리플(Ripple)사가 발행하는 암호화폐(가상화폐·코인) 엑스알피(XRP)를 관리하는 엑스알피 레저 재단(XRP Ledger Foundation, XRPLF)이 아주 큰 보안 문제를 해결했다.
재단은 아직 사람들에게 공개되지 않은 새로운 기능에서 매우 위험한 결함을 찾아내 고쳤다고 27일(이하 현지 시각) 발표했다.
해당 문제는 지난 2월 19일에 처음 발견됐다. 보안 회사인 칸티나(Cantina)에서 일하는 보안 전문가 프라남야 케슈카마트(Pranamya Keshkamat)와 인공지능 보안 로봇인 에이펙스(Apex)는 XRP 레저(XRP를 활용한 초고속 탈중앙화 자산 거래망)라는 시스템에서 서명을 확인하는 부분에 아주 큰 논리적 실수가 있다는 것을 알아챘다.
만약 나쁜 마음을 먹은 해커가 이 결함을 이용했다면 다른 사람의 지갑에서 마음대로 돈을 꺼내 가거나 거래를 할 수 있었을 것으로 판단된다.
다행히 재단은 해당 기능 출시 직전에 관련 투표를 진행, 실제로 사용되는 시스템에 적용하지 않은 상태였다.
재단은 "수정안이 투표 단계에 있었고 메인넷에서 활성화되지 않았으므로 위험에 처한 자금은 없었다"고 설명했다.
하지만 이 문제가 실제로 터졌다면 상황은 매우 심각했을 것으로 보인다.
칸티나와 스피어비트(Spearbit) CEO인 하리 물라칼(Hari Mulackal)은 "우리 자율 버그 사냥꾼 에이펙스가 이 중대한 버그를 찾았다"라며 "이것이 이용됐다면 직접적인 위험에 처한 금액이 거의 800억 달러에 달해 세계에서 가장 큰 보안 해킹 사고가 됐을 것"이라고 진단했다. 800억 달러는 XRP의 시가총액 말하는 것으로, 해킹 사고가 일어났다면 많은 사람이 큰 피해를 봤을 수도 있었다.
이번에 활약한 인공지능 도구는 코드를 꼼꼼히 분석해서 사람이 찾기 힘든 실수를 찾아냈다. 덕분에 리플사의 기술진은 문제를 확인하고 빠르게 고칠 수 있었다.
재단은 시스템을 검사하는 사람들에게 해당 기능 관련 반대 투표를 하라고 권고한 후, 지난 23일 이 기능이 작동하지 않게 막는 긴급 소프트웨어인 리플드(rippled) 3.1.1 버전을 배포했다.
※ 암호화폐는 매우 변동성이 높은 투자 상품입니다. 자칫 큰 손실을 볼 수 있기에 투자에 각별히 주의해야 합니다.