2022년 11월 11일 밤, FTX 직원은 이미 FTX의 짧은 역사 중 최악의 밤을 보냈다. 불과 10개월 전만 하더라도 시가총액 320억 달러를 기록한 세계 최대 가상자산 거래소 중 한 곳인 FTX가 파산 선언을 했다. FTX 파산에 맞선 싸움이 이어진 뒤 경영진은 CEO인 샘 뱅크먼 프리드를 설득하여 상황 수단이 없는 듯한 악몽과 같은 부채 더미를 해결하려 하는 신임 CEO인 존 레이 3세(John Ray III)에게 자리를 넘기도록 했다.
FTX의 상황은 더 심각해질 수 없을 정도로 최악이 된 듯하다. 아직 신원이 밝혀지지 않은 탈취 세력이 파산 선언한 FTX를 더 심각한 상황으로 몰아넣기 전까지의 일이다. FTX가 파산 선언을 한 금요일 저녁, FTX 직원은 지친 상태에서 FTX의 암호화폐 자산이 인출되는 의문스러운 상황을 포착하기 시작했다. 이더리움 블록체인을 추적하는 웹사이트인 이더스캔에 공개적으로 포착된 바에 따르면, FTX는 실시간으로 수억 달러 상당의 암호화폐 탈취 피해를 겪었다.
FTX 내부 문제를 공개적으로 발언할 권리가 없어 익명을 요청한 어느 한 FTX 전 직원은 당시 상황을 떠올리며, “빌어먹을 상황이었다. 결국, FTX가 해킹된 것인가 의문을 제기하게 되었다”라고 전했다.
FTX 자체 회계에 따르면, 파산 과정에서 공개된 금액 기준 신원 불명의 탈취 세력은 FTX의 암호화폐 4억 1,500만 달러~4억 3,200만 달러를 탈취했다. FTX가 이전에 밝히지 않은 사실이 있다. 바로 더 많은 암호화폐 탈취 피해가 발생했을 가능성, 즉, FTX 네트워크에 존재하는 악의적인 세력이 암호화폐를 탈취하기 전 10억 달러가 넘은 암호화폐를 더 안전한 저장소로 이체한 과정을 숨긴 방식이다. 당시 암호화폐 자산 이체는 어느 한 컨설턴트 사무실에서 물리적 USB 드라이브로 서둘러 5억 달러를 전송하여 탈취 세력의 접근을 막으려 한 시점에도 이루어졌다.
긴급 요청
명예가 실추된 샘 뱅크먼 프리드의 재판이 2주 넘게 이어지자 암호화폐 커뮤니티 관계자 다수는 샘 뱅크먼 프리드의 통제 권한이 사라진 몇 시간 뒤 발생한 FTX의 재앙과 같은 탈취 피해를 암시할 만한 단서를 찾고자 재판 상황을 예의주시하고 있다. 현재 가장 불확실한 부분은 FTX 내부자인지 혹은 외부 해커 세력인지 알 수 없는 FTX 암호화폐 탈취 세력의 정체이다. 암호화폐 탈취 세력의 정체는 지금도 밝혀지지 않았으며, 뱅크먼 프리드나 다른 FTX 경영진 중 암호화폐 탈취 혐의를 받은 이는 없다.
그러나 이제 와이어드는 암호화폐 탈취 피해를 제한하고, 수십억 달러에 이르렀을 수도 있는 금액 손실을 막으려 한 FTX의 혼란스러운 밤샘 대응 상황을 밝힐 수 있다. 존 레이 3세가 이끄는 새로운 FTX 경영진은 FTX 암호화폐 탈취 사건 관련 인터뷰를 거부했다. 하지만 와이어드는 회생 기업 알바레즈&마살(Alvarez & Marsall)이 FTX 파산 사건을 다루면서 제출한 상세 인보이스 내용에 담긴 시간별 상세 위기 대응 내용, 암호화폐 탈취 사건에 즉각 대응한 인물, 암호화폐 추적 기업 엘립틱(Elliptic)의 블록체인 분석 데이터 등을 바탕으로 암호화폐가 탈취된 날 밤의 상황을 파악했다.
