일정: 위메이드 위믹스 자산 탈취 관련 기자회견
일시: 2025년 3월 17일(월) 오전 10:00~11:30
내용: 위믹스 자산 탈취 관련 현재 대응 상황 및 향후 계획 소개, 현장 질의응답
위믹스 PTE 김석환 대표, "심려끼친 점에 사과, 재발 방지 약속"
이날 기자회견 자리에 참석한 위믹스 PTE. LTD. 김석환 대표는 플레이 브릿지 자산 탈취 건과 관련하여 심려를 끼쳐드린 점에 사과드리고, 입이 열 개라도 할 말이 없는 상황에 커뮤니티 멤버를 비롯한 모든 생태계 참여자에게 다시 한번 진심으로 사과드린다며, 현재 빠른 피해 복구를 통한 생태계 정상화, 재발 방지를 위해 최선을 다하고 있다고 먼저 설명했다.
그는 많은 분들이 꾸짖어준 내용들을 겸허하게 수렴하고, 변화하는 모습을 보여드릴 것이라며, 앞으로 새롭게 변화하는 위믹스의 행보를 지켜봐달라는 당부의 메시지를 전했다.
위믹스 팀은 지난 4일, 플레이 브릿지 볼트에 대한 악의적인 외부 공격으로 약 8,654,860개의 위믹스 코인이 비정상 출금되는 일이 발생했다고 알리고, 이를 인지한 즉시 비상 TF를 구축하여 신속한 대응과 해결을 위해 노력하고 있다고 전한 바 있다. 자산 탈취 사실은 2월 28일 내부 모니터링 과정에서 이상 거래의 흔적을 탐지하는 과정에서 드러났으며, 약 13회에 걸쳐 약 860만 개에 달하는 위믹스 코인이 공격자 지갑 2개로 전송된 것으로 확인됐다. 위믹스 팀은 탈취 사실 확인 이후 바로 브릿지 기능을 셧다운했다.
이후 이틀 뒤인 6일, 위믹스 팀은 볼트에서 탈취된 위믹스는 재단 보유 수량으로 복구할 것이며, 시장의 신뢰 회복을 위해 브릿지 볼트의 복구 외에도 자산 탈취로 발생한 시장 영향 해소를 위한 위믹스 코인 시장 매수(바이백)를 진행할 계획이라고 발표했다.
이어 지난 11일, 위믹스 팀은 플레이 브릿지 기능이 부분적으로 재개됐으며, 오는 21일까지 강화된 보안이 적용된 신규 인프라 환경에서 전체 서비스를 재개하는 것을 목표로 작업에 매진 중이라고 밝혔다.
위믹스 팀이 예고한 바이백 관련 상세 계획은 지난 13일에 공개됐다. 위믹스 팀은 탈취된 위믹스 수량 860만 개는 당시 기준 원화 가격으로 환산했을 시 약 87.5억 원의 가치이며, 여기에 12.5억을 추가해 총 100억 원 규모로 바이백을 시행한다고 설명했다. 매수는 최대 1년 이내에 진행 완료될 예정이며, 매수 진행 거래소 정보와 완료 안내는 추후 결과와 함께 공지될 예정이다.
이날 김석환 대표는 자산 탈취 소식과 관련한 공지가 늦어지게 된 경위에 대해서 자세하게 소개했다. 그는 해킹 사실을 은폐하려는 생각은 추호도 없었다며, 2월 28일 해킹 사실을 인지한 후 바로 해외 거래소에 연락을 취했고, 보안점검 협조 요청과 경찰 신고를 진행하는 등 외부에 해킹 사실을 빠르게 공유했다고 설명했다. 이어 사고 인지 후 공지에 이르기까지 발생한 지연으로 홀더와 커뮤니티, 서비스 사용자들에게 혼란을 준 점에 대해 다시 한번 깊이 사과드린다며 고개를 숙였다.
김석환 대표는 피해 사실 공지을 연기하기까지 두 가지 점을 고려했다고 설명했다. 첫 번째는 추가 공격의 가능성이며, 두 번째는 탈취 자산으로 발생할 수 있는 시장 영향의 우려다. 시장에 패닉이 오는 것을 우려하여 공지를 섯부르게 내지 않았고, 이는 위믹스 팀과 자신의 판단이 반영됐다는 것이다.
