스마트 계약 분석 플랫폼 퍼즐랜드(Fuzzland)가 베드락(Bedrock)의 유니비티씨(UniBTC) 프로토콜을 겨냥한 약 279억 원 규모(200만 달러)의 해킹 사건이 내부 직원의 소행이었다고 공식 확인했다.
퍼즐랜드는 최근 발표한 투명성 보고서를 통해 해당 공격이 전 직원에 의해 계획적으로 이뤄졌으며, *사회공학 기법*, *공급망 공격*, 그리고 *지속적 표적 공격(APT)* 기술이 동원됐다고 밝혔다. 이 내부자는 지난 9월 퍼즐랜드의 긴급 대응 회의 중 논의된 취약점을 이용해 유니비티씨를 공격한 것으로 드러났다.
심지어 공격자는 악성 코드를 개발 워크스테이션에 주입해 백도어를 만들어냈고, 이 상태로 수 주간 아무런 탐지 없이 시스템에 접근할 수 있었다. 이 과정에서 외부 보안 분석업체 데다우브(Dedaub)로부터 최초 지적된 취약점에 대한 민감 정보를 사전 입수했고, 이를 토대로 공격을 감행한 것으로 퍼즐랜드는 설명했다.
퍼즐랜드 측은 해당 보안 결함을 해킹 이전에 이미 인지했지만, 초기 분석 과정에서 오탐으로 간주돼 우선순위에서 밀렸다고 해명했다. 플랫폼은 이번 사태를 계기로 내부 보안 체계와 감시 프로토콜을 전면 재정비하겠다고 강조했다.
이번 사건은 블록체인 업계 전반에 걸쳐 ‘내부자 위험’이라는 오래된 리스크가 여전히 유효하다는 점을 여실히 드러낸 사례로 평가된다. 특별히 트럼프 대통령 재선 가능성과 맞물려 암호자산 규제가 다시 논의될 수 있다는 점에서, 이런 보안 사고가 미치는 파장은 더욱 커질 수 있다는 분석도 나온다.