수천 개의 스마트 컨트랙트에 조용히 숨겨져 있던 치명적인 백도어(backdoor) 취약점이 발견되어, 자칫 수천만 달러 규모의 암호화폐가 탈취될 뻔한 아찔한 상황이 벌어졌다. 보안 연구원들의 발 빠른 대응과 36시간에 걸친 긴급 구조 작전 덕분에 대규모 피해는 막았지만, 이번 사건은 이더리움 가상 머신(EVM) 생태계 전반에 걸쳐 얼마나 정교하고 은밀한 공격이 진행될 수 있는지를 보여주는 충격적인 사례로 기록될 전망이다.
특히 공격 수법의 정교함으로 미루어, 악명 높은 북한의 해킹 그룹 ‘라자루스(Lazarus)’가 배후에 있을 가능성까지 제기되고 있다. 사건의 전말은 암호화폐 보안업체 벤 네트워크(Venn Network)의 연구원 ‘디버이로즈(Deeberiroz)’가 지난 화요일 이더리움의 ‘ERC-1967 프록시 컨트랙트’에서 심각한 취약점을 발견하면서 시작됐다. 이 취약점은 컨트랙트가 완전히 설정되기 전, 즉 ‘초기화되지 않은(uninitialized)’ 상태를 노려 공격자가 먼저 컨트랙트의 제어권을 탈취할 수 있도록 허용했다. 공격자는 컨트랙트 배포 과정을 선점(front-running)하여 악성 코드를 주입했고, 이를 통해 수개월간 누구도 눈치채지 못하는 제거 불가능한 백도어를 심어놓았다. 벤 네트워크의 공동창업자인 오르 다도쉬는 “공격자는 이 백도어를 통해 언제든지 취약한 컨트랙트를 장악할 수 있었다”며 “컨트랙트가 정상적으로 초기화된 후에는 악의적인 활동이 거의 보이지 않게 위장되어 탐지가 극도로 어려웠다”고 설명했다. 취약점 발견 직후, 벤 네트워크를 중심으로 피카베르사치오(Pcaversaccio), 데다웁(Dedaub), 씰911(Seal 911) 등 여러 화이트햇 해커 및 보안 전문가들이 참여하는 36시간 동안의 긴급 구조 작전이 시작됐다. 이들은 공격자들이 눈치채지 못하도록 극도의 보안을 유지하며 영향을 받는 컨트랙트를 분석하고, 위험에 처한 자금을 안전한 곳으로 옮기거나 보안 조치를 취하는 데 총력을 기울였다.
다행히 이들의 신속한 대응 덕분에 다수의 디파이(DeFi) 프로토콜들이 공격자가 자산을 빼돌리기 전에 위험 자금을 확보할 수 있었다. 이번 공격의 영향을 받은 프로토콜 중에는 신규 레이어1 블록체인인 베라체인(Berachain)도 포함된 것으로 확인됐다. 베라체인 재단은 취약점을 인지한 즉시 관련 인센티브 청구 컨트랙트를 일시 중지하고, 자금을 새로운 컨트랙트로 이전하는 조치를 취했다. 재단 측은 “사용자 자금은 위험에 처하거나 손실되지 않았다”고 밝히며 신속하게 대응했다. 벤 네트워크의 보안 연구원 데이비드 벤치몰은 이번 공격의 배후로 북한의 해킹 조직 ‘라자루스’를 조심스럽게 지목했다.
그는 “공격 벡터가 매우 정교했고 모든 EVM 호환 체인에 걸쳐 배포되었다”는 점과, “공격자가 더 큰 목표물이 나타날 때까지 기다리는 인내심을 보였다”는 점을 들어 개인보다는 조직적인 그룹의 소행일 가능성이 높다고 분석했다. 다만, 아직 라자루스가 연루되었다는 확정적인 증거는 없는 상태다. 이번 ‘ERC-1967 백도어’ 사건은 비록 화이트햇 커뮤니티의 승리로 막을 내렸지만, 암호화폐 생태계에 중요한 경고를 던진다. 스마트 컨트랙트의 복잡성이 증가함에 따라 개발자와 사용자 모두가 예상치 못한 허점을 노리는 고도화된 공격에 항상 대비해야 한다는 것이다. 특히 컨트랙트 배포 및 초기화 단계에서의 보안 감사는 이제 선택이 아닌 필수가 되었으며, 지속적인 모니터링과 커뮤니티 기반의 신속한 위협 공유 체계 구축이 시급한 과제로 떠올랐다.