암호화폐 탈취 대응은 2022년 11월 11일 밤 10시께 FTX 계열사 레저X(LedgerX) CEO 잭 덱스터(Zach Dexter)가 FTX 재직 직원, 파산 전문 변호사, 자문 위원, 컨설턴트 등 20명이 넘게 참여한 구글 밋 단체 회의 초대 메시지를 보내면서 시작됐다. 초대 메시지에는 “긴급하다”라는 한 마디만 작성됐다.
일부 직원이 서둘러 구글 밋 화상회의에 참석했다. 이후 회의는 20명 넘게 참석한 가운데 12시간 동안 이어졌다. 회의 참석자 모두 이더스캔에서 FTX 지갑에 보관된 암호화폐가 모두 사라진 사실이 실시간으로 기록된 것을 보았다. 그러나 FTX가 암호화폐를 보관한 곳이나 암호화폐를 보관한 지갑을 관리할 시크릿 키 관리 방법을 정확히 아는 이는 거의 없었다. 뱅크먼 프리드와 그의 측근 인사 등 소수 인물만 아는 정보였다. 해당 회의 참석자는 뱅크먼 프리드가 회의 도중 얼굴을 비춘 적이 없으나 FTX 공동 창립자이자 최고 기술 책임자인 개리 왕(Gary Wang)이 참석했다고 밝혔다.
[사진=Freepik]
당시 왕은 존 레이 3세의 측근 인사 다수가 불신하는 인물이 되었다. FTX 붕괴 도중 왕은 초기에 뱅크먼 프리드의 편에 섰으나 FTX 내 다른 이들이 며칠간 설득에 나선 뒤 뱅크먼 프리드와 거리를 두었다.
왕은 초기에 암호화폐 자산이 모두 탈취된 지갑을 보호하는 시크릿 키를 변경하는 간단한 방식으로 추가 탈취를 막을 수 있다고 말하면서 긴급회의에서 비판론자의 신뢰를 얻지 못했다. 와이어드의 취재에 응한 FTX 전 직원은 왕의 시크릿 키 변경 발언이 무의미하다고 판단했다. 네트워크 접근 권한을 손에 넣었다면, 누구나 새로운 키를 얻고, 탈취 행위를 이어갈 수 있기 때문이다. 해당 직원은 “FTX 암호화폐 탈취 대응 시 왕의 의견에 의존하는 일은 상황을 조작할 기회를 주는 셈이다. 시크릿 키만 변경한다고 해서 암호화폐 탈취를 막을 수 있겠는가?”라고 말했다. 뱅크먼 프리드와 같은 혐의로 이미 유죄 판결을 받은 왕은 변호인단을 통해 요청한 의견 공개 요청에 답변하지 않았다.
그러나 구글 밋 화상회의 시작과 함께 덱스터는 FTX 자산을 보호할 다른 방식을 모색하기 시작했다. FTX 암호화폐 탈취 일주일 전 디지털 자산 신탁 기업 비트고(BitGo)가 FTX 파산 절차 감독을 담당한 법무법인 설리번&크롬웰(Sullivan & Cromwell)과 FTX의 잔여 암호화폐 보유액 수탁을 두고 협상하기 시작했다. 덱스터는 비트고에 연락해 설리번&크롬웰이 FTX와 시작한 오랜 법적 계약 과정을 피하려 했다. 대신, 덱스터는 FTX의 남은 암호화폐를 은신처로 옮길 수 있도록 비트고에 즉시 암호화폐를 오프라인 환경에서 안전하게 보관하는 콜드 스토리지 지갑 개설을 요청했다. 덱스터는 와이어드의 의견 공개 요청에 답변하지 않았다.
비트고는 30분 만에 FTX 자산을 보관할 지갑을 개설할 수 있다고 답변했다. FTX 직원은 그 과정이 너무 느릴 것을 걱정했다. FTX 암호화폐 탈취 세력이 FTX 지갑에 보관된 수억 달러 상당의 암호화폐를 추가로 탈취할 수도 있었기 때문이다.
