북한은 도대체 어떻게 세계 최고의 P2E 게임을 털었을까? 함께 알아보자.
# 먼저 알아야 할 것
P2E: 플레이 투 언. 블록체인을 이용해서 게임플레이에서 얻은 재화를 현금으로 환전할 수 있게 한다는 개념이다. 한때 뜨거웠지만 요새 잠잠하다.
<엑시 인피니티>: 모바일 턴제 RPG. 그리고 전 세계적으로 가장 유명한 블록체인 P2E 게임. '엑시'라는 이름의 몬스터를 키워서 전투를 한다는 콘셉트를 가지고 있다.
SLP: <엑시 인피니티>에 쓰이는 코인. 이 재화를 이더리움 등 암호화폐로 바꾼 뒤, 실제 화폐로 환전할 수 있다.
로닌: <엑시 인피니티> 속도 개선을 위해 추가된 사이드 블록체인. 게임에 사람이 몰린 뒤 가설됐다.
스카이 마비스: <엑시 인피니티>를 만들어 대성했던 베트남의 게임회사.
북한: 한반도 휴전선 북부를 실지배 중인 나라. 세계 최빈국이지만 GDP의 25% 이상을 군비로 쓰고 있다.
김정은: 북한의 3대 왕(조선로동당 총비서).
ICBM: 대륙간 탄도 미사일. 북한이 날리고 싶어 함. 이것을 쏘려면 돈이 많이 든다.
정찰총국: 북한의 정보기관. 역사와 전통의 해킹 조직.
정보전사들: 정찰총국의 해커 집단. 김수키, 라자루스, 템프허밋, 안다리엘 등의 이름으로 활동 중.
보안업체 카이퍼스키가 공개한 '라자루스의 타겟들'. 한국도 예외는 아니다.
# 허무하게 털려버린 세계 최고의 P2E 게임
지난 2022년, <엑시 인피니티>의 블록체인에서 6억 달러(약 7,761억 원) 가까이 해킹됐다.
그해 3월, 한 해커 집단이 스카이 마비스의 <엑시 인피니티>를 타겟으로 설정했다. 가장 많은 거래가 일어났던 P2E 게임이었기에 좌표를 찍은 것으로 추정한다.
이 무렵 한 <엑시 인피니티> 유저는 개발사에 자신이 가진 이더리움을 인출할 수 없다고 신고했다. 제보를 받고난 뒤 조사에 착수한 스카이 마비스는 네트워크에 해킹이 들어온 사실을 발견했다.
마침내 3월 29일, 스카이 마비스는 공식 자료를 통해 해킹을 인정하고 <엑시 인피니티>에 걸려있는 가상자산 약 6억 1,500만 달러 (약 7,450억 원) 어치가 탈취됐다고 인정했다.
여기서부터는 조금 자세한 이야기. 해커는 3월 23일 2회에 걸쳐 사이드체인 로닌에서 취약점을 발견했다. 그 결과, 해커는 로닌에서 17만 3,600이더리움(ETH)과 2,550만 USDC(서클 스테이블 코인)를 빼갔다.
이더리움 이동 탐색기 '이더스캔' 자료에 따르면, 공격자는 로닌 네트워크의 노드 키를 탈취해 자신의 지갑으로 자금을 옮기는 트랜잭션에 서명했다. 때는 늦었다. 돈이 아예 저 쪽으로 넘어가 버렸으니 말이다.
그렇게 세계 최고의 P2E 게임은 털리고 말았다. 블록체인 분석회사 엘립틱은 이 해킹이 "역대 두 번째로 큰 가상자산 탈취"라고 설명했다.
이 사건이 발생한 이후 P2E는 그 신뢰에 심각한 훼손을 입었다. 이후로도 대내외적 악재들이 겹치며 오늘날에 이르렀다.
구글 트렌드에서 검색한 'P2E'. 우햐향을 기록하는 가운데 지역별 관심도는 한국이 압도적인 것으로 나타난다.
그 뒤를 잇는 것은 중국, 우즈벡, 필리핀, 우크라이나.
