암호화폐 거래소의 취약점을 발견한 보안연구원이 이를 악용해 암호화폐를 탈취하는 사건이 발생했다.
20일 해커뉴스 등 외신에 따르면 암호화폐 거래소 크라켄(Kraken)은 익명의 보안 연구원이 거래소 플랫폼의 '치명적인' 제로데이 결함을 악용해 300만 달러 상당의 디지털 자산을 훔쳤다고 밝혔다.
닉 페코코 크라켄 최고 보안 책임자(CSO)은 "지난 9일 한 보안 연구원이 인위적으로 거래 잔액을 부풀릴 수 있는 취약점을 버그바운티 프로그램을 통해 신고했다"고 말했다.
버그바운티 프로그램은 제품이나 시스템에서 보안 취약점을 찾아낸 사람에게 포상금을 지급하는 제도다.
닉 페코코 CSO는 "보고서를 받은 후 취약점을 바로 해결했다"며 "현재는 이로 인한 문제가 발생하지 않는다"고 밝혔다.
문제는 취약점을 신고한 보안 연구원이 이미 이를 악용해 크라켄 계좌에서 약 300만 달러 상당의 암호화폐를 탈취한 것으로 확인됐다는 점이다.
닉 페코코 CSO는 "해당 연구원이 탈취한 자산은 크라켄의 내부 금고에 있던 것"이라며 "고객 자산에는 영향을 미치지 않는다"고 밝혔다.
이어 "이 보안연구원은 비즈니스 개발팀과 통화를 요구하며 이 취약점을 공개하지 않았을 때 발생할 수 있는 피해 금액을 산정해 보상금액을 제공할 것을 강요했다"며 "만약 비용을 지불하지 않는다면 암호화폐를 반환하지 않을 것이라고 협박했다"고 말했다.
관련기사
- "韓 보안 제품 노리는 北"…국정원, 사이버 위협 동향 이례적 공유2024.06.18
- "하루에 한 번만 공격" 보안우회하는 저강도 공격 어떻게 막을까2024.06.13
- "작년 랜섬웨어 변종만 50개 이상"…주요 특징은?2024.06.10
- 美 FBI, 락빗 랜섬웨어 암호화 해독 키 무료 제공2024.06.07
현재 크라켄은 이번 사건을 법 집행 기관에 형사 사건으로 신고하고 해결을 위해 논의 중인 상황이다.
닉 페코코 CSO는 "이것은 화이트해킹이 아닌 갈취"라며 "보안 규칙을 무시하고 회사의 자산을 갈취하면 보안연구원으로서의 해킹 라이센스가 취소되고 범죄자로 신고할 수밖에 없다"고 강조하며 관련 당사자들에게 훔친 자금을 돌려줄 것을 촉구했다.
