NFT 특성과 마켓 플레이스 취약점(문경숙)
NFT(Non-Fungible Token, 대체불가토큰) 특성과 마켓 플레이스 취약점
I. 토큰 이코노미의 새로운 성장동력, NFT 개요
- 토큰마다 고유의 값을 가지고 있어 A 토큰을 B 토큰으로 대체할 수 없는 토큰
- 자산(미술품, 디지털 콘텐츠 등)의 정보를 기록·저장 후 발행하는 고유한 토큰
- 디지털 작품에 대한 소유권이 유일무이하게 NFT를 소유한 자에게 있다는 점을 증명하는 ERC-721 기반의 대체 불가능한 토큰
가. NFT의 특징
| 특징 | 설명 |
| 추적용이 | 거래 내역, 소유자 정보 등이 블록체인에 공개적으로 기록되어 공유됨 |
| 쉬운거래 | 콘텐츠 또는 미술품 등의 창작자는 본인의 작품을 NFT 마켓 플레이스를 통해 손쉽게 판매가능 |
| 소유권 등 증명가능 | '디지털 소유권 증명 기술서'로 NFT를 활용하여 작품, 소장품 등의 소유권을 입증 |
| 토큰의 분할 | 디지털 자산, 콘텐츠 등에 대한 NFT 소유권을 일정한 크기의 토큰으로 분할하여 거래 가능 |
| 대체불가 | - 각 토큰은 고유한 가치를 지니기에 대체 불가 - 대체불가능 이더리움 네트워크 ERC-721 토큰 사용 |
| 부분 소유허용 | - 100ETH기준 90ETH, 10ETH 등으로 토큰 부분소유 허용 - 토큰 부분 소유 허용 및 교환도 가능 |
| 영속성 | - 토큰이 속한 서비스가 종료되어도 소유권은 영속함 - 토큰 기반의 애프터마켓이 활발해져 컨텐츠 가치 창출 |
나. NFT 주요 프로토콜
| 프로토콜 | 설명 |
| NFT Digitize (디지털화) |
- NFT 소유자는 파일, 제목, 설명이 완전히 일치하는지 확인 - 소유자는 적합한 포맷으로 raw data를 디지털 정보로 전환 |
| NFT Store (저장) |
- NFT 소유자는 블록체인 외부의 데이터베이스에 raw data를 저장 - 소유자는 가스를 소비하는 명령을 통해 raw data를 블록체인 내부에 저장할 것을 결정 |
| NFT Sign (서명) |
- NFT 소유자는 NFT 데이터를 포함한 거래내역에 서명 - 스마트컨트랙트에 거래내역을 전송 |
| NFT Mint (발행) |
- 스마트컨트랙트는 NFT 데이터가 담긴 거래내역을 받아 NFT를 발행 - NFT의 내부 기능은 토큰 표준에서 정의 |
| NFT Confirm (확인) |
- 발행 프로세스는 한 번 거래내역이 확인되면 완료 - NFT는 영속적인 증거(Proof)로서 유일한 블록체인 주소와 연결 |
다. 이더리움 기반의 NFT 발행 프로세스
- ERC(Ethereum Request for Comments)-721를 주로 활용하며 최근 ERC-1155표준도 활용
라. NFT의 장점
- 사용자들의 디지털 자산에 대한 소유권을 보장하기 위해 중요한 역할 담당
- 모든 종류의 디지털 자산들이 블록체인에 저장되어 소유권이 보장되고 안전하게 보관
II. NFT 마켓 플레이스 취약점
NFT 거래 시장의 성장으로 대규모 자금을 노리는 해킹과 거래 사기 등의 보안 위협이 증가하는 추세
가. 블록체인의 주요 사이버 위협 종류
| 구분 | 사이버 위협 | 내용 |
| 공급자 | 시스템 | 코드 취약성(시스템 측면) 스마트 컨트랙트 보안 위협 전자지갑(Hot Wallet) 대상 보안 위협(악성코드, 랜섬웨어, 가상자산 탈취 등) APT 공격 취약 등 |
| 기기/인프라 | (퍼블릭 블록체인) 분산 노드 해킹 위험 블록체인 생성 노드 또는 암호화폐 채굴 등 시스템에 대한 악성코드/랜섬웨어 유포 등 |
|
| 데이터 | (개인키, 공개키) 권한 탈취 51% 합의를 장악(하이재킹) 등 |
