마크 카펠레스(Mark Karpelès)가 2011년 마운트곡스(Mt. Gox)의 소스 코드를 인공지능에 분석시킨 결과, 당시 거래소 시스템이 ‘치명적으로 취약했다’는 평가가 나왔다. 과거 해킹 사태의 주요 원인으로 지목된 취약점이 구체적으로 드러나면서, 초기 암호화폐 인프라의 보안 허술함이 다시 주목받고 있다.
10월 27일(현지시간) 암호화폐 전문 매체 코인텔레그래프에 따르면, 카펠레스는 마운트곡스의 2011년 코드베이스와 깃허브(GitHub) 이력, 접근 로그, 해커가 공개한 데이터 등을 앤트로픽(Anthropic)의 클로드(Claude) AI에 업로드했다. 분석 결과 해당 코드베이스는 ‘기능은 풍부하지만 치명적으로 취약한 비트코인(Bitcoin, BTC) 거래소’로 평가됐다.
클로드 AI는 개발자 제드 맥케일럽(Jed McCaleb)이 3개월 만에 정교한 거래 플랫폼을 구축할 만큼 개발 능력은 뛰어났지만, 코드 내 치명적인 보안 취약점이 다수 존재했다고 지적했다. 문제의 취약점들은 2011년 6월 첫 대규모 해킹의 주요 공격 대상이 됐다. 실제로 카펠레스가 인수한 지 3개월 만에 약 2,000BTC가 유출되는 사건이 발생했다.
AI 분석에 따르면 당시 시스템은 코드 결함, 내부 문서화 부족, 관리자 및 사용자 약한 비밀번호, 소유권 이전 후에도 유지된 이전 관리자 계정 접근권한 등이 복합적으로 작용했다. 해킹은 카펠레스의 워드프레스(WordPress) 블로그 계정과 소셜미디어 계정이 침해당하면서 시작됐다. 분석 보고서는 문서화되지 않은 블로그, 취약한 관리자 비밀번호, 유지된 접근권한이 공격 경로를 열어줬다고 지적했다.
다만 소유권 이전 후 3개월 동안 일부 보안 개선이 이뤄지며 피해가 확산되는 것을 막았다. 해시 알고리즘에 솔팅(salting)을 추가해 비밀번호 보호를 강화했고, SQL 인젝션 취약점을 수정했으며, 출금 기능에 잠금 장치를 구현해 대량 유출을 차단했다. 당시 0.01달러 출금 한도 취약점이 있었지만, 개선 작업 덕분에 수만 BTC가 탈취되는 상황은 피할 수 있었다.
마운트곡스 해킹은 단순한 코드 결함뿐 아니라 취약한 내부 관리 체계와 인적 보안 문제도 결합된 복합적 사고였다는 점에서 여전히 시장에 큰 교훈을 남기고 있다. 특히 거래소 보안이 인프라와 내부 운영 체계 모두에서 강화돼야 한다는 점이 다시 부각되고 있다. 한편 마운트곡스는 10월 31일 채권자 상환을 앞두고 34,689BTC를 보유하고 있다.
*면책 조항: 이 기사는 투자 참고용으로 이를 근거로 한 투자 손실에 대해 책임을 지지 않습니다. 해당 내용은 정보 제공의 목적으로만 해석되어야 합니다.*
<저작권자 ⓒ 코인리더스 무단전재 및 재배포 금지>
|
  많이 본 기사
|
