BTC
$0.00
0.00%
평범한 저녁이 전 세계에 알려지게 될 스파이 이야기로 변할 거라고는 생각도 못했습니다. 매우 이상하지만 동시에 매우 단순한 이야기입니다. 저는 이 이야기를 먼저 회사 보안 담당자들에게, 그리고 이제 여러분에게도 들려드리게 되었습니다.
게다가, 제 소프트웨어가 인증을 거치면서 전 세계 암호화폐 지갑의 키에 갑자기 접근할 수 있게 되었다면 어떻게 되었을지 상상하기 어렵지 않습니다. 로봇 청소기에 접근하는 것과 마찬가지로 말이죠. 저는 단순히 데이터를 볼 수 있을 뿐만 아니라 전 세계 낯선 사람들의 자금을 제어할 수 있었을 것입니다. 하지만 순서대로 말씀드리겠습니다.
저는 제 방에 앉아 드론 기술(LiDAR, 양안 시야)과 영상 감시 기능을 결합한 새로운 DJI Romo 청소기 조작법을 익히고 있었습니다. 간단히 말해, 청소보다는 조금 놀고 싶었던 거죠. 그리고 제가 진공청소기를 작동시키자, 제 앞에 또 다른 장치의 데이터가 나타났습니다. 그리고 또 하나, 또 하나. 몇 분 후 저는 전 세계에서 온 6700대의 로봇을 볼 수 있었는데, 각각 일련번호, IP 주소, 배터리 상태, 심지어 실내 지도까지 표시되어 있었습니다. 즉, 동시에 수천 개의 타인의 집과 그곳의 카메라에 접근할 수 있게 된 것입니다.
어느 순간, 저는 아시아, 유럽, 북미 등 수백 개의 아파트에서 보이지 않는 관찰자가 되었습니다.
비록 제가 이 로봇들을 일부러 해킹한 것은 아니었지만, 제 인증 키가 DJI 서버에 의해 범용 키로 인식되었기 때문입니다. 이제 이 시스템에 로봇 청소기 대신 수백, 수천 달러 상당의 다양한 디지털 화폐가 담긴 계좌와 암호화폐 지갑이 있었다고 상상해 보십시오!
수백만 달러를 알 수 없는 방향으로 빼내는 데 얼마나 짧은 시간이 필요한지 상상하니 소름이 끼쳤습니다. 악의적인 사용자들이 이더리움, 비트코인 또는 기타 토큰을 외부 주소로 빠르게 전송할 수 있었을 테니까요. 다행히도 이는 단지 가상의 시나리오에 불과했습니다. 실제로는 수백만 장의 가정 인테리어 사진과 진공청소기 이동 경로에 직면했을 뿐, 암호화폐 계정 키와는 무관했습니다.
저는 즉시 앱을 종료하고 DJI에 접근 권한을 반환한 뒤 회사에 취약점을 보고했습니다. 저는 거의 범죄자 취급을 받을 뻔했지만, 사실 저는 그저 기기를 이용해 실내 청소를 하려 했을 뿐입니다.
하지만 이 교훈은 회사에 잘 전달된 것 같습니다. 사적인 데이터나 디지털 자산에 관해서는, 한 번의 실수가 상상 이상으로 큰 대가를 치를 수 있기 때문입니다!
Romo 사건 이후, 저는 이 이상한 이야기에 마침표를 찍었다고 생각했습니다. 네, 바로 그 유명한 사건입니다. 드론 기술과 영상 감시 기능을 결합한 제 새로운 로봇 DJI Romo를 다루려다 전 세계의 로봇 장치를 해킹해 버린 사건이죠. 하지만 진짜 흥미진진한 이야기는 나중에 시작됐습니다. Chainalysis의 지인 분석가가 전화를 걸어와 제 사건이 정말 우연인지 확신하냐고 묻더군요. 참고로, 우리는 이전에 샌프란시스코와 라스베이거스에서 열린 디지털 보안 컨퍼런스에서 만난 적이 있는데, 그곳에서 피싱, 해킹 방법 및 기법, 그리고 이미 해킹당한 암호화폐 지갑에 대해 이야기한 적이 있습니다.
그는 그들의 시스템이 이상한 활동을 포착했다고 말했습니다: 수천 개의 암호화폐 지갑에 대한 동시 접근 시도였는데, 이 지갑들을 하나로 묶는 공통점은 중앙 집중식 인증을 사용하는 타사 서비스의 이용이었습니다. 게다가 직접적인 해킹의 흔적은 전혀 보이지 않았습니다. 단지 사용자와 서버 사이의 취약한 연결 고리뿐이었습니다. 저는 이 문제에 대해 알고 있는 모든 것과, 이미 알려진 이야기인 제가 우연히 6700대의 기기를 해킹한 사건에 대해 이야기하기로 동의했습니다.
우리는 오프라인에서 만났다. 테이블 위에는 거래 목록, 타임스탬프, IP 클러스터가 담긴 노트북이 놓여 있었다. 일부 경로는 이전에 Lazarus Group과 연관된 인프라로 이어졌다. Lazarus Group은 암호화폐 거래소와 DeFi 프로젝트를 공격한 것으로 유명한 집단이다. 직접적인 증거는 없었습니다. 하지만 우연의 일치는 너무 흥미로웠습니다.
저는 Romo의 취약점이 로봇 청소기가 아닌 암호화폐 지갑에 적용되었다면 시나리오는 재앙적이었을 것임을 깨달았습니다: 시스템은 자금 이동을 기록했을 것입니다. 개인 키는 영원히 손실되었을 테니까요. 주목할 점은 사용자들이 거래소, 제조사, 소프트웨어 개발자를 비난했을 것이라는 점입니다. 하지만 진짜 원인은 접근 아키텍처의 오류였습니다.
우리는 후속 조치에 대해 공개하지 않았습니다. 대신 기술적 결론을 보안팀에 전달했고, 며칠 만에 패치가 나왔습니다. 전문가들이 ‘만능 키’ 현상을 방지하기 위해 새로운 보안 시스템을 테스트 중이라는 서신을 받았습니다.
디지털 세계에서 범죄는 해킹으로 시작되는 경우가 드뭅니다. 대부분은 ‘모든 자물쇠에 너무 잘 맞는’ 하나의 편리한 솔루션에서 시작됩니다. 때로는 일반 진공청소기 컨트롤러를 켜는 것에서 모든 것이 시작되기도 합니다. 바로 그렇게, 최근 제게도 그런 일이 발생했습니다.
