'해킹' 위믹스, 탈취 정황 공개…"2년 전 자료 유출이 원인"

(서울=뉴스1) 손엄지 기자 = 위믹스(WEMIX)의 해킹 사고와 관련해 가장 유력한 원인이 2023년 7월 중순경 공용물 저장소에 업로드된 자료 유출이라는 분석이 나왔다.

김석환 위믹스 재단(WEMIX PTE. LTD) 대표는 17일 위메이드 사옥에서 열린 긴급 간담회에서 지금까지 파악된 탈취 정황과 대응 과정을 공개했다.

위믹스 재단은 지난 2월 28일 오전 '플레이 브릿지 볼트'에서 약 865만 개의 위믹스 코인이 탈취된 것을 확인했다.

플레이 브릿지는 위믹스를 다른 블록체인 네트워크로 전송하는 시스템이다. 플레이 브릿지 볼트는 이 과정에서 가상자산을 보관하는 지갑이다.

재단은 당일 오후 2시 33분 긴급 대응 태스크포스(TF)를 구성하고, 오후 2시부터 오후 4시까지 문제가 발생한 브릿지 서비스를 즉각 셧다운(시스템 종료)하는 조치를 단행했다.

내부 시스템 점검과 함께 공격 경위를 분석한 결과, 공격자가 프라이빗 키 서명 권한을 탈취해 비정상적인 트랜잭션을 생성한 것으로 파악됐다.

추가 피해를 방지하기 위해 서명 관련 서버를 포함한 플레이 브릿지의 콘트랙트와 엔진 모듈을 모두 셧다운하고, 외부 보안 전문가 그룹과 협력해 공동 대응을 개시했다.

같은 날 오후 11시경 피해 규모가 865만 4860위믹스로 최종 확인됐고, 재단은 24시간 비상 대응 체제를 구축해 추가 대응에 나섰다.

해킹 직후 위믹스는 탈취된 자산의 흐름을 실시간으로 추적하며 주요 해외 거래소에 긴급 동결을 요청했다.

2월 28일 오후 2시~오후 4시 사이 탈취된 코인이 쿠코인(KuCoin), HTX, 바이비트(Bybit) 등 해외 거래소로 이동한 것을 확인했고 해당 거래소에 협조 요청을 보냈다. 그러나 해외 거래소의 특성상 신속한 조치가 어렵다는 한계도 존재했다고 회사 측은 설명했다.

또한 같은 날 오후 5시~오후 7시 서울경찰청 사이버수사과에 공식 고소장을 접수하고, 경찰을 통해 해외 거래소들에 수사 협조 요청을 진행했다.

이후에도 3일간 거래소와 지속적으로 연락하며 총 15차례에 걸쳐 협조 요청을 진행했다.

위믹스 재단은 현재까지 조사 결과를 바탕으로 해킹의 가장 유력한 원인으로 2023년 7월 중순경 공용물 저장소에 업로드된 자료의 유출을 지목했다.

이를 통해 내부 대체불가능토큰(NFT) 플랫폼 '나일(NILE)'의 시스템 모니터링 인증키가 탈취된 정황도 포착됐다.

해커는 이를 기반으로 내부 시스템에 접근한 후, 약 2개월 동안 치밀한 공격 준비를 거쳐 2월 28일 최종 공격을 감행한 것으로 분석된다.

김 대표는 "공격자를 반드시 밝혀내 응당한 조치를 취하고 책임을 물을 것"이라며 "이 과정에서 내부자와 외부자를 구분하지 않고 철저한 조사를 진행하겠다"고 말했다.

안용운 위메이드 최고기술책임자(CTO)는 "NFT 브릿지의 모든 키를 교체했다"며 "해커가 무엇을 들고 있다고 해도 동일한 문제 발생 가능성은 굉장히 적다"고 강조했다.

eom@news1.kr