# 북한은 어떻게 베트남 회사를 속였나?
4월 15일, 미국 연방수사국(FBI)은 해당 해킹 사건의 배후에 북한 정찰총국의 '라자루스'가 연루되었다고 보고했다.
북한의 정보전사들이 <엑시 인피니티>를 털은 것이다. 블록체인 분석 기업 체이널 리시스에 의하면, 정보전사들은 2021년에도 암호화폐 플랫폼 7곳을 공격해, 4억 달러(약 4조 9,140억 원)에 달하는 가상자산을 탈취했다.
FBI가 수배하며 신상을 공개한 3명의 정보전사. 김일, 박진혁, 정찬혁.
김정은의 정보전사들은 어떻게 해킹에 성공했을까?
먼저 이들은 링크드인에 사기 회사와, 구인 담당자 프로필, 가짜 구인공고를 만들었다.
이들은 뉴욕 소재의 웹3 기업에서 블록체인 프로젝트를 진행하는 가짜(Bogus) 회사를 만들었다. 당연 없는 회사다. 그리고 30만 달러에서 40만 달러(3억 8,445만 원에서 5억 1,260만 원)의 소프트웨어 엔지니어를 구인한다고 게시했다.
그 다음, 스카이 마비스의 직원들(핵심 인원들은 대부분 베트남인이었다)에게 DM을 보내며 이 일자리에 지원하라 추천했다. 역시 가짜 채용 담당자의 소행이었다. 이 중 한 엔지니어가 미끼를 물어버렸다. 이 엔지니어는 가짜 면접관과 전화 면접까지 진행했다.
이후 정보전사들은 그 엔지니어에게 제안서 PDF를 발송했다. 이 PDF에는 트로이 목마 악성 소프트웨어가 담겨있었고, 전화까지 한 터라 의심을 거두었던 엔지니어가 PDF를 열자마자 게임은 끝나버린 것이다.
이러한 스캠 메일은 무작정 열어보면 큰 문제가 생긴다.
# 코드베이스가 털린 순간, 게임은 끝났다
정찰총국 소속 전사들은 이렇게 스카이 마비스의 코드베이스에 접근할 수 있게 되었다. 이후 발군의 실력으로 스카이 마비스의 블록체인에 고리를 걸었다.
정확히는 RPC(Remote Procedure call, 원격 호출. 접속 조건이 달라도 프로시저를 원격으로 불러낼 수 있음)를 이용해 스카이 마비스의 검증자(Validators) 서명을 따낸 것이다. 스카이 마비스에는 총 9개의 검증자가 있었고, 그중 4개가 작동 중이었는데 코드베이스를 모두 아는 상태로 원격 접속을 통해서 5번째 검증자가 된 것이다.
이들은 망설이지 않았다. 검증자가 된 순간 173,600ETH과 2,550만 USDC의 출금을 승인했다. 이후 6주에 걸쳐 ETH를 BNB 체인으로 옮긴 뒤, 그 ETH를 USDD로 바꾸고, 다시 그것을 비트토렌트 체인으로 옮긴 뒤 턴을 종료했다. SLP 대신 시장에서 가치를 가진 ETH와 USDD를 턴 것 또한 영리하다.
미국 국무부는 북한이 GDP의 26.4%를 군사비로 지출했다며, 북한을 경제 규모 대비 국방비가 가장 많은 나라로 지목했다. 한편, 미국의 학계와 언론계에서는 그렇게 털린 7,761억 원의 자금이 북한의 ICBM 개발 등에 쓰일 것으로 사실상 확정하고 있다. (어느 정도 김정은의 통치 자금으로 쓰였을지도 모른다.)
북한이 GDP에 잡히지 않는 검은돈으로 무기체계를 개발하고, 실험을 하고 있다는 가설은 제법 설득력 있다. P2E 게임에 몰린 돈으로 북한의 미사일 개발에 쓰였다고 가정해 보면 제법 끔찍하다. 아무쪼록 확실한 것은 <엑시 인피니티>는 예전만 못하고, 북한은 지난 5월 31일에도 또 장거리 로켓을 발사했다.
<엑시 인피니티>의 엑시를 거래하는 사이트 '엑시 인피니티 마켓플레이스'