[뉴스드림=설동훈 기자]세계 최대 NFT(대체불가토큰) 마켓 플레이스 오픈씨(Opensea)에서 고객 이메일 데이터가 유출되는 사고가 발생했다. 이에 따라 고객들에게 오픈씨와 유사한 도메인의 이메일을 악용한 피싱 피해 발생이 예상되는 가운데 차제에 NFT 마켓 플레이스 업체의 개인 정보 보호를 위한 보안이 강화돼야 한다는 지적들이 제기되고 있다.

◆오픈씨 고객에 안전 주의사항 공지…사법기관 보고 등 후속 조치

해외 블록체인 전문 매체 코인텔레그래프(Cointelegraph)에 따르면 최근 오픈씨는 이메일 뉴스레터와 캠페인을 관리하는 플랫폼인 Customer.io 의 직원이 오픈씨 사용자와 뉴스레터 구독자가 제공한 이메일 주소를 외부에 유출한 사실을 발견한 후 공지를 통해 고객들에게 각별히 주의할 것을 당부한 것으로 알려졌다.

오픈씨측에 따르면 현재까지 거래를 한 사용자는 약 180만 명 정도인 것으로 알려져 있으며 아직까지 이번 사건의 피해 규모는 정확히 집계되지 않고 있다.

하지만 이번 사건은 플랫폼용 또는 뉴스레터용에 상관없이 오픈씨에 이메일 주소를 제공했 모든 사용자에게 영향을 미칠 것으로 예상되고 있다. 실제로 트위터 사용자의 경우 벌써부터 오픈씨와 비슷한 도메인을 이용한 스팸 이메일, 전화 통화 및 문자 메시지가 증가하고 있는 것으로 알려졌다.

오픈씨 측은 “최근 이메일 배달 공급 업체인 Customer.io의 직원이 OpenSea 사용자 및 뉴스레터 가입자가 제공한 이메일 주소를 승인되지 않은 외부 당사자와 다운로드하고 공유하기 위해 직원 액세스를 오용했다는 사실을 알게 됐다”며 “이와 관련 회사는 이번 사건을 엄중히 받아들여 사법 집행 기관에 보고했으며 조사가 진행 중”이라고 밝혔다.

하지만 이 같은 오픈씨의 후속 조치에도 불구하고 이번 이메일 데이터 외부 유출 사건은 사용자들로부터 비난을 면키는 어려울 것으로 예상되고 있다.

물론 NFT 마켓 플레이스의 데이터 유출 사건이 이번에 처음 발생한 것은 아니다. 지난 5월 인기 있는 NFT 마켓 플레이스 디스코드(Discord) 서버가 해킹에 따른 대대적인 피싱 공격으로 다수의 사용자 지갑이 도난 당하는 등 악용돼 손실을 끼쳤다. 특히 이 플랫폼은 지난 1월에도 심각한 공격을 받고 해커들이 NFT를 무단으로 판매한 탓에 시장에서 180만 달러의 손실을 상환한 바 있다.

또 지난 3월에는 Customer.io와 비슷한 서비스인 허브스팟(Hubspot)이 해킹을 당해 블록피, 스완 비트코인, NYDIG 및 서클에서 고객의 사용자 이름, 전화번호 및 이메일 주소 등이 노출되기도 했다.

◆연이은 개인 정보 유출…후속조치 불구 비난 면키 어려워

하지만 기존의 사건들과 달리 이번 오픈씨의 이메일 데이터 유출에 비난의 화살이 집중될 수밖에 없는 것은 무엇보다 회사의 관리 소홀로 자행된 범법행위인데다 지난 1월 발생한 해킹 사고로 해커들이 일부 NFT를 시장가의 11분의 1에 해당하는 가격으로 탈취한 뒤 제값에 팔아 엄청난 시세차익을 얻는 사건이 초래됨에 따라 오픈씨가 보안과 관련된 업데이트를 진행하고 보안 강화를 강조해온 상황에서 또 다시 불미스런 일이 발생함으로써 개인정보 유출 문제와 관련해 결코 자유롭지 못하다는 지적이 제기되고 있기 때문이다.

오픈씨는 사용자의 이메일 데이터가 외부로 유출됨에 따라 사용자가 이메일 피싱 시도로부터 자신을 보호할 수 있는 5가지 안전 권장 사항을 공지했다.

구체적으로 오픈씨는 도메인에서 ‘opensea.io’ 이메일만 전송하고 있다는 사실을 설명하고 오픈씨를 가장한 주소, 예컨대 OpenSea.io 또는 OpenSea.xyz 등의 피싱 이메일에 주의할 것을 당부했다.

또 오픈씨 이메일의 경우 첨부 파일 또는 다운로드 요청이 포함돼 있지 않는 만큼 어떤 것도 다운로드를 삼가고 오픈씨 이메일에 링크된 페이지의 URL의 경우 ‘email.opensea.io’에 대한 하이퍼링크만 포함하는 만큼 URL을 정확히 확인할 것을 권장했다. 특히 악의적인 해커들의 경우 문자를 섞어 URL을 가장하는 것이 일반적이므로 ‘opensea.io’의 철자가 정확한지 확인해야 한다고 강조했다.

이와 함께 오픈씨는 어떤 형식으로도 비밀번호나 비밀 지갑 문구 공유 또는 확인 작업 수행 메시지를 표시하지 않는 만큼 이러한 작업의 시행을 절대 삼가고 이메일의 경우 지갑 거래에 직접 서명하라는 메시지가 표시되는 링크가 포함되지 않으므로 이메일에서 직접 묻는 지갑 거래에 절대 서명하지 말아야 한다고 설명했다.

오픈씨 측은 “이번 사건은 이메일 관리 플랫폼 소프트웨어의 보안이 취약한데 따라 데이터 유출이 발생한 것으로 보인다”며 “이름, 전화번호, 이메일 등이 외부의 악의적인 해커들에게 유출된 고객들은 Opensea와 유사한 도메인의 이메일을 악용한 피싱을 조심해야 한다”고 강조했다.

한편 NFT 마켓 플레이스 업체의 해킹 또는 개인 정보 유출 사건이 계속 발생함에 따라 업계 선도기업들은 저마다 대응책 마련에 부심하고 있는 것으로 알려지고 있다.

이번 사건과 관련해 전문가들은 연이어 터져 나오는 NFT 마켓 플레이스 업체의 해킹 또는 개인 정보 유출 사건은 모든 관련 업체에 보안 문제의 중요성에 대해 시사하는 바가 크며 이러한 각종 범법행위의 예방과 근절을 위해서는 차제에 해킹 또는 개인 정보 유출에 면밀히 대비하는 보다 근본적인 대책의 마련이 필요하다고 지적하고 있다.

또 사용자의 경우 모든 암호화폐 자산을 한 곳에 보관하기 보다는 여러 지갑에 분산하고 다수의 투자자들이 사용하고 있지만 온라인에 접속돼 해킹에 노출되기 쉬운 암호화폐 지갑은 가급적 사용을 삼가는 것이 바람직하다고 덧붙였다.