그는 해커의 내부 네트워크에 침입으로 서버 권한이 탈취된 것으로 보이나, 침투 케이스가 특정되지 않은 상황이기에 기술적인 조치와 추가 검토가 필요한 상황이었다며, 외부 전문가들과의 추가 확인으로 안정성과 보안성 검토가 필요하다고 판단, 결과적으로 추가 위험 발생 가능성을 배제할 수 없었기에 섯부르게 공지할 수 없었다고 설명했다.
이어 김석환 대표는 위믹스 팀이 탈취 자산을 인지한 후에 자산 흐름을 계속 추적했고, 해외 거래소에도 실시간으로 공조를 요청했으나 즉각적인 협조를 얻어내는 것이 쉽지 않았다며, 거래량 변동 추이를 관찰한 결과 탈취된 위믹스가 즉시 매도되고 있는 것을 확인했다고 설명했다. 그는 탈취 이후 89%에 달하는 탈취 자산이 매도된 것으로 추정됐고, 추가 위협 발생이 없다고 판단하기 어려웠기에 패닉 현상 등에 대한 우려가 있어 공지를 늦추게 된 것이라고 말했다.
그는 결과적으로 커뮤니케이션 시기에 대한 판단이 미흡했다는 지적을 받고 있고, 저신이 밝힌 모든 이유가 변명처럼 들릴 수 있는 것을 알고 있다며, 앞으로는 더 정확하고 투명한 정보 전달과 신속성, 균형을 유지할 수 있도록 더 최선을 다하겠다고 말했다.
자산 탈취 발생 경위와 원인 분석
조사를 통해 파악 된 여러 사실에 대한 소개도 이어졌다. 김석환 대표는 이번 자산 탈취가 발생하게 된 가장 유력한 원인은 지난 2023년 7월 경에 개발자가 편의성을 위해 공용 저장소에 자료를 업로드한 건이 확인됐다며, 해당 시점에서의 자료 유출이 지금 시점에서 가장 가능성이 높은 최초 유출 경로로 파악된다고 설명했다.
물론 아직 100% 확실한 상황은 아니기에 가능성이 높지 않고, 이외에도 추가 침해 시나리오를 함께 파악하고 있다며, 정확한 시나리오는 공격자인 해커가 유사한 시도를 이어갈 수 있는 가능성이 남아있기에 현재 시점에서 공개하기는 어렵다고 전했다. 김석환 대표는 앞서 예고한 21일 서비스 재오픈을 위해 현재 파악된 모든 가능성 있는 시나리오에 대한 대비가 진행 중이며, 이후 침입이 다시 발생하더라도 피해를 최소화할 수 있는 작업을 마친 상태라고 설명했다.
현 시점에서 확인된 공격 과정도 소개됐다. 신원미상의 공격자는 최초 NFT 플랫폼인 나일의 서비스 모니터링 시스템용 인증키를 탈취하여 침입한 것으로 보이며, 이후 내부 시스템에서 약 2개월간 치밀하게 공격을 준비한 것으로 파악됐다. 이후 공격자는 브릿지의 자금 이동을 위해 서명을 생성하는 VKS 서버를 조작, 트랜젝션을 생성하여 이를 통해 대량의 위믹스를 인출했다. 김석환 대표는 공격자가 총 15건의 트랜젝션을 시도했고 이중 13건의 트랜잭션을 통해 860만 개에 달하는 위믹스를 탈취했으며, 탈취한 위믹스를 즉각 해외 거래소로 전송한 뒤 전량 매도한 것으로 추정된다고 말했다.
위믹스 팀의 현재 대응 상황
김석환 대표는 위믹스 팀이 3월 21일 전체 서비스 재오픈을 준비 중이며, 문제 재발을 막기 위해 세 가지 방향으로 기술적 대응을 준비 중이라고 설명했다.
첫 번째는 '의심되는 모든 침투 시나리오에 대한 대응'이다. 가장 유력한 시나리오를 포함한 하나 이상의 시나리오를 확인했고, 동일 경로의 침입이 불가능하도록 관련 인증 로직을 모두 교체했다는 것이다. 해당 내용은 지난 12일부터 재개된 플레이 브릿지 기능에도 적용되어 있다.
