안 위협 분석(Cross-Chain Breaking Point)’으로 선정됐다. 최근 대규모 자산 탈취 사고가 빈발하고 있는 분야다. 크로스체인 사업자는 서로 다른 블록체인 간 연계를 돕는 기관으로 사용자의 디지털자산을 예치(Locking)하고 새로운 형태의 디지털자산을 발행(Minting)하는 징검다리 역할을 수행한다.
국내 금융권도 스테이블코인을 매개로 한 토큰증권(STO) 결제 등 신규 비즈니스를 확장하기 위해서는 크로스체인 사업자와의 기술적 제휴가 필수 불가결인 상황이다. 문제는 일부 크로스체인 사업자들의 보안 거버넌스와 내부통제 체계가 기존 전통 금융권 수준의 통제력을 갖추지 못해 해커들의 집중 표적이 되고 있다는 점이다.
실제로 2022년 3월 출금 승인에 필요한 9개의 검증자 서명키 중 5개가 탈취되며 약 9472억원의 막대한 피해를 입은 로닌(Ronin) 사태를 비롯, 2023년 12월 1245억원 규모의 탈취가 발생한 오르빗(Orbit), 2026년 4월 검증 인프라 침해로 4432억원의 자산이 무단 발행된 켈프다오(KelpDAO) 등 대형 사고가 연이어 발생하고 있다.
금융보안원은 보고서를 통해 국가 배후 해킹 그룹의 공격 기법을 분석했다. 과거 전통 금융망 해킹이 주로 인프라 취약점을 뚫는 방식이었다면 최근 크로스체인 공격은 ‘인적 취약점’을 집요하게 파고든다. 출금 및 발행의 중요 권한을 보유한 연계 사업자의 핵심 엔지니어를 타깃으로 삼아 채용 플랫폼 등 SNS를 통해 접근한 뒤 정상 파일로 정교하게 위장한 악성코드를 유포하여 단말기를 감염시키는 사회공학 기법이 주된 초기 침투 루트로 활용되고 있다.
이는 곧 크로스체인 생태계의 취약성이 알고리즘이나 코드의 결함에만 있는 것이 아니라 강력한 권한이 소수의 인적 자원에 집중되는 중앙집중식 권한 부여 구조에 있음을 시사한다. 외부 채용 제안 등 극히 개인적인 접점을 통해 권한자의 단말기가 침해될 경우 ‘스마트 컨트랙트’ 기반의 아무리 완벽한 자산 락업(Locking) 로직이라도 속수무책으로 뚫릴 수밖에 없음을 국가 배후 조직들이 증명하고 있는 셈이다.
보고서는 이러한 인적 위협을 상쇄하기 위한 방어 논리로 자금 예치 및 발행 이벤트를 철저히 검증하는 ‘다중 서명’ 기반의 다수 검증자 구성과 안전한 서명 임계치(예: 5개 서명 권한 중 3개 이상 요구) 확보를 필수 대응 방안으로 제시했다. 더불어 시장 시세 조작 방지를 위한 외부 데이터 참조 무결성 확보 역시 거버넌스의 핵심 요소로 꼽았다.
박상원 금융보안원 원장은 “디지털자산 보안 사고는 고객의 직접적인 자산 피해로 이어질 수 있을 뿐 아니라, 디지털자산 생태계 전반에 대한 신뢰를 저해할 수 있다”며 “국내 디지털자산 시장이 제도화의 초기 단계에 있는 만큼, 디지털자산 관련 업무 기획·개발·운영 전 단계에서 보안을 내재화하는 것이 중요하다”고 말했다.
[조재호 기자(zephyr@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>














