국내 첫 디파이 해킹 사고 발생! 원인은 BGP 하이재킹?

국내에서 첫 디파이 해킹 사고가 발생하였습니다.

 

카드뉴스를 통해 자세히 알아보겠습니다.

 

국내 첫 디파이 해킹 사고, 클레이스왑

클레이스왑은 카카오의 퍼블릭 블록체인 플랫폼 '클레이튼'을 기반으로 하는

디파이 서비스 중 가장 많은 사용자 수를 확보한 국내 최대 규모 서비스 입니다.

 

2022년 2월 3일 오전 11시 31분경, '클레이스왑'이 공격을 받아

22억원 상당의 암호화폐를 탈취당하는 해킹 사례가 발생했습니다.

 

 

※ 디파이 서비스

블록체인과 스마트 컨트랙트를 이용해 가상자산을 예치하고 이자를 받는 등의 금융 서비스를 제공하는 것

 

원인이 무엇인가요?

해킹 수법은 BGP 하이재킹이라 불리는 공격으로 추정되고 있습니다.

 

 

외부 네트워크망에 대한 공격으로 인해 사용자의 정상적인 Kakao SDK Javascript 파일요청이
카카오 서버가 아닌 공격자가 구축한 제 3자의 서버로 연결되어

악성코드 파일이 다운로드 되는 현상이 일어났습니다.

 

이로 인해 약 300여 명이 피해를 입었고,

클레이스왑 개발사 오지스는 원인 파악 및 피해자 구제 조치에 나섰습니다.

 

BGP가 무엇인가요?

BGP (Border Gateway Protocol)

 

BGP란 서로 다른 AS를 연결해주는 경계 경로 프로토콜 입니다.

 

서로 다른 조직의 네트워크를 연결할 때 사용하는 라우팅 프로토콜인데요.

 

인터넷에서 사용자의 트래픽이 목적지 IP 주소에 최대한 효율적으로
도달할 수 있도록 데이터가 라우팅되는 경로를 제어해주는 역할을 합니다.

 

BGP 하이재킹은 무엇인가요?

 

BGP 라우터들은 이웃해 있는 BGP 라우터가 보내는

IP prefix 정보를 무조건 신뢰하는 특징이 있습니다.

 

이러한 취약점을 활용하여 인터넷에서 데이터의 이동 경로를
설정해주는 라우팅을 악의적으로 조작하는 것이 BGP 하이재킹입니다.

 

BGP 하이재킹 수법을 이용한 최근 유사 사고

1. 2020년 4월, 러시아 국영통신사(Rostelecom)에서 구글, 아마존, 페이스북 등

200여개의 조직으로부터 발생한 트래픽을 러시아에 있는 서버들로 BGP 하이재킹 발생

참고 : https://www.boannews.com/media/view.asp?idx=87481 

 

2. 2019년 6월, 중국 차이나텔레콤에서 7만개 이상의 이동통신 트래픽을

BGP 하이재킹 수법을 통해 인터넷 경로를 재라우팅하여 유럽쪽 모바일 통신이 2시간 이상 장애 발생

참고 : https://techrecipe.co.kr/posts/8483

 

3. 2018년 4월, 암호화폐지갑 서비스 '마이이더월렛' 이용자들의 인터넷 트래픽 경로를 재지정하여,

이용자들의 이더리움 약 15만 달러가 도난되는 해킹 사고 발생

참고 : https://zdnet.co.kr/view/?no=20180426142719 

 

디파이 취약점 사고 동향

디파이에는 항상 자금이 몰려 있고, 최근 디파이 시장의 큰 성장세와 함께 해커들의 관심도 높아지고 있습니다.

 

디파이 서비스의 자체적인 소스코드 및 스마트 컨트랙트의 보안성은 상대적으로 높다는 평가를 받고 있으나,
외부 접점에서 보안 이슈가 발생하면서 보안 위협이 발생하고 있습니다.

디파이 서비스는 일반 금융기관보다 자산 추적이 어렵지만 공격은 상대적으로 수월하기 때문에
앞으로도 해커들의 집중 타깃이 될 가능성이 높습니다.

 

대응방안은 어떻게 되나요? (1)

BGP 하이재킹 공격을 예방하기 위해서는 국내 주요 인터넷 서비스 기업의 대비가 필요합니다.

 

또한 서비스 사업자 뿐만 아니라 근본적으로 인터넷을 이루는 기간통신사업자들이 라우팅 보안을 강화해야 합니다.

 

클레이스왑 사례에서는 오지스가 사고 원인으로 파악된 카카오 SDK 파일은 제거했지만,

언제든 같은 방식으로 해당 카카오 서버로의 요청을 가로채

악성코드를 유포시킬 수 있는 리스크가 상존하기 때문에 카카오와 통신사의 보안 강화가 필요합니다.

 

대응방안은 어떻게 되나요? (2)

오지스에 따르면, 구글이나 페이스북 등 글로벌 기업의 경우

라우팅 테이블 변조를 예방하기 위한 라우팅 인증(RPKI) 기능을 도입하였습니다.

 

[ 자원 공개 키 인프라 (Resource Public Key Infrastructure, RPKI) ]

 

RPKI는 IP 주소와 망식별번호를 암호화하고, 권한을 가진 상대방만 내용을 확인할 수 있는 기술입니다.

따라서 사용자가 악성 서버에 접속하는 것을 막고 피해를 예방할 수 있습니다.

 

감사합니다.