‘오르빗 브릿지 익스플로잇’에 대한 입장문
오르빗 체인 커뮤니티 여러분, 안녕하십니까.
오르빗 브릿지 서비스 개발사 ㈜오지스의 대표이사 최진한입니다.
2024년 1월 1일 오전 5시 52분(KST) 경, 오르빗 브릿지 이더리움 볼트에서 발생한 예기치 못한 익스플로잇에 대하여 책임을 통감하며, 개발사로서 심려 끼쳐드리게 되어 깊이 사과드립니다.
현재까지 당사의 자체 조사, 보안업체 티오리(Theori)의 감사 및 국가정보원, 경찰청, 한국인터넷진흥원(KISA)의 조사 및 수사를 통해 확인된 내용 중 가능 범주 내에서 최대한 설명드리고자 합니다.
먼저, 여전히 익스플로잇의 정확한 원인 규명을 위한 조사 및 수사가 진행되고 있다는 점을 밝힙니다. 가능 시점이 도래하면, 수사 기관의 협조 하에 자세한 이슈 리포트를 투명하게 공개할 계획입니다. 송구스럽지만, 다시금 이 부분에 대해서는 해량해 주시기를 바랍니다.
지난 1월 1일 오전 5시 52분부터 6시 25분까지 총 여섯 차례에 걸쳐 신원 불상의 공격자에 의해 오르빗 브릿지 이더리움 볼트 내 5개 자산(ETH, WBTC, USDT, USDC, DAI) 약 $81.5M 규모(*탈취 시점 기준)의 탈취가 발생했습니다. 탈취 자산은 ETH와 DAI로 교환(swap)된 후, 8개의 지갑으로 분산돼 현재까지 이동 없이 보관되어 있습니다.
당사 개발팀은 밸리데이터 그룹 채널을 통해 오전 7시 5분 처음 사건을 인지하고, 초기 대응에 돌입했습니다. 7시 21분, 추가 피해 방지를 위해 이더리움 볼트 가동을 정지하고, 9시 경부터 보안 파트너 티오리 사와 공동 대응 및 추적을 시작했습니다. 10시 경 서울경찰청에 신고 후, 10시 20분 탈취 자금 이동 상황 파악을 완료하였고, 10시 35분 KISA에도 신고를 마쳤습니다.
이후, 북한 관련 해킹 그룹으로 알려진 라자루스의 소행과 수법이 유사하다는 복수의 제보에 따라 국가정보원에도 신고를 접수하고 조사를 이어가고 있습니다.
현재까지 확인된 바에 따르면 이번 익스플로잇은 오르빗 브릿지 스마트 컨트랙트의 취약점이나, 밸리데이터 키 탈취에 의해 발생한 것은 아니었습니다. 당사는 무엇보다 중요한 명확한 원인 규명을 위해, 최근 발생했던 국내외 네트워크 및 서비스 공격 사례들과의 연관성은 물론 코드나 외부 솔루션의 취약점, 장기간 계획된 지능형 공격 등 모든 가능성을 열어 두고 있습니다.
지금도 국정원 국가사이버안보센터, 경찰청 사이버테러대응과, KISA 사이버침해대응본부 및 여러 보안 업체들이 각자의 전문성을 발휘하며 원인 규명을 위해 활발히 조사 및 수사 중이며, 당사는 수사 과정 전반에 걸쳐 긴밀히 협력하고 있습니다.
한편, 2024년 1월 10일 새로운 보안망 설계를 위해 유지보수 업체와 기존 방화벽 정책을 검토하던 중, 2023년 11월 22일, 오지스 최고정보보호책임자로 재직하던 A씨가 임의로 사내 방화벽의 주요 정책들을 변경한 사실을 인지하게 됐습니다.
A씨는 오지스 ISMS 인증 취득을 위한 업무를 총괄한 정보보호 전문가로서 희망퇴직 결정(11월 20일) 이틀 후, 돌연 방화벽을 취약하게 만들고 인수인계 과정에서 이에 대해 구두나 서면을 통한 공유 없이 12월 6일자로 퇴직하였습니다.
그로부터 한달이 채 지나지 않은 2024년 1월 1일, 오르빗 브릿지 익스플로잇이 발생하였습니다. 25년 경력의 보안 전문가가 자신의 행위로 인해 유발 가능한 피해를 예측하지 못했을 리 없기에 이는 임직원에게도 큰 충격으로 다가왔고, 당사는 현재 필요한 민형사상 절차를 진행하고 있습니다. 가능한 법적 조치가 선행되기 전에 미리 밝힐 수 없었던 점에 대해 이해를 부탁드립니다.
㈜오지스는 모든 서비스 개발에 있어 보안을 최우선 가치로 여기며 임해왔습니다. 단순 가치로 여기는 것에 그치지 않고, 실제로 많은 예산을 투입하며 보안 강화에 힘썼습니다. 모든 서비스는 항상 출시 또는 신규 기능 도입 전 티오리 사를 포함한 여러 보안 전문 업체의 감사를 선행했으며, 특히, 크로스체인 서비스의 특성상 오르빗 브릿지의 경우 다양한 모니터링 기능을 구현해 보안에 각별히 유의해왔습니다.
ISMS 의무 대상 기업은 아니지만, 선도적으로 정보보호를 강화하고 이용자에게 안전한 서비스 환경을 제공하고자 1년 이상의 준비 끝에 KISA로부터 인증을 취득하고, 주요 서비스에 피싱(Phishing) 방지 솔루션을 도입한 것은 이 같은 노력의 일환이었으나, 사건이 발생했습니다.
당사는 자사 개발 서비스의 이전 사례에서도 책임 있는 자세로 복구 방안을 마련했던 바, 이번에도 오르빗 브릿지 재개 시점 및 브릿지 자산 손실 복구안에 대한 구체적인 방안이 확정되는대로 조속히 공유해 드리겠습니다.
마지막으로, 당사는 얼마의 시간이 소요되든 모든 자원을 총 동원하여 공격자를 추적하고, 궁극적으로는 탈취 자산의 동결과 회수를 위해 끝까지 노력할 것입니다.
다시 한번, 이번 오르빗 브릿지 익스플로잇으로 불편과 고충을 겪고 계신 사용자 여러분과, ㈜오지스가 개발한 서비스를 신뢰하며 사용해주신 모든 생태계 참여자 분들께 머리 숙여 사과드립니다.
감사합니다.
2024년 1월 25일
㈜오지스 대표이사 최진한 배상
