최신 암호화폐 공급망 공격 유형 – 스위스보그 솔라나 해킹, 파트너 API 취약점 노출
최신 암호화폐 공급망 공격 유형 – 최근 발생한 최신 암호화폐 공급망 공격 유형 중 하나는 외부 파트너 시스템의 취약점을 이용하는 방식입니다. 스위스에 본사를 둔 암호화폐 자산 관리 플랫폼 스위스보그(SwissBorg)는 파트너사의 소프트웨어 연결 통로인 API(Application Programming Interface)가 침해당해 약 4100만 달러 상당의 솔라나(SOL) 토큰 19만 3000개를 도난당했습니다. 이번 공격은 스위스보그의 솔라나 언(Earn) 프로그램에 참여한 사용자에게만 영향을 미쳤으며, 이는 전체 사용자의 약 1%, 총 운용자산(AUM)의 2%에 해당하는 규모입니다. 스위스보그의 CEO 사이러스 파젤(Cyrus Fazel)은 9월 8일 라이브 방송을 통해 회사의 메인 애플리케이션은 안전하며, 이번 사건이 스테이킹 서비스를 제공하는 외부 파트너사 킬른(Kiln)의 API 취약점으로 인해 발생했다고 밝혔습니다. 결과적으로 스위스보그는 회사의 재무 건전성이 안정적이며, 보유한 재무 자금을 통해 피해를 본 모든 사용자에게 전액 보상할 충분한 자원을 갖추고 있다고 강조했습니다. 또한, 회사는 도난 자금 회수를 위해 파이어블록스(Fireblocks), 솔라나 재단 등 보안 파트너 및 화이트햇 해커와 협력하고 있으며, 여러 거래소의 협조로 일부 도난 자금의 현금화를 막았습니다.
최신 암호화폐 공급망 공격 유형 – 자바스크립트 생태계를 위협한 NPM 공급망 공격
최신 암호화폐 공급망 공격 유형 – 또 다른 형태의 공급망 공격은 수많은 개발자가 사용하는 오픈소스 코드 저장소를 감염시키는 방식입니다. 최근 자바스크립트 개발자들이 사용하는 중앙 코드 라이브러리인 NPM(Node Package Manager)에서 역사상 가장 큰 규모의 공급망 공격 중 하나가 발생했습니다. 공격자들은 유명 소프트웨어 개발자 조시 골드버그(Josh Goldberg)의 NPM 계정을 피싱 이메일로 탈취했습니다. 이들은 NPM 지원팀을 사칭하여 2단계 인증(2FA) 정보 업데이트를 요구하는 가짜 웹사이트로 유도해 계정 정보를 훔쳤습니다. 계정 접근 권한을 얻은 해커들은 `chalk`, `debug`, `ansi-styles` 등 주간 다운로드 횟수가 합산 20억 회를 넘는 매우 인기 있는 자바스크립트 패키지 18개에 악성 코드를 삽입하여 배포했습니다. 이로 인해 해당 패키지를 사용하는 전 세계 수많은 애플리케이션과 웹사이트가 잠재적인 위험에 노출되었습니다. 이 사건은 개발자 커뮤니티 내의 신뢰를 악용한 것으로, 개발자들이 일상적으로 내려받아 사용하는 코드 패키지가 해킹될 경우 그 파급력이 얼마나 클 수 있는지를 명확히 보여주었습니다.
크립토 클리퍼 악성코드의 작동 방식과 표적
NPM 패키지에 삽입된 악성코드는 사용자의 암호화폐를 탈취하기 위해 설계된 크립토 클리퍼(crypto-clipper) 유형이었습니다. 이 악성코드는 사용자가 암호화폐 거래를 위해 지갑 주소를 복사하여 붙여넣기 할 때, 이를 감지하여 공격자의 지갑 주소로 몰래 변경하는 방식으로 작동합니다. 사용자는 화면상으로 정상적인 주소를 확인하지만, 실제 자금은 해커의 지갑으로 전송됩니다. 특히 이번 공격에 사용된 악성코드는 비트코인, 이더리움, 솔라나, 트론, 라이트코인 등 대부분의 주요 블록체인 네트워크 트래픽을 감시하도록 설계되었습니다. 더욱 교묘한 점은, 하드웨어 지갑이 컴퓨터에 연결되면 보안 경고 발생을 피하고자 주소 교체 기능을 자동으로 비활성화하는 기능을 포함하고 있었다는 것입니다. 이는 공격이 발각되지 않고 최대한 오랫동안 지속되도록 하려는 치밀한 계획의 일부였습니다. 이러한 방식은 사용자가 거래 과정에서 주소를 세심하게 확인하지 않으면 피해를 인지하기 매우 어렵게 만듭니다.
