지난 19일(현지 시각) 세계 최대 NFT(대체불가토큰) 거래소 ‘오픈씨(Opensea)’가 피싱 공격을 받아 총 254개에 달하는 NFT를 도난당했다고 IT전문매체 더버지가 보도했다. 여기에는 ‘지루한 원숭이 요트 클럽(Bored Ape)’, 두들스 등 인기 시리즈가 다수 포함됐다.
이날 오후 5시에서 8시 사이, 총 32명의 사용자 계정에서 비정상적인 NFT 전송이 감지됐다. 일부 NFT 소유권이 무상으로 양도된 것. 데빈 핀저 오픈씨 최고경영자(CEO)는 “현재까지 총 32명의 사용자들이 해커의 악의적인 페이로드(스팸메일 등 악성 코드가 심어진 이메일)에 서명했으며, 일부 NFT가 도난당했다”고 밝혔다.
핀저 CEO에 따르면, 도난당한 NFT 중 일부는 반환됐으며 해커들은 일부를 환전해 170만 달러(약 20억 3000만원) 상당의 이더리움(ETH)를 보유하고 있을 것으로 예상된다.
피싱은 NFT 스마트컨트랙트 표준처럼 쓰이는 ‘와이번 프로토콜’의 유연성을 악용한 것으로 보인다. 해커들은 피해자들로부터 중요한 부분이 공백으로 남아있는 ‘빈 계약서’에 날인하게 한 뒤, 빈칸에 자신들에게 유리한 정보를 채우는 방식으로 NFT를 챙겼다.
NFT는 통화와 달리 독특하고 대체 불가능한 특성을 가지고 있어 디지털 거래에서 활발하게 이용되고 있다. 최근 1년 간 NFT 인기가 급증함에 따라 관련 범죄도 갈수록 증가하는 추세다. 사기는 시중에 있는 이미지를 도용해 ‘짝퉁’ NFT를 만들거나, 가짜 NFT 스토어 및 악성코드를 심은 NFT 배포, 쉼표를 마침표로 바꿔 가격을 교묘히 속이는 방법 등 여러 유형으로 일어나고 있다.
전자신문인터넷 서희원 기자 (shw@etnews.com)