구글 밋 회의 참석자 중 누군가가 비트고의 지갑 개설이 완료되기 전까지 FTX 암호화폐를 보관할 개인 하드웨어 지갑을 보유한 이가 있는지 물어보았다. 이때, 알바레즈&마살의 FTX 자문 위원 쿠마난 라마나단(Kumanan Ramanathan)이 나섰다. 라마나단은 사무실에 탈취 위험성이 있는 FTX 자산을 임시 보관할 지갑으로 제공한 USB 드라이브 하드웨어 지갑인 레저 나노(Ledger Nano)를 구비한 상태였다.
라마나단은 2022년 11월 11일 오후 10시 30분경 레저 나노에 새로운 지갑을 개설했다. 전 FTX 직원은 라마나단이 FTX 암호화폐 보관용으로 개설한 지갑의 패스워드를 재차 확인하는 과정을 지켜본 사실을 기억한다. 왕이 FTX의 암호화폐를 이체하기 시작했으며, 라마나단은 USB 드라이브에 암호화폐 4억~5억 달러를 보관하게 되었다.
최종 긴급 전화
몇 분 뒤 비트고가 FTX 측에 지갑이 준비되었다고 연락했다. 이후 FTX는 라마나단의 레저 USB 드라이브가 아닌 비트고의 콜드 스토리지 지갑으로 수억 달러에 이르는 암호화폐를 보내기 시작했다. FTX 직원은 밤새 FTX 암호화폐가 보관된 모든 지갑을 추적한 뒤 비트고 지갑으로 모든 암호화폐를 이체했다. 언론 인터뷰 자격이 없어 익명을 요청한 또 다른 화의 참석자는 “당시 프라이빗 키 여러 개와 FTX 자산이 보관된 곳의 위치를 찾고자 시스템을 수정했다. 혼란스러운 상황이었다”라고 말했다.
FTX 직원은 경영진이 탈취 위험성이 있는 자산 이체를 마치려 하는 과정에 초점을 맞추었을 때 라마나단은 왕이 처음 자신의 레저 지갑으로 보낸 암호화폐를 그대로 보관했다. 이 때문에 FTX 자산 약 5억 달러를 개인이 물리적 지갑에 보유한 상황이 혼란을 유발했다. 그 자체로도 고유한 법적 위험성과 보안 위험성을 나타내기 때문이다. 2022년 11월 11일, FTX 자문 총괄 라인 밀러(Ryne Miller)는 서둘러 라마나단의 사무실로 향해 FTX 암호화폐를 안전하게 보관하는 작업을 도왔다. 라인 밀러는 와이어드의 의견 공개 요청을 거부했으며, 라마나단은 와이어드의 연락에 답변하지 않았다.
라마나단의 수임료 청구가 가능한 상담 시간 기록은 라마나단과 밀러가 11월 12일 오전 2시부터 5시까지 3시간 넘게 함께 있었던 것으로 나타났다. 실제로 라마나단은 경찰에 FTX 암호화폐 탈취 과정을 신고하면서 피해자 자산 거액을 보유했다고 밝히며, 경찰에 자산 보호를 위해 사무실 방문을 요청했다. 결국, 그 누구도 암호화폐 탈취 세력의 정체를 알아내지 못했다. 또한, FTX 암호화폐를 탈취한 세력이 라마나단의 USB 드라이브에 이체된 암호화폐에도 접근하려 했는지 밝혀내지 못했다.
물리적 위협은 발생하지 않았다. FTX 지갑에 보관된 자산을 빼돌리려는 시도는 라마나단의 레저 지갑으로 이체된 후 중단되었다. FTX 전 직원은 “라마나단은 개인 레저 지갑을 이용하여 위험성이 높은 일을 감행했다. FTX 지갑에 보관된 암호화폐 이체 작업을 이끌었다. 만약, 레저 지갑으로 FTX 암호화폐를 전송하지 못했다면, FTX 해킹의 금전 피해 규모는 훨씬 더 컸을 것이다”라고 말했다. 라마나단의 사무실에서 잠시 보관한 FTX 자산은 11월 12일 오후 5시경 비트고 지갑으로 이체됐다. 비트고는 FTX 지갑에 남은 암호화폐 약 11억 달러를 받게 되었다.
