클레이스왑 해킹으로 드러난 BGP Hijacking 공격기법, 도대체 뭐길래?

S2W의 Talon에서 발표한 클레이스왑 사고의 상세 분석 보고서 살펴보니
공격자들이 악용한 BGP Hijacking 기법과 자금 흐름, 대응방안 등 자세히 소개
BGP Hijacking 공격의 경우 모니터링과 IP Prefix Filtering, RPKI로 대응 필요

지난 2월 3일 국내 최대 규모 디파이(Defi, 탈중앙화 금융) 서비스 ‘클레이스왑(KLAYswap)’에서 22억 규모에 달하는 가상자산(암호화폐)이 탈취되는 사건이 발생해 커다란 충격을 준 바 있다. 이러한 가운데 클레이스왑 해킹에 ‘BGP Hijacking’ 공격기법이 동원됐다는 내용과 함께 전체적인 사고의 흐름, 공격 수법, 대응방안 등을 다룬 상세 분석 보고서가 발표돼 큰 관심을 모으고 있다.

데이터 인텔리전스 기업 에스투더블유(S2W)의 CTI 그룹인 Talon(탈론)에서 발표한 클레이스왑 사고의 상세 분석 보고서에 따르면 이번 공격에는 국내에서는 다소 생소한 ‘BGP Hijacking’ 기법이 악용된 것으로 드러났다. 이에 <보안뉴스>에서는 보고서 내용을 중심으로 해당 공격기법에 대한 자세한 설명과 함께 공격자의 사전 준비 정황과 자금 흐름 추적, 다크웹과의 연관성, 그리고 대응방안 등을 요약해 소개한다.

클레이스왑에서 공개한 Incident Report에 따르면 2022년 2월 3일 11:31:41경(한국시간 기준), 클레이스왑 UI를 통해 토큰(암호화폐)이 공격자의 특정 지갑으로 전송되는 이상 트랜잭션이 최초로 실행된 것으로 알려졌다. 해당 사고의 원인으로 외부 네트워크망 공격에 의한 사용자의 Kakao SDK 파일 위장 악성코드 다운로드가 제기됐다.

클레이스왑 뿐만 아니라 카카오톡 관련 서비스들은 마케팅 목적으로 카카오 SDK(Software Development Kit)라는 파일을 동적으로 로딩해 사용하는데, 해당 공격이 이루어지는 동안 ‘카카오톡 QR체크인’, ‘카카오맵’, ‘다음’ 등과 같은 해당 SDK를 사용하는 서비스에서 접속이 되지 않거나 느려지는 문제가 발생한 것으로 드러났다.

이는 본지가 ‘카카오, QR체크인과 다음 등 서비스 오류로 먹통돼’라는 제목의 2월 3일자 기사를 통해 카카오 QR체크인과 카카오맵, 그리고 포털 서비스 ‘다음’ 일부 페이지 등이 3일 오전 오류를 일으켰다는 기사에서도 확인할 수 있다.

S2W에서 해당 사건과 관련된 분석을 진행한 결과, 클레이스왑에서 언급한 외부 네트워크망 공격에 BGP Hijacking 기법이 활용된 것으로 파악된 것이다. 공격자는 BGP Hijacking을 통해 네트워크 흐름을 조작함으로써 클레이스왑에 접속한 일반 사용자들이 정상적인 SDK 파일이 아닌 공격자가 세팅한 서버로부터 악성코드를 다운로드 받도록 구성한 것으로 드러났다.

이에 따라 접속 시 HTTP 헤더의 Referer 값을 확인하여 클레이스왑을 통해 접속한 사용자들에게만 악성코드를 유포했으며, 이외의 유저들에게는 서버 쪽 에러로 반환시킨 것으로 알려졌다. 이러한 이유 때문에 해당 SDK를 사용하는 이외 서비스들에 대한 접속 장애가 이루어졌던 것으로 보인다.

이번 공격으로 인해 2월 3일 11시 30분부터 1시간 30분동안 클레이스왑 사용자가 자산 예치·스왑·인출 등을 요청할 경우, 즉시 악성코드에 명시된 해커의 지갑으로 코인이 전송됐으며, 블록체인 트랜잭션을 분석한 결과 탈취된 코인은 약 22억원의 가치이지만, 실제 공격자는 최종적으로 약 10억원 가치의 코인을 탈취해간 것으로 확인됐다는 게 S2W 측의 설명이다.

출처:https://www.boannews.com/media/view.asp?idx=104743

이 게시글이 문제가 될 시, 삭제하겠습니다