보안과 익명성을 장점으로 내세우는 암호화폐 버지(XVG)가 해킹으로 하드포크를 단행한다. 그러나 여전히 코드에 허점이 있다는 주장이 제기되면서 추가 피해가 우려된다. 또 17일로 예정된 대규모 파트너십 발표에 어떤 영향을 미칠지도 관심이다.

지난 4일(현지 시간) 암호화폐 커뮤니티 ‘비트코인 포럼’에서 ‘ocminer’라는 계정명을 사용하는 한 이용자는 “버지 코드의 버그를 이용한 51% 공격이 일어나고 있다”고 주장했다. 그는 해킹 방식에 대해 “타임스탬프(어느 시점에 데이터가 존재했다는 사실을 증명하기 위해 표시하는 시각)를 조작해 채굴되는 모든 블록을 독점했다”고 설명했다. 버지 채굴에 필요한 알고리즘은 5개로 블록이 발생할 때마다 알고리즘을 번갈아 사용한다. 해커는 타임스탬프를 위조해 하나의 알고리즘만으로 채굴에 성공하면서 훨씬 적은 연산력으로 채굴 대부분을 독식했다. 비트코인 포럼에서 ‘Dogedarkdev’라는 계정명을 사용하는 버지 개발자는 해커가 “3시간 동안 최대 25만 개 코인에 해당하는 블록을 공격했다”고 밝혔다.

버지는 이날 트위터에 “약 3시간 동안 작은 해시 공격이 있었다”며 “지금은 정리됐다”는 입장을 밝혔다. 버지는 공격으로 발생한 피해를 바로잡기 위해 하드포크를 실행하겠다고 밝혔다. 이에 비트코인 포럼의 한 이용자는 “ocminer가 모든 사람의 이목을 끌지 않았더라면 버지 팀은 결코 문제를 인정하거나 공개하지 않았을 것”이라고 비판했다.



버지의 해명에도 불구하고 여전히 위험이 도사리고 있다는 주장이 제기됐다. 비트코인 포럼에서 ‘IDCtoken’이라는 계정명을 사용하는 사용자는 이날 자신이 이번 사건을 주도한 해커라는 사실을 암시하며 버지의 블록체인에 아직도 허점이 있다고 주장했다. 그는 “여전히 악용할 수 있다는 사실을 확인했기에 버지에게 문제를 해결할 시간을 주겠다”며 “문제를 고치지 않으면 패치 불가능한 다른 사건을 만들겠다”고 경고했다. 이어 “진짜 개발자를 구해 코드를 수정하라”며 “유사한 공격을 시도할 수 있는 또 다른 2가지 악용 사례를 찾았다”고 조롱했다.

‘ocminer’가 언급한 51% 공격은 블록체인이 가장 우려하는 해킹 시도이지만 현실적으로 실행이 어려워 이론상의 위험으로만 치부돼왔다. 암호화폐 시스템에서 채굴자는 컴퓨터 연산력을 이용해 블록체인에 기록되는 거래를 증명하고 대가로 코인을 받는다. 이때 악의적인 채굴자가 전체 채굴 능력의 51%를 점령한다면 거래가 위변조될 수 있다. 비트코인은 지난 9년간 단 한 차례도 51% 공격으로 인한 피해를 입은 적은 없지만, 이번 사건으로 코드에 허점이 있다면 블록체인도 공격에서 안전할 수 없다는 우려가 제기된다.

이번 사건으로 시장은 불안에 떨었다. 지난 4일 대규모 파트너십 체결 등에 대한 기대감으로 코인마켓캡 기준 시가총액은 11억3,120만 달러수준을 기록했지만 지난 5일 장중 한때 7억5,021만 달러로 폭락했다.

/황보수현 인턴기자 soohyeonhb@decenter.kr

황보수현 기자

soohyeonhb@decenter.kr