가상자산거래소 지닥 해킹 사건

침해 사고 정보
일자	2023/04/09
침해 정보	비트코인(BTC) 60.80864074개, 이더리움(ETH) 350.50개, 위믹스(WEMIX) 10,000,000개, 테더(USDT) 220,000개 (지닥 총 보관자산의 약 23%)
특징	외부 공격자에 의한 해킹
피해크기	가상자산 총 1,022만여개로 최소 182억원
침해 사고 분석
경위	① 2023년 4월 9일 오전 7시 경 지닥 핫월렛에서 해킹이 발생해 가상자산 탈취 > 비트코인(BTC) 60.80864074개 > 이더리움(ETH) 350.50개 > 위믹스(WEMIX) 10,000,000개 > 테더(USDT) 220,000개 ② 모니터링 체계를 통하여 이를 확인한 즉시 비상대책반 소집 및 대응을 시작
원인	① 현재 관계 당국과 함께 조사중 > "일체의 조사 관련 사항은 기밀에 포함되며, 탈취범 특정에 도움이 안될 수 있으므로 공개가 어려운 점 양해 부탁 드립니다"
조치	① 23.04.10 홈페이지에 사건 관련 "[긴급공지] 입출금 서비스 일시중단 및 긴급 서버점검 진행 사유" 글 게시 - 지닥 핫월렛에서 해킹이 발생 및 추가 피해 예방을 위해 아래 대응을 진행 > 지갑시스템(입출금 시스템) 및 관련 서버를 중단 및 차단_수사 진행 중으로, 입출금 재개시점 불확실 > 해당 사실을 경찰에 내방 신고, 사이버수사를 요청 > 해당 사실을 한국인터넷진흥원(KISA)에 신고하였으며, 기술 지원(출장)을 요청 > 해당 사실을 FIU(금융정보분석원)에 알림 > 자산 발행사(재단), 거래소 및 디파이 운용사 등에 자산동결 협조요청을 진행중 > 여러 기관들과 공조 - 가상자산을 취급하는 거래소 담당자에게 공문 전달 > 공문 내 포함된 이상 출금이 발생한 주소로 부터의 입금을 즉시 차단 부탁 > 해당 입금 인지시 즉시 ‘사고 신고’로 신고   - 이상 출금이 발생한 트랜잭션 관련해 아는 내용이 있을 경우 반드시 신고 부탁 - 변동 사항이 있으면 지속해서 공지 ② 23.04.11 홈페이지에 사건 관련 "[긴급공지_2차] 입출금 서비스 일시중단 및 서비스 정상화를 위한 진행상황" 글 게시 - 시스템에서 식별되지 않은 지갑으로 전송된 자산 중, 약 85% 이상(약 170억원)은 위믹스(WEMIX) 자산 > 위믹스 발행사 및 위메이드의 협조와 협력으로 피해자산의 동결 및 회수를 실시간으로 진행 중 - 사실관계 파악 즉시 유관 기관에 신고 접수 > 탈취범을 특정 및 탈취범의 자산을 동결하고 회수하기 위해 노력 중 > 신속히 대응으로 탈취된 대부분의 물량이 아직 현금화되지 못한 것을 온체인 데이터상 확인 > 탈취범이 지속적으로 자금세탁을 시도하고 있으나, 지속적으로 대응 중 - 현재 일체의 탈취된 고객자산을 실시간 모니터링 중 > 가상자산 사업자, 국내외 거래소, 지갑, 디파이 서비스, 발행사 등과 탈취범의 자금세탁을 막고 자산 동결을 위해 협조 요청 및 공동 대응 중 ③ 23.04.12 "[긴급공지_3차] 입출금 재개 계획 및 고객 자산 100% 전액 보전 안내" 글 게시 - 고객 자산 100% 전액 충당 및 보전 약속 - 디지털 자산 입출금 서비스의 충분한 안전성을 확보해야하므로, 입출금 재개까지는 약 2주 정도 소요될 것으로 예상 - 해킹에 사용된 공격자들의 지갑 주소를 공개, 관련 피해 및 신고 접수 중 ④ 23.04.19 "[안내] 비밀번호 및 OTP 초기화 안내" 글 게시 - 강화된 보안 정책 적용의 일환으로 모든 회원의 비밀번호와 OTP 인증 초기화 및 재설정 안내 ⑤ 23.04.27 "[공지] 입출금 재개 및 서비스 정상화 안내" 글 게시 - 금주 내 입출금 재개 안내
