[언론보도] '뻥 뚫린 카톡지갑'… 카카오 계열사 임원이 코인 100억 해킹 당해
페이지 정보
본문
카카오의 한 계열사 임원이 카카오톡 지갑에 넣어뒀던 코인을 해킹당해 해당 계열사인 '그라운드X'에 수십억대의 손해배상 청구 소송을 제기했습니다. 가상자산 업계에 따르면 카카오 계열사 임원 A씨는 카카오톡에 탑재된 가상자산 지갑 '클립(Klip)'에서 100억원 가량의 가상자산이 탈취되는 것을 막지 못했다며 이달 그라운드X측에 손해배상 청구 소송을 제기한 것으로 알려졌습니다. 클립은 카카오의 블록체인 기술 계열사 그라운드X가 개발한 블록체인 클레이튼(Klaytn)기반 디지털 자산 지갑입니다.
피해 임원 A씨는 지난 2022년 3월 생면부지의 타인이 본인 명의로 알뜰폰을 개통하고 카카오톡 등 A씨의 SNS 계정에 접근한 사실을 확인했습니다. 해커는 A씨 명의로 개통한 알뜰폰을 이용, A씨의 카카오톡 계정 비밀번호를 변경했습니다. A씨는 계정 탈취를 인지한 후 즉시 클립에 보관된 가상자산을 내역을 확인했습니다. 하지만 A씨가 보관한 가상자산은 이미 10여 차례에 걸쳐 다른 사람 명의의 해외 가상자산 거래소로 옮겨진 뒤였습니다. 피해 금액은 A씨가 클립에 보관한 40억원대의 가상자산과 클립에 연동된 디파이(Defi, 탈중앙화금융)서비스 클레이스왑(KLAYswap)에 묶여있던 가상자산 50억원 가량 등이며, 총 피해금액은 당시 가격 기준 98억원에 달합니다.
A씨의 법률 대리를 맡은 법무법인(유) 원앤파트너스는 고객의 자산을 안전하게 보관하기 위한 그라운드X의 기술적 조치가 미흡했다며 그라운드X에 손해배상을 청구했습니다. 가상자산 지갑 접근 시 카카오톡 인증 외의 추가적인 본인확인 수단이 없었으며, 이상거래탐지 시스템도 비정상적인 송금을 차단하지 못했다는 것입니다. 카카오톡의 가상자산 지갑 클립은 카카오톡 계정에 로그인하는 것만으로 접속이 가능하며 가상자산 전송 시에도 핀(PIN)번호만 알아내면 별도의 2차 인증수단 없이 송금이 가능합니다. 복잡한 절차를 거치지 않아도 되나 그만큼 보안이 허술한 것입니다.
A씨 측은 또한 클립의 개인정보 관리 부족으로 그의 지갑 주소와 정보가 사전에 노출됐을 가능성이 있다고 보았습니다. 해커가 A씨의 지갑에 다량의 가상자산이 보관되어 있다는 사실을 이미 알고 계획적으로 이를 탈취했다는 주장입니다. 일반적인 가상자산 지갑들은 수취인의 정확한 블록체인 지갑 주소를 알아야 송금이 가능합니다. 블록체인 지갑 주소는 블록체인상에 기록된 해당 지갑의 거래 내역과 보유 가상자산 현황을 모두 조회할 수 있기 때문에 민감하게 관리됩니다.
하지만 당시 클립은 휴대폰 번호만 알아도 타인에게 송금할 수 있었으며, 송금시 수취인의 블록체인 번호가 송금인에게 노출되는 구조였습니다. A씨 측에 따르면 해킹에 앞서 송금인 불명의 주소로 소량의 가상자산이 클립에 입금됐으며, 이 과정에서 지갑 정보가 노출된 것이라 보았습니다. 전화번호로 송금이 가능했던 기능은 이후 별도의 클립 애플리케이션이 출시되며 사라진 상태입니다. A씨의 법률 대리를 맡고 있는 법무법인(유) 원앤파트너스는 “그라운드X측은 통상 금융거래업체와 같이 새로 개통된 휴대전화 명의가 본인이 맞는지 등을 추가로 확인하거나 카카오톡 계정 외의 인증수단을 추가해 원고의 피해를 막을 기회가 있었음에도 이를 소홀히 했다”라며 “고객 자산을 안전하게 관리 및 감독할 의무를 다하지 않았다”라고 전했습니다.