두 번째는 전체 인프라 이전 작업 진행이다. 위믹스 팀은 잠재적인 위협요소를 막고 혹시 모를 위험에 대비하기 위해 모든 블록체인 관련 인프라를 새로운 환경에 이전하고 있으며, 21일 이내로 이전 작업을 모두 마칠 예정이다.
세 번째는 서비스 모니터링 및 제어 범위 확대 적용이다. 김석환 대표는 아무리 작은 자산 이동도 24시간 모니터링 될 수 있도록 준비하고, 의심거래의 경우 추가 승인 과정을 거치도록 시스템을 준비 중이라며, 이러한 세 가지 방향의 대응으로 오는 21일에 예정되어 있는 서비스 재개가 차질 없이 진행될 수 있도록 최선을 다할 것이라고 말했다.
기술적 대응 외에도 피해 복구를 위한 사업적 조치가 동시에 진행된다. 앞서 발표된 100억 원 규모의 위믹스 코인 바이백, 그리고 지난 14일에 공지된 2천만 위믹스 시장 매수 추가 계획이다. 김석환 대표는 백서에 명시된 분배 계획에 따라 생태계 안정화를 도모하기 위해 기존 재단 보유 물량을 활용하는 대신 시장 매수를 통한 생태계 활성화를 결정했다며, 이를 통해 위믹스 가치 재고에 유의미한 결과가 있기를 기대하고 있다고 설명했다.
위믹스 팀의 향후 계획, "빠른 사고 수습과 정상화과 최우선 목표"
김석환 대표는 현재 최우선 과제는 빠른 사고 수습과 정상화에 있다며, 위믹스 생태계 성장을 바라보는 재단과 위메이드의 의지는 변함이 없고, 이를 전화위복의 기회로 삼기 위해 노력하고 있다고 말했다.
공격자에 대해서는 끝까지 추적하고, 최대한 밝혀내어 응당한 조처를 할 것이라고 말했다. 외부자이건 내부자이건 명백하고 단호한 조처를 하고, 감추는 것 없이 모든 것을 투명하게 처리하겠다는 것이다.
끝으로 김석환 대표는 위믹스 팀이 이번 해킹 사고에 대한 책임을 통감하고 있고, 피해 복구와 정상화를 통해 생태계를 궤도에 돌려놓는 것을 가장 중요하게 생각한다며, 이번 일을 계기로 커뮤니케이션을 포함한 위기 대응 프로토콜을 재점검하고 시장과 커뮤니티의 신뢰를 회복하기 위해 최선을 다할 것이라고 말했다. 이어 앞으로도 달라진 위믹스 팀의 모습으로 커뮤니티의 기대에 부응하겠다며, 부족한 점이 있다면 애정 있는 충고와 건설적인 의견, 따끔한 질책, 그리고 응원을 부탁한다고 말했다.
김석환 대표의 발표 이후 위믹스 PTE 안용운 CTO가 함께 무대에 올라 현장 질의응답을 진행했다.
Q. 21일로 서비스 재개 일정을 잡은 경위가 궁금하다. 해킹 인지 후 즉시 해외 거래소에 공조를 요청했다고 했는데, 국내 거래소에는 해당 사실을 왜 즉시 공유하지 않았나?
김석환 대표 = 최대한 빠르게, 서비스를 무결한 상태에서 재개하기 위해 잡은 일정이라고 생각하면 좋겠다. 모니터링 결과 국내 거래소를 이용하지 않을 것이 거의 확실하다고 판단했기 때문이다. 국내 거래소는 대한민국 국민만 가입 후 이용할 수 있기에 신원이 특정될 수 있고, 해외와 국내 거래소간 자금 이동을 구체적으로 판단하기도 어려웠다. 발생하더라도 공격자에 의한 이동이 아닐터인데, 이런 상황에 일단 막아달라고 요청할 수 없기 때문이다.
