감사를 두 번이나 받았지만 놓친 취약점...감사로 보안 강화하려는 생각 위험해

요약 : IT 외신 블리핑컴퓨터에 의하면 레벨파이낸스(Level Finance)라는 탈중앙화 금융 플랫폼에서 취약점 익스플로잇 공격이 발생했으며, 이 때문에 21만 개가 넘는 LVL 토큰들이 사라졌다고 한다. 달러화로 100만 달러가 넘는 돈이다. 이 때문에 레벨파이낸스의 가치는 50% 하락했다. 취약점은 레벨파이낸스의 스마트 계약서인 LevelReferralControllerV2에서 발견됐으며, 일종의 논리 오류로 분류됐다고 한다. 이 취약점을 익스플로잇 할 경우 공격자는 같은 시간 내에 추천인 보상을 반복적으로 요구할 수 있게 된다.


배경 : 레벨파이낸스는 최근 외부 전문 업체 두 곳에 감사를 맡기기도 했다. 즉 보안에 나름 최선을 다한 것이라고 볼 수 있다. 그러나 감사 업체들은 해커들이 찾아낸 공격 경로를 찾아내지 못했다. 이 때문에 ‘보안 감사를 받았다 하더라도 안전하다는 뜻이 되지는 않는다’는 우려들이 나오고 있다. 실제 보안 감사가 곧 보안 강화라는 생각은 틀린 생각이라는 지적들이 있어 왔다.

말말말 : “보안 감사를 받은 것만으로 해킹이 불가능한 조직이 되는 건 아닙니다.” -블리핑컴퓨터-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>