2조 885억 원 규모… 전년 대비 385% 급증
전체 해킹 중 82%가 디파이 프로토콜에 집중

북한의 가상자산 해킹을 표현한 이미지. 연합뉴스

지난해 가상자산 해킹 피해액이 약 4조 6713억 원으로, 사상 최고 피해액이라는 분석이 나왔다. 특히 북한이 가담한 가상자산 탈취는 2021년 약 5400억 원에서 2022년 2조 885억 원으로 4배 가까이 급증했다.

북한과 연계된 해커들이 탈취한 연간 총 가상자산, 2016-2022. 체이널리시스 제공

블록체인 데이터 분석 회사인 체이널리시스(Chainalysis)에서 2일 발간한 ‘2023 가상자산 범죄 보고서’ 중 해킹(Hacking) 보고서에 따르면 북한이 해킹한 가상자산은 한 해 수출액(약 1796억 원)과 비교해도 3배에 달할 정도로 국가 경제의 상당 부분을 차지하고 있다고 밝혔다.

북한의 주요 타깃이 된 플랫폼은 탈중앙화된 금융 서비스를 제공하는 ‘디파이 프로토콜’이다. 보고서에 따르면 디파이 프로토콜 해킹이 전체 가상자산 해킹 중 82.1%(약 3조 8108억 원)를 차지했으며, 그 피해액 중 64%가 크로스체인 브릿지 프로토콜(Cross-chain Bridge Protocol)에서 발생했다고 분석했다. 크로스체인 브릿지는 사용자가 블록체인 간 가상자산을 이동할 수 있도록 하는 프로토콜인데, 다른 블록체인 체인으로 이동하기 위해서는 기존 보유 자산을 잠그는 작업(Lock)이 필요하다. 따라서 해커들 입장에서는 잠겨진 자산이 거대한 중앙화 금고로 보일 수 있다는 입장이다.

해킹당한 플랫폼 유형별 비중, 2016-2022. 체이널리시스 제공

체이널리시스는 디파이를 안전하게 만드는 해결책으로 제3자의 디파이 코드 감사를 제시했다. 일례로 블록체인 보안 회사 할본(Halborn)의 코드 감사를 통과한 디파이 프로토콜은 이후 해킹되지 않았다고 덧붙였다. 이에 더해 다양한 해킹 시나리오를 시뮬레이션하는 모의 공격 테스트 실행, 이더리움 같은 블록체인 프로젝트가 제공하는 투명성 기능 활용, 의심스러운 행위 감지 시 거래를 일시 정지하는 서킷 브레이커의 적용을 고려해야 한다고 강조했다.

체이널리시스는 가상자산 탈취 위협 증가를 경계하는 한편 “법 집행기관과 국가안보기관의 대응 능력 역시 갈수록 향상되고 있다”며 낙관론을 주장했다. 또한 “모든 거래가 온체인에 기록되기 때문에 법 집행기관은 사건 발생 이후 몇십 년이 지나도 범죄자를 추적할 수 있을 것”이라며, 온체인 데이터의 중요성을 역설했다.

나문기 기자 mg@bonmedia.kr