Q. 바이백 계획을 밝혔고 실행 중인데, 여기에 사용되는 정확한 재원이 궁금하다.
김석환 대표 = 재단의 재원을 총동원할 계획이며, 부족할 경우 위메이드에도 요청하여 추후 적절한 방식으로 재단이 부담할 수 있는 방법 찾을 계획이다. 당장은 어디에 돈이 있느냐를 따지기보다 생태계 정상화를 위한 피해복구가 최우선이라 생각하기에, 재원을 구체적으로 따져서 가능하냐 아니냐를 생각하고 있지는 않다.
Q. 2023년 7월 중순 경에 공용 저장소 올라간 것이 유력한 시나리오라고 했는데, 그때부터 지금까지의 약 2년의 공백 사이에 미리 확인할 수 있는 방법은 없었나?
안용운 CTO = 가장 유력한 시나리오 원인이라고 보고 있지만, 그 이외에도 여러 시나리오가 나왔다. 왜 미리 인지하지 못했느냐를 따지면 로깅의 실시간 모니터링 시스템이 부재했기 때문이라고 본다. 해당 시스템 자체가 실시간 모니터링을 위한 노출된 서비스였고, 주요도가 떨어졌기에 서비스 과정 중에 누락된 것이라 본다. 이것은 확실히 회사의 불찰이 맞다.
Q. 재발 방지 대처가 아직 완벽하지 않은 것으로 보이는데, 21일 재개에 문제는 없나?
안용운 CTO = 브릿지 서비스를 재개하며 모든 키를 교체했다. 해커가 어떤 키를 가지고 있더라도 사용할 가능성은 작다. 서버의 소스코드도 새로 다 만들어 완전히 새로운 인프라를 구축했기 때문이다. 오는 21일엔 경로도 모두 막혀있고 키도 교체됐고, 인프라까지 교체했기 때문에 동일한 침입 사고가 발생할 확률은 극히 낮다고 말할 수 있다.
Q. 닥사에서 거래유의 종목으로 지정하며 공지 지연을 주된 사유로 지적했다. 이에 대한 소명은 어떻게 진행 중인가?
김석환 대표 = 닥사 소명은 현재 진행 중이나, 구체적으로 말할 수 없는 점은 양해 부탁드린다. 닥사에도 밝혔듯, 소명이나 조치가 필요한 부분이 있다면 진심으로 응할 생각이다. 닥사의 의견이나 결정에 왈가왈부한 수 있는 입장이 아니며, 최선을 다해 소명할 계획이다.
Q. 다시 거래 지원 종료 사태가 이어질 경우에 대한 대처도 마련됐나?
김석환 대표 = 지난 28일부터 지금까지 숨가쁘게 대응 중인데, 지금은 거래 지원 종료 이후를 생각하기보다 시장의 피해를 복구하고, 재발방지 대책을 이행해서 서비스 정상화를 준비하는 것이 먼저라고 본다. 혹시 그런 결정이 있을 경우 차후에 다시 발표하겠다.
Q. 공격자에 대한 추적을 계속하고 있다고 했는데, 내부자 가능성도 열어두고 있는 것 같다. 교체했더라도 안전이 우려되는데, 이런 부분은 어떻게 대처할 것인가?
김석환 대표 = 발표에서 언급했던 '내부자와 외부자를 막론하고'라는 표현에 내부자를 의심하고 있다는 뉘앙스를 담은 것은 아니다. 내부자로 밝혀질 경우 감싸도돌 수 있지 않느냐라는 의견이 있을 수 있으니, 이러한 의심을 불식시키기 위한 표현에 지나지 않는다. 공격자는 아직 특정되지 않았으나, 전문적인 해커일 것으로 보인다.
안용운 CTO = 내부자 외부자를 모두 고려하고 있는 것은 맞다. 공용 저장소에 관련 자료를 업로드한 내부자의 PC, 내부 전산 인프라에도 전부 포렌식을 진행했다. 관련성이 없다는 것은 밝혔으나, 내부자 가능성이 아에 없다고 둔 것은 아니며, 모든 가능성을 검토 중이다.