|
| 네트워크 | DDoS 공격 합의시간차 공격(플래시 론 공격) DNS, BGP Hijacking 등 |
|
| 이용자 | 서비스 이용 보안 이유 | 개인키 유출 전자지갑 보안 이슈 개인정보 유출 및 쉬운 암호화 해제 문제 등 |
나. 주요 NFT 기반 서비스 플랫폼 해킹 기법
| 종류 | 특징 |
| 악의적인 코드 업로드 | 악의적인 NFT를 피해자에게 전송하고 피해자가 해당 NFT 열람시, 해커가 피해자의 NFT 지갑 열람권을 획득하여 지갑 내 가상자산 및 NFT 탈취 |
| 이중 미인증 계정 | 이중 인증되지 않은 계정을 해킹하여 보유하고 있는 NFT를 해커의 지갑으로 이전시킨 후 판매 |
| 웹 사이트 취약점 | 마켓 플레이스 웹사이트의 보안 취약점을 악용하여 구매 또는 판매 가격을 조작하여 저가에 NFT를 획득한 후 고가로 재판매 |
- 서비스 플랫폼 해킹은 디자인과 개발 단계에서 보안 취약점으로 인한 보안 위협에 대응하기 위한 설계에 대하여 충분한 검토가 이루어지지 않았다는 점이 원인으로 지목되고 있음
다. 주요 NFT 서비스 이용자 대상 해킹 기법
| 종류 | 특징 |
| 복구 문자 훔치기 | 공격자가 이메일, 문자(SMS), 디스코드(Discord)등을 통해 허위 사이트 링크를 이용자에게 전송하고 허위 사이트에서 이용자의 복구 문자를 입력하도록 유도하여 탈취 |
| 허위 메시지 발송 | 허위 플랫폼 또는 공격자 지갑으로 연결한 뒤, 정상적인 거래가 발생한 것으로 위조된 메시지를 이용자에게 전송하여 개인키 서명을 유도하여 공격자에게 자산이 이관되도록 하는 기법 |
- 이러한 해킹기법으로 인해 NFT 서비스 플랫폼과 이용자를 대상으로 하는 보안 사고의 발생이 꾸준히 증가하고 있으며, 이로 인한 금전적 피해도 발생
라. NFT 해킹, 보안사고 사례
현대자동차 NFT 해킹 (’22.05)
BAYC 해킹 (’22.04)
엑시 인피니티 해킹 (’22.03)
OpenSea 해킹 (’22.02): 21억원
OpenSea 해킹 (’22.01) : 12억 3천만원
Monkey Kingdom 해킹 (’21.12)
OpenSea 해킹 (’21.09)
Banksy.co.uk 해킹 (’21.08)
Nifty Gateway 해킹 (’21.03)
- 한편, NFT 활용 분야와 적용 사례가 증가함에 따라 블록체인을 기반으로 하는 서비스, 시스템에 대한 보안 공격이 점차 고도화되고 있으며, 이동통신회사·본인인증 서비스·SNS 등 제3자를 통한 공격이 증가하는 추세
마. 향후 예상 NFT 보안 공격 목표 대상
| 구분 | 설명 |
이용자의 지갑 탈취 |
NFT 발행·관리에 사용되는 ERC-721 기반 소스 코드(Source code)에서 취약점을 악용
|
스마트 컨트랙트 보안 위협 |
서비스와 플랫폼에서는 스마트 컨트랙트를 통해 NFT의 매매와 양도가 이루어지는데
|
블록체인 오라클 보안 및 신뢰성 위협 |
스마트 컨트랙트의 운영과 작동을 위해 외부 정보의 요청·검증을 위해서 필요한 “블록체인 오라클(Blockchain Oracle, 이하 오라클)”에 대한 보안 및 신뢰성의 위협 발생 |
바. 대응방안, 시사점
경제·사회 전반에 메타버스·NFT 활용이 확대됨에 따라 관련한 보안 이슈 발굴 및 대응책 마련 필요
국민의 안전한 이용환경 제공과 관련 기업의 비즈니스 기반 확대를 위해 민·관 협력체계 구축 및 보안 가이드 개발
가상세계와 현실세계에서 동일한 위협이 함께 발생하는 “위협의 동기화” 예방을 위한 법·제도적 검토 필요
안전하고 신뢰할 수 있는 메타버스 환경 구축을 위한 법·제도 등의 개선 노력 필요