‘프라이버시(익명성) 코인’ 섹터 자산인 지캐시(Zcash) 가상화폐 프로젝트에서 프로토콜 역사상 가장 민감한 수준의 보안 이슈가 발생한 것으로 드러났다. 현재 보안 취약점에 대한 긴급조치는 완료된 상황이지만, 결함이 악용됐는지 여부는 기술적으로 증명할 수 없는 상태로 알려져 시장 우려가 이어지고 있다.
지캐시
블록체인 업계 테일러 혼비(Taylor Hornby) 보안 연구원은 현지시간으로 지난 5월 29일 지캐시 분석 과정에서 인공지능 모델 오퍼스(Opus) 4.8 활용 관련 취약점을 발견했다. 취약점은 발견 즉시 지캐시 핵심 개발 조직에 전달됐으며, 개발진은 확인 후 수 시간 내 대응 절차에 착수했던 것으로 파악됐다.
보안 취약점 발견 초기 당시 가상화폐 업계 분위기는 ‘심각한 버그가 발견됐지만 악용되기 전에 해결됐다’였다. 그러나 이후 공개된 사후 분석 보고서가 사안의 무게를 크게 바꿔놓았다.
혼비 연구원이 찾아낸 지캐시 취약점은 ‘위조 버그’였던 것으로 전해진다. 업계에 따르면 ‘위조 버그’를 이용했을 경우, 공격자는 지캐시의 최신 풀인 ‘오차드(Ochard)’에서 네트워크가 정산 자산으로 인식하는 가짜 지캐시를 무제한에 가깝게 생성할 수 있던 상황이다.
지캐시 개발진은 취약점 세부 내용이 공개될 경우 실제 공격에 악용될 위험이 크다고 판단해 단계적으로 조치를 진행했다. 현지시간으로 지난 6월 2일 긴급 업데이트(소프트포크)를 통해 ‘오차드’ 풀의 거래 기능을 일시 중단했고, 6월 3일에는 업그레이드(하드포크)를 통해 회로를 수정했다.
‘오차드’ 풀은 거래 금액과 송신자, 수신자 정보를 모두 숨기는 기능을 제공하며 ‘위조 버그’ 취약점은 ‘오차드’ 풀이 처음 출시된 지난 2022년 5월부터 존재했던 것으로 밝혀졌다. 특히 ‘오차드’ 풀은 거래 내역과 보유 정보를 비공개 처리하기 때문에 위조 자산과 정상 자산을 식별한 방법이 없다는 것이 문제다.
다만, 지캐시 개발진은 실제 악용 가능성을 낮게 평가하고 있다. 취약점 구조가 복잡했고 발견 난이도도 매우 높았으며, 악용하기 위해서는 고도의 전문 지식이 필요했을 것이라는 입장이다. 현재 개발진은 ‘공급량 검증’과 ‘검증 체계 개선’, 두 가지 방향에서 후속 조치를 검토 중인 상태다.
한편 최근 취약점 발견 사례는 프라이버시 블록체인이 가진 구조적 딜레마를 드러낸 단적인 예시로 판단된다. 프라이버시 블록체인이 거래 내역과 보유 정보를 완벽하게 숨기는 기능은 사용자 보호 측면에서는 강점이지만, 공급량 검증이나 위조 자산 탐지 같은 감사 기능을 어렵게 만들 수 있기 때문이다. 지캐시는 거래 금액과 송·수신자 정보를 암호화해 공개하지 않는 가상화폐다.
Copyright ⓒ 경향게임스 무단 전재 및 재배포 금지
