김석환 위믹스 재단 대표가 17일 경기도 성남 분당구 판교 한컴타워에서 열린 위믹스 가상화폐 해킹 피해 관련 긴급 간담회에서 발언하고 있다. 연합뉴스 “해킹 사고 통렬하게 반성합니다.”
최근 90억원대의 해킹 공격을 받은 위메이드의 블록체인 자회사 위믹스 재단이 내부 정보 관리 소홀로 피해가 번졌을 가능성을 조심스럽게 제기했다. 빠른 서비스 재개에 총력을 기울이면서도 가치 복구를 위한 바이백(시장 매수)은 시장 충격을 최소화하기 위해 신중하게 접근하겠다는 입장이다.
김석환 위믹스 재단 대표는 17일 경기도 성남시 한컴타워에서 열린 위믹스 해킹 관련 긴급 기자간담회에서 “이번 사고를 통렬하게 반성한다. 빠른 생태계 정상화와 재발 방지에 최선을 다하고 있다”고 말했다. 그는 이날 총 네 차례 고개 숙여 투자자들과 서비스 이용자들에게 사과를 전했다.
앞서 위믹스 재단은 4일 홈페이지에 ‘악의적인 외부 공격으로 865만4860개의 위믹스 코인이 비정상 출금됐다’고 공지했다.
김 대표에 따르면 위믹스 재단은 지난 2월 28일 오후 1시 47분쯤 처음 해킹 사실을 인지했다. 이어 오후 2시 33분 긴급 대응 TF(태스크포스)를 구성해 초도 대응에 나섰다. 관련된 서버와 네트워크, 컨트랙트(계약), 엔진 모듈 등의 가동을 모두 중지했다.
같은 날 오후 4시에는 외부 보안 전문가와 대응을 위한 협의를 시작하며 피해 규모와 원인 파악에 나섰다. 1시간 뒤에는 서울경찰청 사이버수사과에 고소장을 접수하고, 해외 거래소에 자산 동결 공문을 발송했다.
위믹스 재단이 추적한 결과 해킹 공격이 발생한 날 자정 탈취 자산의 80% 이상이 추적이 힘든 해외 거래소에서 매도된 것으로 파악됐다.
이 과정에서 위믹스 재단은 처음 해킹 정황을 확인하고 5일이 지나서야 피해 사실을 공지해 투자자들로부터 뭇매를 맞았다. 위믹스 재단은 “사고를 은폐하려는 의도는 결코 없었다”고 강조했다.
김 대표는 “3월 3일 탈취 자산의 99.99%에 대한 흐름을 확인했고 급격하게 시장 물량이 쏟아질 일은 없다고 판단해 3월 4일 새벽에 공지를 하게 됐다”며 “침투 패턴이 특정되지 않은 상태에서 공지하면 또 다른 공격에 노출될 가능성도 있어 기술적인 조치와 검토가 필요했다”고 설명했다.
위메이드 사옥. IS포토메이드 사옥. IS포토
아직 뚜렷한 원인이 나오지 않았지만 2023년 7월경 한 작업자가 서비스 개발 편의성을 위해 공용 저장소에 보안과 직결된 자료를 올려놓은 것이 빌미가 된 것으로 보고 있다.
공격자는 해당 정보로 대체불가토큰(NFT) 플랫폼 ‘나일’의 서비스 모니터링 시스템용 인증키를 탈취해 시스템 정보를 획득했다. 최소 2개월의 준비 기간을 거쳐 자금 이동을 위해 서명을 생성하는 서버를 조작해 총 15건의 공격 트랜잭션(거래)을 시도해 위믹스 코인을 탈취한 것으로 추측된다.
위믹스 재단은 시스템 관리에 허점이 있었던 사실을 인정했다.
안용운 위메이드 CTO(최고기술책임자)는 “(해커가 악용한) 모니터링 시스템 자체가 외부에 노출된 서비스이기도 하고 중요도가 상대적으로 떨어져 관리 대상에서 누락됐다. 회사의 불찰”이라고 말했다. 그러면서 지금은 인증 키와 인프라 등을 전부 교체해 동일한 사고가 발생할 확률이 극히 낮다고 자신했다.
위메이드와 위믹스 재단은 회사가 신성장 동력으로 키우는 블록체인 생태계의 빠른 정상화에 일단 총력을 기울일 방침이다. 약 1년간 280억원에 달하는 바이백 계획을 앞서 밝힌 바 있다.
구체적인 바이백 계획을 묻자 김석환 대표는 “모자란 재원은 위메이드 전사 차원에서 동원하는 방법도 추후에 논의할 것”이라며 “코인 가치 급등 등 시장 가격 조작 문제를 배제하기 위해 바이백 기간을 길게 잡았다”고 말했다.
현재까지 회사가 분석한 내용을 종합하면 북한의 해킹 그룹 ‘라자루스’나 내부자가 연관됐을 가능성은 크지 않은 것으로 전해졌다.
김 대표는 “위믹스는 글로벌 블록체인 게임 플랫폼 중에서도 손에 꼽히는 트래픽을 보유하고 있다”며 “위믹스 생태계 성장을 위한 재단과 위메이드의 의지는 변함이 없고 오히려 전화위복의 기회로 가져가기 위해 더 노력할 것”이라고 말했다.