“NFT”… 보안 이슈

NFT 보안 위협 증가로 메타버스와 융합된 가상경제 위협 될 것 전망 NFT 서비스가 메타버스 환경과 융합되어 “가상경제”로 발전하고, 이는 해커들의 공격 증가 전망 NFT에 기록된 데이터에 대한 저작권 위반 여부를 검증하기 어려워 창작자 권리 침해와 사기 거래로 인한 피해 발생 보호 필요

2023-11-09 김맹근 기자

사진 : pixabay

[디지털비즈온 김맹근 기자] 시스템, 플랫폼, 서비스 이용 부문에서의 보안 위협이 지속적으로 발생할 것으로 예측된다. 해커들은 블록체인의 보안 취약점을 악용하여 NFT에서도 동일한 공격을 시도하고 있으며, 이에 따른 블록 생성 조작, 지갑 탈취 등의 보안 위협이 동일하게 발생한다.

최근 NFT에 대한 관심이 높아지면서, 암호 자산보다 원본 데이터의 정보, 소유권, 거래 금액을 포함한 거래 내역 등의 정보가 담긴 NFT를 보관하는 지갑을 목표로 하는 공격을 통해 고가의 NFT 탈취 등을 목적으로 한다.

NFT 보안 위협 증가로 메타버스와 융합된 가상경제 위협이 될 것 전망

NFT 거래 시장의 성장으로 대규모 자금을 노리는 해킹과 거래 사기 등의 보안 위협이 증가하는 추세이다. NFT 서비스 제공자가 NFT 발행의 대상이 되는 원본 데이터(미술품, 예술품, 디지털 콘텐츠 등)를 저장·관리하는 외부 저장소(클라우드, 외부 DB·서버 등) 시스템의 취약점을 악용한 사이버 공격 발생한다.

NFT 기반 서비스 플랫폼 제공자의 지갑, 마켓 플레이스 및 이용자 관리 등을 위해 연결되는 기존 레거시 시스템(Legacy system)에 존재하는 취약점으로 인한 보안 위협 발생한다. 해커가 발송한 NFT 서비스, 플랫폼 또는 마켓 플레이스의 허위 메시지·공지·알람으로 이루어지는 피싱, 스미싱 공격 등으로 인해 이용자의 NFT와 가상자산이 도난 당하는 위협 발생한다.

최근 NFT 발행·관리에 사용되는 ERC-721 기반 소스 코드(Source code)에서 취약점을 악용하여 이용자의 지갑 내 암호 자산과 NFT를 탈취하는 보안 위협 발생한다. ERC-721 코드 내부에 존재하는 기능 중 자체적으로 NFT를 추적하고 전송하는 기능을 설정하는 ‘setApprovalForAll’에 존재하는 취약점을 악용하는 해킹 사고 발생한다.

서비스와 플랫폼에서는 스마트 컨트랙트를 통해 NFT의 매매와 양도가 이루어지는데 스마트 컨트랙트가 가지고 있는 보안 위협으로 인해 해커들의 공격 목표가 될 것이다. 이와 함께 스마트 컨트랙트의 운영과 작동을 위해 외부 정보의 요청·검증을 위해서 필요한 “블록체인 오라클(Blockchain Oracle, 이하 오라클)”에 대한 보안 및 신뢰성의 위협 발생한다.

NFT 서비스가 메타버스 환경과 융합되어 “가상경제”로 발전하고, 이는 해커들의 공격 증가 전망

NFT는 메타버스 서비스 내 콘텐츠, 아이템 등을 토큰화하여 이를 통해 이용자 간 거래를 가능하게 하고 콘텐츠의 창작권과 소유권을 보장하는 가상경제의 핵심으로, 이를 노리는 공격 증가 전망이다. 메타버스 이용자의 계정을 해킹하거나 피싱·스미싱 등을 통해 지갑 접근권한을 불법 획득하여 해커가 ①지갑 내의 NFT와 가상자산을 탈취하거나 ②소유하고 있는 콘텐츠, 아이템, 아바타 등을 탈취하는 문제가 발생 할 것이다.

이와 함께 메타버스 서비스 또는 엔터테인먼트 기업 등의 시스템·DB·서버 또는 관리자 계정이 해킹되어, 디지털 콘텐츠의 원본 데이터, NFT 굿즈가 탈취·복제·훼손 및 허위·음란 정보로 변경되는 등의 공격 발생 우려된다.

특히 메타버스와 NFT가 융합된 가상경제 서비스를 마비시키기 위한 DDoS 공격 등과 가상경제의 생태계를 훼손시키는 허위 NFT 발행·판매 및 원본 NFT 탈취 공격이 더욱 증가할 것으로 예상된다. 메타버스 이용자가 NFT 등 지갑을 서비스와 연동하여 이용하는 경우, 연동된 서비스·플랫폼 정보를 탈취 하거나 위·변조하여 서비스 이용을 방해하거나 불가능하게 하는 공격이 발생할 수 있다.