공격자에 의해 해당PC가 빗썸 내부 서버와 접속한 것으로 파악돼 암호화폐 탈취의 직접적 원인이 됐을 가능성을 높게 보고 조사중이다.
27일 관련 업계에 따르면 경찰 조사 과정에서 빗썸에서 근무하는 외주 직원 PC가 침해당한 것으로 확인됐다.
해당 PC는 악성코드(웹셸)가 심어진 빗썸의 내부 서버와 통신했다. 이 내부 서버는 디지털 저작권 관리(DRM) 서버로 알려졌다. 현재까지는 초기 침투가 이뤄지고 난 뒤 시스템 운영 등의 권한을 가진 해당 직원PC에 침범한 것으로 분석된다.
웹셸은 해커가 악의적인 목적으로 웹서버에서 임의의 명령을 실행할 수 있도록 제작한 프로그램이다. 외주 직원PC에서 DRM 서버에 명령을 내릴 수 있었다는 의미다.
조사당국 관계자는 “외주 직원PC가 내부 서버에 설치된 ‘웹셸’에 접속한 것으로 분석됐다”며 “DRM 서버를 장악해 (동일 네트워크에 있는) 모든 PC와 서버에 접근할 수 있었을 것으로 보인다”고 말했다. 해킹 공격의 교두보가 마련됐다는 뜻이다.
익명을 요구한 보안업계 관계자는 “내부 서버에 웹 인터페이스가 있어 내·외부망에 연결돼 있었고, 이를 통해 내부망 침투가 이뤄진 것으로 보인다”고 말했다.
최상명 하우리 실장은 “해커가 내부 서버에 먼저 웹셸을 심고 권한을 가진 외주 직원이 접속하기를 기다렸거나, (초기 침투 후) 외주 직원을 통해 DRM 서버에 웹셸을 심고 핫월렛(인터넷에 연결된 암호화폐 서버)에 접속하는 두 가지 시나리오가 가능할 것”이라고 설명했다.
다만 최초 침투 경로, 핫월렛과 연계된 개인키 탈취 여부 등은 아직 구체적으로 확인되지 않았다. 정황상 핫월렛의 키가 탈취된 것으로 업계는 보고 있다.
보안업계 관계자는 “핫월렛에서 코인을 인출하려면 반드시 키가 있어야 한다”며 “키 관리가 (거래소 보안의) 핵심”이라고 말했다.
또한 “콜드월렛은 멀티시그가 적용돼 있어 (암호화폐 탈취가) 거의 불가능하지만 핫월렛의 경우 현재 실시간 거래 등 운용 문제로 멀티시그 방식을 적용한 곳이 없다”고 설명했다.
멀티시그는 여러 개의 키를 만들어 나눠갖고, 지갑을 열려면 두 개 이상의 키를 가져와야 하는 방식이다. 키를 나눠 보관하는 경우 실시간 거래가 거의 불가능해진다.
다만 개인키를 탈취하지 못해도 인출이 불가능한 것은 아니다. 데이터베이스(DB)에 대해 완전한 접근권한을 획득한다면 키 적용 이후 단계로 직접 이동할 수 있다. 실제로 유빗 해킹 사고의 경우 해커가 직접 핫월렛 키를 탈취하진 않았으나, 내부에서 DB를 조작해 악성 트랜잭션(출금 등)이 일어나게 했다.
빗썸 해킹 사고는 현재 경찰과 한국인터넷진흥원(KISA)이 수사중인 사안이어서 아직 정확한 원인 규정은 어렵다.
이동근 한국인터넷진흥원(KISA) 침해사고분석단장은 “경찰과 함께 가능성이 있는 여러 해킹 경로를 놓고 분석중”이라며 말을 아꼈다.
빗썸 관계자 역시 “아직 구체적인 원인과 (침입) 경로가 확정되지 않았다”며 “현재 여러 가능성을 두고 외부 기관과 조사중으로 명확한 결과가 나오면 밝힐 예정”이라고 전했다.
김국배기자 vermeer@inews24.com
http://news.inews24.com/php/news_view.php?g_serial=1104028&g_menu=020830