공급망 공격의 실제 피해 규모와 시장 반응
NPM 공급망 공격은 수십억 건의 다운로드를 기록하는 패키지를 감염시켜 이론적으로 막대한 피해를 유발할 수 있었지만, 실제 금전적 피해는 놀라울 정도로 미미했습니다. 암호화폐 인텔리전스 플랫폼 시큐리티 얼라이언스(Security Alliance)에 따르면, 공격 초기에 탈취된 금액은 불과 50달러 미만이었습니다. 이더리움 지갑 주소 ‘0xFc4a48’이 유일한 악성 주소로 파악되었으며, 초기 피해액은 5센트 상당의 이더리움과 20달러 상당의 밈코인이었습니다. 이후 총 피해액이 500달러 이상으로 증가했지만, 이는 해킹 피해가 아닌 사용자들이 해커의 지갑 주소로 브렛(brett), 곤돌라(gondola)와 같은 밈코인을 보내며 조롱한 결과였습니다. 시큐리티 얼라이언스는 “매주 20억 회 이상 다운로드되는 패키지 개발자의 계정을 탈취하고도 고작 50달러도 벌지 못했다”고 지적하며 공격의 비효율성을 꼬집었습니다. 이처럼 실제 피해는 적었지만, 이번 사건은 암호화폐 생태계의 근간을 이루는 소프트웨어 공급망의 취약성을 드러내며 시장에 큰 경각심을 주었습니다.
하드웨어 월렛과 소프트웨어 월렛의 보안 차이
이번 NPM 공격 사태는 암호화폐 지갑 유형에 따른 보안 수준의 차이를 명확하게 보여주었습니다. 하드웨어 지갑 업체 렛저(Ledger)의 최고기술책임자(CTO) 찰스 길레멧(Charles Guillemet)은 소프트웨어 지갑이나 거래소에 자금을 보관하는 것은 단 한 번의 코드 실행으로 모든 것을 잃을 수 있는 위험에 노출되는 것이라고 경고했습니다. 반면에 렛저와 같은 하드웨어 지갑은 기기 자체의 보안 화면에서 최종 거래 내용을 확인하고 서명하는 ‘클리어 사이닝(Clear Signing)’ 기능을 지원하여 이러한 공격으로부터 사용자를 보호합니다. 즉, 컴퓨터 화면이 악성코드에 감염되어 주소가 변조되더라도, 물리적인 기기 화면에는 실제 전송될 주소가 표시되므로 사용자가 사기를 감지할 수 있습니다. 이와 대조적으로 메타마스크(MetaMask)나 팬텀(Phantom)과 같은 웹 브라우저 기반의 소프트웨어 지갑, 소위 ‘핫 월렛’은 이러한 물리적 검증 단계가 없어 크립토 클리퍼 공격에 더 취약합니다. 따라서 전문가들은 중요한 자산을 보관할 때는 하드웨어 지갑 사용을 강력히 권고하고 있습니다.
개발자와 사용자를 위한 공급망 공격 방어 전략
연이어 발생한 공급망 공격은 개발자와 사용자 모두에게 더 높은 수준의 보안 의식을 요구합니다. 오픈체인네트워크(TON)의 CTO 아나톨리 마코소프(Anatoly Makosov)는 개발자들이 취할 수 있는 몇 가지 방어 전략을 제시했습니다. 첫째, 자동화된 시스템에서는 `npm install` 대신 정확한 패키지 버전을 설치하는 `npm ci` 명령어를 사용하여 예기치 않은 악성 버전이 유입되는 것을 방지해야 합니다. 둘째, 프로젝트의 의존성을 특정 안전 버전으로 고정하고 정기적으로 감사하여 문제를 조기에 발견해야 합니다. 또한, 스텝시큐리티(StepSecurity)가 도입한 것처럼 새로 게시된 패키지가 포함된 요청을 일시적으로 차단하여 커뮤니티가 검증할 시간을 확보하는 것도 좋은 방법입니다. 일반 사용자의 경우, 특히 온체인 거래 시에는 하드웨어 지갑을 사용하는 것이 가장 안전합니다. 만약 소프트웨어 지갑을 사용해야 한다면, 거래 서명 전 반드시 전송 주소를 여러 번 확인하는 습관을 들여야 합니다. 이번 사건들을 계기로 NPM은 인기 패키지 관리자에게 2단계 인증을 의무화하는 등 보안 조치를 강화하고 있습니다.
이전 글: 월드코인 WLD 주간 136% 급등 업비트 상장 미래 전망
본 글에 포함된 모든 정보는 일반적인 시장 동향 및 기술적 분석에 기반한 참고 자료일 뿐이며, 어떠한 형태의 투자 권유 또는 특정 종목에 대한 매수·매도 추천을 의미하지 않습니다. 투자에 관한 최종 판단과 그에 따른 모든 책임은 전적으로 투자자 본인에게 있으며, 사전 검토와 충분한 숙고를 거친 자율적 의사결정이 필요합니다. 시장 상황은 급변할 수 있으며, 본 콘텐츠에 담긴 내용은 투자 결과에 대한 보장을 포함하지 않음을 유의해주시기 바랍니다.
아래 콘텐츠는 다음의 기사를 참고·인용하여 재구성한 정보 콘텐츠입니다.
Pingback: 오늘 파이코인 가격 시세 지표 순위 - 2025 09 10 - 크립토코어