기타	① 지닥은 구체적인 피해 보상안에 대해서는 밝히지 않음 ② 보안기업 티오리는 지닥 지갑의 비밀키 유출이 아닌 내부 인프라 시스템에 침투했을 가능성이 크다고 주장 - 내부 시스템에 있는 입금/출금 관련 API를 공격자가 호출했을 가능성이 높으며, 근거는 다음과 같음 > 지닥의 핫월렛에 한번도 스윕 트랜잭션을 생성하지 않은 사용자의 입금 주소도 스윕 트랜잭션이 발생 ⒜ 스윕: 회원들이 가상자산을 입금해 '사용자 이용 지갑'에 자산이 쌓이면, 이를 모아 거래소 핫월렛으로 보내는 것 ⒝ 스윕 트랜잭션이 사용자 입금 주소의 잔고가 적은 순에서 많은 순으로 정렬돼 발생 ⒞ 자산 탈취시 사용된 가스 한도가 지닥 시스템에서 사용되는 가스 한도와 동일 ⒟ 만약 비밀키가 탈취 되었다면, 고정적인 가스 한도 값이 아닌, 각 트랜잭션에 따른 유동적인 가스 한도 값을 사용했을 것 ※ 가스 한도 - 이더리움에서 송금이나 스마트 계약을 실행할 때 수수료를 책정하기 위해 만든 단위 - 사용자는 트랜잭션을 실행하기 위해 사용할 가스의 최대 금액을 나타내는 가스 한도(Gas Limit)를 설정 - 가스 한도는 요청하는 작업량의 추측으로, 지갑 어플리케이션이 그 한도를 정해 줌(일반적으로 21,000) > 지닥 거래소의 핫월렛으로 이를 다 모은 후 공격자의 월렛으로 전송 ⒜ 만약 비밀키를 탈취 했다면, 스윕 과정없이 바로 공격자의 지갑으로 전송하였을 것 > 해킹되지 않고 남겨진 수억원 규모 ERC-20 토큰 ⒜ 비트코인, 이더리움, 위믹스를 제외한 가상자산에 전혀 손대지 않았음 ③ 블록체인은 분산되어 저장되어 임의 수정 및 열람이 불가하여 해킹의 위험성이 적으나, 익명성에 의해 해커들의 주 표적이 되고있음 > 공격자를 특정하고, 검거하는데 어려움이 있음 > 가상자산 거래소는 중앙화(거래소를 통한 거래)되어 있으며, 탈중앙화 거래소와 다르게 중앙화 거래소는 개인지갑이 아닌 소수의 거래소 지갑에 보관되므로, 가상자산에 대한 해킹은 대부분 거래소를 통해 이루어짐 ④ 사실상 현재 특금법상에서는 지닥이 구제받을 방법이 없는 상황으로, 제도상 보완이 필요 > 현재 가상자산거래와 관련한 법적 제도적 규제는 지난 2021년 가상자산 거래소를 규제하는 특정금융정보법 개정안이 유일 > 해당 법에는 거래소의 해킹에 대한 피해, 지원 등에 대해선 명시적으로 언급돼 있지 않음 > 금융당국은 해킹원인을 함께 찾는 것 이외에 거래소에 대해 처벌을 할 수 있는 권리도 없음 > 과거 업비트와 빗썸 모두 수백억원의 자산을 해킹당했으며, 범인 색출에도 어려움을 겪었고 자체 보유자산으로 피해를 충당 ⒜ 지닥은 보유 자산의 23% 수준을 복구해야하는 상황이라 최악의 경우 파산까지 갈 수 있음 ⑤ 핫월렛과 콜드월렛 - 핫월렛: 온라인 상태로 실시간 거래가 가능한 암호화폐 지갑으로 개인키 유출 등 보안에 약함 - 콜드월렛: 오프라인 상태에서 구동되는 지갑으로, 거래를 위해 자금을 핫월렛으로 옮기는 과정이 필요, 핫월렛 대비 상대적으로 보안성 높음 > 정부는 가상자산 거래소들에 자산 70% 이상을 콜드월렛에 보관하도록 권고 - FIU는 지난달 지닥을 대상으로 종합검사를 진행할 당시 관련 사항을 지적 > 지닥이 대부분의 가상자산을 핫월렛에 보관하고 있어, 이를 콜드월렛으로 옮기라고 지적 > 검사 후 지닥은 콜드월렛 보관 비중을 늘림 ⑥ 지닥은 해킹 발생 후 27시간 후인 11일 10:30 경 KISA에 신고 > 개인정보보호법 제39조의4 제34조제1항 및 제3항에도 불구하고 정보통신서비스 제공자와 그로부터 제17조제1항에 따라 이용자의 개인정보를 제공받은 자(이하 “정보통신서비스 제공자등”이라 한다)는 개인정보의 분실ㆍ도난ㆍ유출(이하 “유출등”이라 한다) 사실을 안 때에는 지체 없이 다음 각 호의 사항을 해당 이용자에게 알리고 보호위원회 또는 대통령령으로 정하는 전문기관에 신고하여야 하며, 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지ㆍ신고해서는 아니 된다. 다만, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다. ⑦ 해킹 발생 후 12일 16:50 경 관련 공지 > 피해 최소화를 위한 골든타임을 놓쳤다는 지적