S2W의 Talon에서 발표한 클레이스왑 사고의 상세 분석 보고서 살펴보니
공격자들이 악용한 BGP Hijacking 기법과 자금 흐름, 대응방안 등 자세히 소개
BGP Hijacking 공격의 경우 모니터링과 IP Prefix Filtering, RPKI로 대응 필요

지난 2월 3일 국내 최대 규모 디파이(Defi, 탈중앙화 금융) 서비스 ‘클레이스왑(KLAYswap)’에서 22억 규모에 달하는 가상자산(암호화폐)이 탈취되는 사건이 발생해 커다란 충격을 준 바 있다. 이러한 가운데 클레이스왑 해킹에 ‘BGP Hijacking’ 공격기법이 동원됐다는 내용과 함께 전체적인 사고의 흐름, 공격 수법, 대응방안 등을 다룬 상세 분석 보고서가 발표돼 큰 관심을 모으고 있다.

클레이스왑 해킹으로 드러난 BGP Hijacking 공격기법, 도대체 뭐길래?

https://www.facebook.com/plugins/like.php?href=http://www.boannews.com/media/view.asp?idx=104743&layout=button_count&show_faces=false&width=100&action=like&font=arial&colorscheme=light  |  입력 : 2022-02-13 02:37

   https://www.boannews.com/media/include/media_view_banner.asp#클레이스왑 해킹#가상자산#암호화폐#코인#BGP Hijacking#사이버공격#S2W#탈론#카카오S2W의 Talon에서 발표한 클레이스왑 사고의 상세 분석 보고서 살펴보니
공격자들이 악용한 BGP Hijacking 기법과 자금 흐름, 대응방안 등 자세히 소개
BGP Hijacking 공격의 경우 모니터링과 IP Prefix Filtering, RPKI로 대응 필요

[보안뉴스 권 준 기자] 지난 2월 3일 국내 최대 규모 디파이(Defi, 탈중앙화 금융) 서비스 ‘클레이스왑(KLAYswap)’에서 22억 규모에 달하는 가상자산(암호화폐)이 탈취되는 사건이 발생해 커다란 충격을 준 바 있다. 이러한 가운데 클레이스왑 해킹에 ‘BGP Hijacking’ 공격기법이 동원됐다는 내용과 함께 전체적인 사고의 흐름, 공격 수법, 대응방안 등을 다룬 상세 분석 보고서가 발표돼 큰 관심을 모으고 있다.

[이미지=utoimage]
데이터 인텔리전스 기업 에스투더블유(S2W)의 CTI 그룹인 Talon(탈론)에서 발표한 클레이스왑 사고의 상세 분석 보고서에 따르면 이번 공격에는 국내에서는 다소 생소한 ‘BGP Hijacking’ 기법이 악용된 것으로 드러났다. 이에 <보안뉴스>에서는 보고서 내용을 중심으로 해당 공격기법에 대한 자세한 설명과 함께 공격자의 사전 준비 정황과 자금 흐름 추적, 다크웹과의 연관성, 그리고 대응방안 등을 요약해 소개한다.

클레이스왑에서 공개한 Incident Report에 따르면 2022년 2월 3일 11:31:41경(한국시간 기준), 클레이스왑 UI를 통해 토큰(암호화폐)이 공격자의 특정 지갑으로 전송되는 이상 트랜잭션이 최초로 실행된 것으로 알려졌다. 해당 사고의 원인으로 외부 네트워크망 공격에 의한 사용자의 Kakao SDK 파일 위장 악성코드 다운로드가 제기됐다.

클레이스왑 뿐만 아니라 카카오톡 관련 서비스들은 마케팅 목적으로 카카오 SDK(Software Development Kit)라는 파일을 동적으로 로딩해 사용하는데, 해당 공격이 이루어지는 동안 ‘카카오톡 QR체크인’, ‘카카오맵’, ‘다음’ 등과 같은 해당 SDK를 사용하는 서비스에서 접속이 되지 않거나 느려지는 문제가 발생한 것으로 드러났다.

이는 본지가 ‘카카오, QR체크인과 다음 등 서비스 오류로 먹통돼’라는 제목의 2월 3일자 기사를 통해 카카오 QR체크인과 카카오맵, 그리고 포털 서비스 ‘다음’ 일부 페이지 등이 3일 오전 오류를 일으켰다는 기사에서도 확인할 수 있다.

출처:https://www.boannews.com/media/view.asp?idx=104743

이 게시글이 문제가 될 시, 삭제하겠습니다