이후 뱅크먼 프리드와 왕은 포브스 보도 내용과 법원 문건을 통해 드러난 바와 같이 자산 안전성을 위해 바하마 정부가 관리하는 여러 계정으로 4억 달러 상당의 자산을 추가로 이체했다. 바하마 지갑으로 이체된 자산은 암호화폐 절도 사건 자체의 혼란을 일으킨 것으로 나타났다. FTX 해킹으로 암호화폐 탈취 사건이 발생한 날 기준 일주일이 지나자 일부 언론은 바하마 정부가 탈취 자산을 압수했다는 잘못된 정보를 보도했다. 엘립틱, 체이널리시스(Chainalysis) 등 복수 블록체인 데이터 분석 기업이 제시한 증거와 같이 FTX의 탈취 자산은 토르체인(THORchain), 레일건(Railgun) 등 탈취 암호화폐 자산으로 종종 이용하는 자산 혼합 서비스로 전송되었다.
드문 보호 장치, 문제 대비 계획은 부재
FTX의 암호화폐 추가 탈취를 막으려는 절망적인 시도 후 파산 절차를 다룬 FTX의 신임 경영진은 보안 실패가 암호화폐 탈취 피해로 이어진 것으로 널리 알려졌다.
2023년 4월, FTX의 파산 절차 일환으로 부주의한 것으로 추정되는 인물의 명단을 공개했다. 전 FTX 경영진 중에는 개인 최고 정보보안 책임자가 없었으며, 실제 전문 보안팀도 없다. 사실상 암호화폐를 인터넷과 연결하여 사용하는 컴퓨터상 지갑인 핫월렛에 보관한 셈이다. 직원에게 암호화폐 중 10%를 핫월렛에 보관하라고 공개적으로 지시해도 마찬가지였다. 지갑이 암호화되지 않거나 자산 동결 상태를 해제하는 데 필요한 여러 키가 필요한 보안 시스템을 제대로 갖추지 못했다. 게다가 FTX는 여러 가지 문제를 비롯한 자산 이체를 하는 이와 시간 등을 알고 있어도 로그인 시스템을 갖추지 않았다.
FTX의 새로운 경영진이 경영권을 위임받은 당일인 11월 11일, FTX의 네트워크 깊은 곳까지 보안 침해가 발생한 사실을 발견하는 것이 불가능한 상황이라는 내용도 공개됐다. 해당 보고 내용에 따르면, “FTX의 안전한 암호화폐 자산 제어 능력이 없어, 채무자는 자산 수십억 달러가 추가로 손실됐을 수도 있는 위협을 직면했다”라고 전했다. 채무자는 존 레이 3세가 이끄는 FTX의 신임 관리자를 지칭한다. 또, “채권자는 문제를 지시할 지도가 없는 상태에서 암호화폐 자산 확인 및 접근 작업을 이어가면서 콜드 스토리지에서 발견한 여러 종류의 자산을 이체할 기술적 경로를 설계해야 했다’라고 전했다.
엉망인 보안과 체계 부재가 분명한 사실을 고려하면, FTX가 역사상 자산 피해 규모가 가장 큰 해킹 공격 대상이 된 것은 놀라운 일이 아니다. 그러나 암호화폐 탈취 상황을 포착한 혼란스러운 상황 도중 신속한 결정이 없었다면, 피해는 훨씬 더 심각했을 것이다.
FTX 전 직원은 “매우 혼란스러운 밤이었다. 추가 피해를 막으려는 노력이 성공했으며, 거액의 고객 자산을 지켜냈다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202310/5078_6608_1541.jpg)
뉴스레터 신청