Q. 바이백 기간을 1년으로 길게 잡았는데, 이유가 있나
김석환 대표 = 바이백에 대한 시장의 기준이 전혀 없는 상황이다. 닥사의 결정이 내려지기 전에 하려면 1주일 내에 해야한다는 것인데, 이러면 위믹스 코인 가격이 급격하게 오를 가능성이 높다. 추후 시장 가격 조작으로 문제가 될 가능성도 있기에, 최대한 문제를 배제하기 위함이다. 위믹스가 워낙 법률적 문제로 인해 여러 이슈에 시달리지 않았나. 그런 규제 문제와 법률 문제를 충실하게 이행하겠다는 다짐을 하고 있으며, 그렇기에 바이백 기간을 길게 잡은 것이다.
Q. 해킹 피해 사실 공지가 늦어진 이유를 설명했는데, 개인적으로는 납득이 가지 않는다. 이번 발표에서도 거래소에 보낸 공문이나 로그 기록 같은 것을 함께 보여줬다면 더 믿음이 갔을 것 같은데, 말로만 설명한 이유가 궁금하다.
김석환 대표 = 설명에 미흡한 점이 있었다면 죄송할 따름이다. 현실적으로 매우 여러가지 이유로 급박하게 움직이고 있었기에 설명 자료를 준비하기 어려운 상황이었다. 공지가 늦어진 점에 대해서도 다시 지적해주셨는데, 이로 인해 발생한 문제가 있다면 다시 사과드리겠다. 연휴 기간에 공지를 하게 되면 그로 인해 야기될 피해가 더 클 수 있다고 판단했던 것이고, 그 판단이 잘못됐다고 말하는 것이라면 비판을 받아들여야 한다고 생각한다. 위믹스 팀은 사실 확인 후 신속하게 경찰 수사를 의뢰했고, 보안 전문가와 함께 사고 조사에 착수했다. 사실을 숨기려는 생각은 추호도 없었다.
Q. 지난 2023년 7월에 공용 저장소에 올린 것이 유력한 시나리오라 했는데, 당시 정보를 올린 개발자는 현재도 재직 중인가? 이 사태에 따른 별도 조치를 받았는지, 이렇게 자료를 공용 저장소에 올리는 것이 공공연한 일인지도 궁금하다.
김석환 대표 = 해당 직원은 현재 재직하지 않고 있다. 100% 확실한 침투 케이스로 확정된 것이 아니기에 즉각적인 조처를 하기는 어려운 상황이다. 이걸 공격 사례로 말씀드리고 언급한 이유도, 결코 일반적이지 않은 케이스이기 때문이지, 공공연하게 행해졌다고 말하기는 어렵다.
Q. 해킹 사실 공지도 지연됐는데, 최초 공지에 바이백 계획을 포함시키지 않은 이유도 궁금하다 . 바이백이 어떤 거래소에서 진행되는지 더 정확한 정보를 공개할 수 없나?
김석환 대표 = 바이백 등 조치를 같이 발표하지 않은 이유는 현실적으로 결정할 시간이 필요했기 때문이다. 피해복구를 어떻게 할 것인지 내부 토론도 있었고, 검토 중에 어떤 것을 선택하고 어떻게 실행할 것인지 파악하기 위한 시간이 필요했기에 최초 공지에 포함시키지 않은 것이다. 재원이 투입되는 건이고, 사업적인 관점도 함께 봐야하기에 그럴 수 밖에 없었다.
바이백 방식은 공개할 수 없다. 차익거래자들이 이 기회를 이용할 수 있는 가능성이 있기 때문이다. 이 과정에 법률적인 문제가 없을지에 대한 검토도 필요하다. 시장 매수에 대해 정해진 내용이 없기에 조심스러운 부분도 있다. 구체적으로 말하기는 어려우나, 국내 거래소를 통해 바이백을 진행하고 있다는 점은 말할 수 있겠다.
Q. 사이버 보험 같은 보상을 위한 재원이나 안전 장치를 계획 중인지 궁금하다.
김석환 대표 = 보험 같은 실질적인 안전장치를 검토하겠다. 당장은 현실적으로 상당한 어려움이 있다. 분명한 조건도 논의된 적이 없어 어려움이 있지만, 앞으로도 추가적으로 검토하고 대비할 수 있도록 하겠다.
