국내 암호화폐공개(ICO) 프로젝트를 겨냥한 해킹 공격 사례가 최초로 발생했다.
해커는 ICO프로젝트 칼로리코인의 스마트컨트랙트 오너십을 탈취하고, 해킹 사실을 언론 등에 알리겠다며 이더리움을 요구했다. 칼로리코인 측은 수사당국에 수사를 의뢰하고, ICO 참여자에 보상하는 방향으로 대응에 나섰다.
칼로리코인 정승채 대표는 12일 기자와 만나 "직접적으로 코인을 도난 당하지 않았지만 해당 스마트컨트랙트의 오너십을 탈취당해 모든 계좌가 동결된 상태"라고 현재 상황을 설명했다.
정 대표에 따르면 최초 협박 메일을 받은 것은 지난 10일이다.
해커는 우선 스마트컨트랙트 주소 프라이빗키를 알아낸 후, 해당 주소에 ICO참여자가 이더리움을 보내기를 기다리며, 잠입해 있던 것으로 추정된다.
하지만, 해커가 침입했을 당시 해당 주소에는 ICO 참여자가 보낸 이더리움이나 ICO로 판매되지 않은 칼로리코인 물량은 남아 있지 않았다.
모두 하드월렛으로 옮겨 보관돼 있는 상태였다.
지갑에 가져갈만한 코인이 없자, 해커는 협박으로 이더리움을 요구한 것으로 보인다.
해커는 스마트컨트랙트 오너십 계정을 탈취해 모든 지갑 간 전송을 불가능하게 동결시킨 후, 500이더를 보내지 않으면 해킹 사실을 ICO고객과 언론 등에 알리겠다고 협박했다.
이같은 내용의 협박 메일을 지난 주말 사이 서너통 보내왔다.
이번 사고로 직접적인 암호화폐 탈취는 없었지만, 해당 스마트컨트랙트를 사용해 정상적으로 프로젝트를 진행이 불가능해졌다. 또, ICO참가자 20여 명의 개인정보가 해커에게 노출되는 피해가 발생했다.
이에 칼로리코인 측은 보안설계를 강화해 새롭게 스마트컨트랙트를 개발하고 ICO 참여자들에게 보상 방안을 마련할 계획이다.
칼로리코인은 ICO로 142이더를 모금했다.
정 대표는 "ICO참여자가 원하는 경우 이더리움으로 환불을 진행하거나 새롭게 개발한 스마트컨트랙트에서 칼로리코인을 재 발행해 지급할 계획"이며 "개인정보 노출 피해 등도 고려해 보상할 계획"이라고 말했다.
관련기사
- 펜타시큐리티, 일본서 자동차 해킹 보안 솔루션 전시2018.11.12
- 사이버 범죄, 해킹 줄고 사기사건 늘었다2018.11.12
- 해킹보안컨퍼런스 'POC2018' 전체 발표자 공개2018.11.12
- 中 "트럼프 아이폰 해킹? 화웨이 폰 쓰면 된다"2018.11.12
또 "이번 사건에 대한 내부 방침 및 수사 현황 등의 업데이트 사항 발생 시 빠르고 긴밀하게 소통할 것을 약속"한다며 "임직원 모두 이번 사건에 대한 책임을 통감하고 사고로 인해 피해를 입은 모든 분께 사죄드린다"고 말했다.
정 대표는 해킹 사실을 공개한 이유에 대해 "오히려 해킹 사실이 오해 없이 사실대로 알려져야 신뢰가 무너지지 않을 것으로 봤다"며 "진실을 밝히고 해커에게 악의적인 협박이 통하지 않는다는 것을 보여주겠다"고 말했다.
