[투데이e코노믹 = 박재형 기자] NFT(대체불가능한 토큰)가 새로운 자산으로 주목받는 가운데, NFT 거래소 등을 노린 해킹 문제가 대두되고 있다.

NFT는 블록체인 기술을 활용해 사진, 동영상 등 디지털 자료에 고유한 인식값을 부여하는 토큰이다. 복제나 교환이 쉽지 않다는 특성 때문에 최근 각광받는 투자 수단으로 떠오르고 있다. 시장조사기관 댑레이더에 따르면 전 세계 NFT 판매액은 지난해 250억 달러(약 29조 9275억 원)로, 전년 9490만 달러(약 1136억 4800만 원) 대비 260배 이상 증가했다.

이 가운데 세계 최대 NFT 거래소 오픈씨(Open Sea)는 19일(현지시간) 해커 공격으로 NFT 일부를 도난당했다. 미국 CNBC, 더버지 등에 따르면 도난된 NFT 중에는 ‘아즈키’, ‘지루한 원숭이 요트클럽(BAYC)’ 등 유명 작품이 포함됐다.

데빈 핀저 오픈씨 최고경영자(CEO)는 자신의 트위터에 “파악한 결과 피싱 공격이 발생했으며, 오픈씨 웹사이트와 연결된 것은 아니다”라며 “공격자가 보낸 악성 페이로드(피싱을 위해 만든 이메일이나 웹사이트)에 32명의 오픈씨 이용자가 서명했고, 그들의 NFT 일부가 도난당했다”고 썼다. 해커는 훔친 NFT를 일부 처분해 약 170만 달러 상당의 이더리움을 보유하고 있는 것으로 파악된다.

해커들은 오픈씨를 포함한 대부분의 NFT 거래 플랫폼에서 사용하는 스마트 계약 표준인 ‘와이번 프로토콜’의 유연성을 악용한 것으로 알려졌다. 해킹 대상이 된 이용자는 해커들이 제시한 미완성 계약에 부분적으로 서명했고, 해커들은 마음대로 공백 부분을 채움으로써 NFT 소유권을 이전한 것으로 보인다.

블록체인 보안업체 펙쉴드에 따르면, 오픈씨는 지난 1월에도 해커의 공격을 받아 약 75만 달러(약 9억 원) 상당의 NFT를 도난당했다. 해커들이 서버 내 판매자들의 서명 내역을 탈취한 뒤, 고가의 NFT를 시세보다 약 11배 저렴한 가격에 구매한 것이다.

지난해 3월에는 NFT 거래 플랫폼 ‘니프티 게이트웨이’에서 사용자 계정이 해킹당하면서 수천 달러 이상의 피해가 발생했다.

또 같은 해 9월에는 온라인에서 한 영국인 컬렉터가 뱅크시 공식 사이트에 링크된 경매 페이지를 통해 가짜 뱅크시 NFT 작품인 ‘기후변화 재앙의 재분배’를 24만 4000파운드(약 3억 9000만 원)에 구매하는 사건이 발생했다. 당시 뱅크시 작품을 인증하는 공식기관 ‘페스트 콘트롤’은 뱅크시가 NFT 작품을 만들지 않았다고 밝혔다. 해커가 해킹을 통해 공식 웹사이트에 NFT 경매 링크를 띄운 것으로 파악된다.

NFT는 블록체인을 기반으로 한 탈중앙화 자산이기 때문에 거래하는 사람이 누구인지, 합법적인 자금으로 거래되는 것인지 알 수 없다. 또 누군가가 NFT를 탈취해 소유권자가 바뀐다면 돌려받을 수 있는 방법이 없다.

국내 ICT 기업들이 NFT를 기반으로 한 신산업을 활발히 펼치고 있고, 국내에서도 투자자가 늘어나는 가운데 NFT 해킹이 빈번해지는 점은 풀어야 할 숙제로 꼽힌다.

정순채 동국대 융합교육원 겸임교수는 23일 본지에 “향후 재산가치가 증대되는 NFT를 타깃으로 한 해커들의 공격은 지속적으로 심화될 것이며, 이를 막기 위해서는 개발자의 실수 등이 없는 무결성과 완벽한 인증체제가 필요하다”고 말했다.