Q. 실력있는 해커로 추정된다고 했는데, 북한의 라자루스 그룹으로 밝혀지면 어떻게 책임을 묻고 대응할 계획인가?
김석환 대표 = 라자루스일 가능성은 높아보이지 않는다는 의견이다. 계속 파악 중이나, 라자루스일 가능성에 무게를 두고 있지는 않다. 현실적인 어려움이 있겠으나, 공격자를 끝까지 추적하겠다는 의지의 표명으로 해석해주길 바란다.
Q. 일부 위믹스 보유자들이 민형사 소송을 예고했다. 여기에 어떻게 대응할 계획인가
김석환 대표 = 최대한 성실하게 대응하겠다는 이야기 밖에 드릴 말이 없다. 지금까지 여러 이슈가 있었고, 아직 해결되지 않았으나 하나씩 해결하는 과정이다. 최선을 다해 성실하게 대응하겠다.
Q. 2분기 내에 구체적인 실행 계획이 있나.
김석환 대표 = 이 자리가 IR하는 자리가 아니라서 해킹 사태에 관련된 이야기만 하는 것이 맞다고 본다. 처음의 위믹스는 생존 가능성이 가장 중요한 화두였다. 붐이 꺼지고 많은 팀이 포기하며 위메이드 도 힘든 시기를 거쳤고, 생존이 중요했다. 이후 '미르4'라는 핵심 게임을 블록체인 플랫폼에 얹는 선택을 하며 크게 성공하게 됐고, 이후 2024년까지는 확장 가능성이 가장 큰 목표였다. 메인넷을 런칭하고, 여러 프로젝트를 동시에 진행했다. 당시로서는 최선의 결정이었다고 본다. 하지만 지금 시장 상황이 바뀌고 있고, 이젠 지속 가능성을 가장 중요한 목표로 보고 있는 상황이다.
최근 위메이드가 위 데어라는 슬로건을 발표하지 않았나. 위메이드는 기업가 정신이 가장 강한 회사 중 하나다. 지속 가능성 아래에서 도전과 혁신이 과제이며, 불필요하다고 생각되는 부분이나 서비스는 과감하게 정리할 생각이다. 미르5 등에서 혁신적인 모습을 보여드리기 위해 준비 중이며, 지속가능성을 확보한 뒤 끊임 없이 도전하겠다.
Q. 끝으로 전하고 싶은 메시지가 있다면?
안용운 CTO = 해킹 이슈는 가상자산 업계에서 굉장히 끊이지 않고 발생하는 문제다. 이전에 경험했던 바로는 거래소 수준의 보안 시스템에 관련된 내부 정책이 제대로 구축되면 최대한 방지할 수 있는 시스템이 구축된다고 본다. 정말 큰 일이 있었고, 수습하는 과정에서 참 많은 아이디어를 얻었다. 앞으로도 기대해 주시고, 한 단계 레벨업된 위믹스팀이 되도록 하겠다.
김석환 대표 = 죄송하다는 말씀을 여러번 드렸는데, 입이 열 개라도 할 말이 없다. 우리 실책이고 과오니까 말이다. 재단의 대표로서 다시 한번 죄송하다는 말씀을 드리며, 이번 일을 계기로 다시는 이런 사고가 발생하지 않도록 보다 철저하게 준비하고 대응하겠다. 위믹스는 한국에서 시작되어서 위메이드라는 모회사를 통해 많은 서비스적 지원을 받았고, 지금도 글로벌 블록체인 게임 플랫폼 중에 손꼽는 트래픽을 가지고 있는 플랫폼이다. 이런 기회가 다시 쉽게 오지 않을 것이라고 보기에, 앞으로 더 최선을 다하고 지금까지 발생한 문제를 책임지고 수습하고 더 이상 문제가 발생하지 않도록 하겠다.
개인적으로 아쉬운 점은 대한민국 블록체인 산업 생태계가 취약해지고 있다는 생각이 든다는 점이다. 더 좋은 모습을 보여야 한다고 생각하는데, 이번 일을 기점으로 더 책임감 가지고 더 강한 의지 가지고 성공적인 생태계와 플랫폼 되도록 할 테니 계속 지켜봐 주길 바란다.
Robiin@inven.co.kr