위메이드, 위믹스 보안 강화해 생태계 복원하겠다

최근 벌어진 '위믹스 해킹'에 대해 위메이드가 개선 관련 방안을 발표하는 자리를 가졌다. 이 날 위믹스 팀은 아울러 바이백(자사 코인 매수)를 통한 피해 복구와 전반적인 인프라 구축 등 보안 강화를 통해 서비스를 정상화하는 데 최선을 다하겠다고 밝혔다.

17일, 판교에서 열린 위믹스 해킹 사태 기자회견에서는 김석환 위믹스 PIE 대표, 안용운 위메이드 CTO(최고기술책임자)가 참석해 경과 설명과 재발방지 계획 등을 밝혔다. 지난 2월 28일 블록체인 게임 플랫폼인 위믹스 플레이에서 체인 간 토큰 교환을 지원하는 위믹스 플레이 브릿지에서 코인을 보관하는 금고 역할을 하는 볼트에 해킹이 발생했고, 그 영향으로 위믹스 코인 865만 4,860개가 탈취돼 해외 거래소로 옮겨져 대부분 매도됐다. 해킹 사태 이후 위믹스 코인은 국내 주요 거래소에서 '투자 유의 종목'으로 지정됐으며, 국내 거래소 공동협의체인 닥사(DAXA)는 21일까지 위믹스 상장에 대해 재심사한다.

김석환 대표는 해킹에 대한 공지가 늦어진 원인에 대해 "지연된 이유는 두 가지다. 하나는 추가 공격 가능성이다. 침투 케이스가 특정되지 않은 상황에서 잠재적인 취약점에 대해 명확하게 파악하기 어려워 기술적인 조치와 검토가 필요했다. 두 번째는 탈취된 자산이 시장에 영향을 미치는 부분을 고려했다. 2월 28일 사건 당일 탈취된 자산이 입금된 거래소의 추이를 관찰한 결과 위믹스가 입금되는 즉시 매도된 것으로 추정되어서 시장에 대한 영향이 발생했고, 추가 위험이 발생할 가능성이 없다고 할 수 없었다"라고 설명했다.

공지 시점을 결정한 주체에 대해서도, 김석환 대표는 본인의 결정이었으며 공지가 늦었다는 지적 역시 겸허하게 받아들인다는 입장이다. 김석환 대표는 "커뮤니케이션 프로토콜을 재정비하여, 정확하고 투명한 정보를 신속하게 전달해 드리겠다"라며 "연휴(2월 28일~3월 2일)에 공지하면 그로 인해 피해가 훨씬 클 수 있다고 판단했다. 그 판단이 잘못됐다면 수용할 것이다. 다만 이 사실을 숨기거나 은폐하려는 의도는 전혀 없었다"라고 강조했다.

위믹스 측의 향후 주요 대응책 중 하나는 보안강화다. 아직 확정되지는 않았으나 내부적으로 유력한 원인으로 파악한 부분은 2023년 7월에 서비스 작업자가 편의를 위해 공용 저장소에 자료를 업로드한 부분이다. 이 자료가 유출되며 인증 과정에 대한 해킹이 발생한 것으로 파악됐다. 김석환 대표는 해당 직원은 현재는 재직 중이 아니며, 이 사례가 100% 확실하다고 확정되지 않았기에 즉각적으로 조치하기는 어렵다고 설명했다.

이에 3월 21일에 임시 중단된 서비스를 오픈하는 것에 맞춰 보안과 관련한 부분을 대거 교체했다. 동일 경로로 침투할 수 없도록 로직과 인증 로직을 시작으로, 전체 인프라를 새로운 환경으로 이전 중이다. 안용운 위메이드 CTO는 "NFT 브릿지 서비스를 먼저 오픈하며 모든 키를 교체했기에 해커가 뭘 들고 있다고 해도 동일한 이슈가 발생할 가능성은 작다. 아울러 서버에 위험요인이 남아 있을 수 있기에 소스코드를 새로 빌드했고, 새로운 환경에 새로운 인프라를 구축했다. 21일을 기점으로 경로도 막히고, 키와 인프라도 교체된다"라고 말했다.

피해 복구 측면에서 중요한 부분은 위메이드와 위믹스 재단의 바이백(자사 코인 매수)다. 기존에 공지한 대로 100억 원 규모에, 추가로 위믹스 코인 2,000만 개를 추가로 사들인다. 이렇게 확보한 위믹스는 마케팅 및 개발 지원, 향후 지급될 팀 보상 등에 활용된다. 아울러 바이백이 시장에 미치는 영향을 최소화하기 위해 매수 기간은 1년 정도로 다소 길게 잡았고, 완료되면 최종 바이백 수량을 보관한 지급 주소와 함께 이를 공지한다.

김석환 대표는 "3월 14일부터 바이백에 돌입했고, 실행하고 있다. 추가 위험에 대비하는 차원에서 복수의 볼트(코인 보관 금고)를 사용할 것이다"라며 "바이백 재원은 위믹스 재단은 물론 위메이드 전사 차원에서 재원을 총동원하여 적절한 방식으로 부담하는 방향으로 생각 중이다. 위믹스 재단과 위메이드는 생태계 정상화를 위한 피해회복이 최우선이라 생각하고 있다"라고 전했다. 이와 함께 닥사(DAXA)에 대한 소명에도 성실하게 임하고 있다고 덧붙였다.

다만 바이백에 대한 정확한 시점이나 방법 등에 대해서는 사전에 공지하기 어렵다는 입장을 고수했다. 김석환 대표는 "시점을 공개하게 되면 차익거래자가 이용할 우려가 있다. 방식 역시 구체적으로 공개하는 것이 법률적인 위험도가 있는지, 없는지도 검토된 바 없어 또 다른 문제가 발생할 수 있다. 시장 매수에 대해서는 정해진 규율이나 법률이 없기에 더 조심스럽다"라고 말했다.

해킹한 공격자는 끝까지 추적해 응당한 조처를 하도록 한다는 입장이다. 기자회견 현장에서는 그 정체가 북한 해킹집단 라자루스가 아니냐는 질문이 나왔고, 김석환 대표는 "내부와 외부 보안 전문가 의견을 종합해 봤을 때 라자루스일 가능성에는 무게를 두고 있지는 않다"라고 말했다.