블록체인 보안업체 퀀트스탬프(Quantstamp)가 지난 8일(현지시간) 발생한 휴머니티(Humanity·H) 토큰 보안 사고에 대한 조사 결과를 공개하며 북한(DPRK) 연계 해킹 조직의 소행일 가능성이 높다고 밝혔다.

퀀트스탬프가 발표한 사고 보고서에 따르면 이번 공격은 스마트컨트랙트 자체의 취약점이 아니라 피싱 공격을 통한 내부 계정 탈취에서 시작된 것으로 나타났다.

조사 결과 해커는 먼저 휴머니티 임원의 기기에 피싱 공격을 수행해 원격 접속 권한을 확보했다.

이후 기기에 저장돼 있던 월렛 데이터와 프라이빗키(개인키)를 탈취한 뒤 프로젝트의 핵심 권한을 확보했다.

공격자는 확보한 권한을 이용해 H 토큰 스마트컨트랙트를 업그레이드했으며, 이를 통해 약 1억4,118만 개의 H 토큰을 이동시킨 것으로 확인됐다.

여기에 그치지 않고 BNB 스마트체인(BNB Smart Chain)에서 프록시 관리자(Admin) 권한까지 탈취해 H 토큰을 추가 발행한 것으로 조사됐다.

퀀트스탬프는 이번 공격 과정에서 사용된 악성 도구와 인증서 서명 패턴 등을 분석한 결과 북한 연계 해킹 조직이 사용하는 전형적인 공격 방식과 매우 유사한 특징을 확인했다고 설명했다.

보고서는 공격 도구와 운영 방식, 인증서 활용 패턴 등이 과거 북한 해킹 조직이 수행한 암호화폐 공격 사례와 상당 부분 일치한다고 분석했다.

다만 현 단계에서는 직접적인 공격 주체를 확정하기보다는 북한 연계 가능성이 높은 정황을 확인한 수준이라고 밝혔다.

북한 해킹 조직은 최근 수년간 암호화폐 거래소와 디파이(DeFi), 블록체인 프로젝트를 주요 공격 대상으로 삼아온 것으로 알려져 있다.

특히 스마트컨트랙트 취약점보다 임직원 대상 피싱과 사회공학(Social Engineering) 공격을 통해 관리자 권한과 프라이빗키를 탈취하는 사례가 지속적으로 증가하고 있다.

보안 전문가들은 기술적 방어뿐 아니라 임직원 보안 교육과 다중서명(Multi-signature), 하드웨어 보안장치(HSM) 등 운영 보안 강화가 필수적이라고 강조하고 있다.

이번 사건은 블록체인 기술 자체보다 운영 과정에서의 보안 관리가 프로젝트 전체의 위험 요소가 될 수 있음을 보여준 사례라는 평가가 나온다.

업계에서는 프로젝트 운영진의 접근 권한 관리와 프라이빗키 보호 체계, 관리자 권한 분산 등 보안 체계를 재점검해야 한다는 목소리가 커지고 있으며 국가 지원 해킹 조직에 대응하기 위한 보안 수준도 한층 강화될 것으로 전망된다.

박원빈 기자 wbpark@nanryna.kr