한편 카카오는 지난 7월 카카오톡에서 클립 내 가상자산을 확인 및 전송할 수 없도록 하는 등 클립 기능을 축소해 나가고 있습니다. 클립은 지난 2020년 출시 이후 카카오톡의 접근성을 기반으로 가입자 200만명을 돌파하는 등 빠른 성장세를 보였습니다. 하지만 가상자산 시장이 침체기를 겪으며 점차 규모를 축소하고 있습니다. 지난해 NFT서비스 ‘클레이베이’를 철수했으며 지난 8월에는 NFT 마켓 ‘클립 드롭스’를 매각했습니다. 카카오 관계자는 이와 관련해 "현재 그라운드X 사업을 줄여나가고 있고 담당 인원이 없어 대응하기 곤란하다"라고 전했습니다.
피해 임원 A씨는 지난 2022년 3월 생면부지의 타인이 본인 명의로 알뜰폰을 개통하고 카카오톡 등 A씨의 SNS 계정에 접근한 사실을 확인했습니다. 해커는 A씨 명의로 개통한 알뜰폰을 이용, A씨의 카카오톡 계정 비밀번호를 변경했습니다. A씨는 계정 탈취를 인지한 후 즉시 클립에 보관된 가상자산을 내역을 확인했습니다. 하지만 A씨가 보관한 가상자산은 이미 10여 차례에 걸쳐 다른 사람 명의의 해외 가상자산 거래소로 옮겨진 뒤였습니다. 피해 금액은 A씨가 클립에 보관한 40억원대의 가상자산과 클립에 연동된 디파이(Defi, 탈중앙화금융)서비스 클레이스왑(KLAYswap)에 묶여있던 가상자산 50억원 가량 등이며, 총 피해금액은 당시 가격 기준 98억원에 달합니다.
A씨의 법률 대리를 맡은 법무법인(유) 원앤파트너스는 고객의 자산을 안전하게 보관하기 위한 그라운드X의 기술적 조치가 미흡했다며 그라운드X에 손해배상을 청구했습니다. 가상자산 지갑 접근 시 카카오톡 인증 외의 추가적인 본인확인 수단이 없었으며, 이상거래탐지 시스템도 비정상적인 송금을 차단하지 못했다는 것입니다. 카카오톡의 가상자산 지갑 클립은 카카오톡 계정에 로그인하는 것만으로 접속이 가능하며 가상자산 전송 시에도 핀(PIN)번호만 알아내면 별도의 2차 인증수단 없이 송금이 가능합니다. 복잡한 절차를 거치지 않아도 되나 그만큼 보안이 허술한 것입니다.
A씨 측은 또한 클립의 개인정보 관리 부족으로 그의 지갑 주소와 정보가 사전에 노출됐을 가능성이 있다고 보았습니다. 해커가 A씨의 지갑에 다량의 가상자산이 보관되어 있다는 사실을 이미 알고 계획적으로 이를 탈취했다는 주장입니다. 일반적인 가상자산 지갑들은 수취인의 정확한 블록체인 지갑 주소를 알아야 송금이 가능합니다. 블록체인 지갑 주소는 블록체인상에 기록된 해당 지갑의 거래 내역과 보유 가상자산 현황을 모두 조회할 수 있기 때문에 민감하게 관리됩니다.
하지만 당시 클립은 휴대폰 번호만 알아도 타인에게 송금할 수 있었으며, 송금시 수취인의 블록체인 번호가 송금인에게 노출되는 구조였습니다. A씨 측에 따르면 해킹에 앞서 송금인 불명의 주소로 소량의 가상자산이 클립에 입금됐으며, 이 과정에서 지갑 정보가 노출된 것이라 보았습니다. 전화번호로 송금이 가능했던 기능은 이후 별도의 클립 애플리케이션이 출시되며 사라진 상태입니다. A씨의 법률 대리를 맡고 있는 법무법인(유) 원앤파트너스는 “그라운드X측은 통상 금융거래업체와 같이 새로 개통된 휴대전화 명의가 본인이 맞는지 등을 추가로 확인하거나 카카오톡 계정 외의 인증수단을 추가해 원고의 피해를 막을 기회가 있었음에도 이를 소홀히 했다”라며 “고객 자산을 안전하게 관리 및 감독할 의무를 다하지 않았다”라고 전했습니다.
한편 카카오는 지난 7월 카카오톡에서 클립 내 가상자산을 확인 및 전송할 수 없도록 하는 등 클립 기능을 축소해 나가고 있습니다. 클립은 지난 2020년 출시 이후 카카오톡의 접근성을 기반으로 가입자 200만명을 돌파하는 등 빠른 성장세를 보였습니다. 하지만 가상자산 시장이 침체기를 겪으며 점차 규모를 축소하고 있습니다. 지난해 NFT서비스 ‘클레이베이’를 철수했으며 지난 8월에는 NFT 마켓 ‘클립 드롭스’를 매각했습니다. 카카오 관계자는 이와 관련해 "현재 그라운드X 사업을 줄여나가고 있고 담당 인원이 없어 대응하기 곤란하다"라고 전했습니다.