1-8. 흑마법사들의 주문에 당하다.

[Wizz]

2023년 7월 12일 늦은 밤

“테스트를 위해 메타마스크에 넣어둔 이더리움이 방금 모두 다른 주소로 이체된걸 확인했어.” Peter의 목소리는 차분했지만, 무언가 실망감이 크게 느껴지는 톤이었다.

“아마 우리가 당한거 같아.” 이어진 Peter의 말에 나는 머리가 뜨거워지는걸 느꼈다.

Peter는 다시 내게, “우선 너한테 빠르게 업데이트 해주려고 전화한거야. 내일 오전에 통화 가능할까? 우리 그 때 다시 얘기하자.”

나는 “당연히 가능하지. 그래 일단 자고, 내일 얘기하자.”라고 대답하고 전화를 끊었다.

Peter도 그랬겠지만, 나는 그날 밤 한숨도 잘 수 없었다.

전화를 끊고 나서, 망연자실한체 모니터를 응시했다. 심장은 점점 빨라지고 있었다.

내가 제일 먼저 든 생각은 내 책임에 대한 부분이었다. 내가 좀 더 보수적으로 평가해서 이 봇은 위험하다라는 얘길 했다면, 어땠을까라는 자책이 들었다.

나는 빠르게 이 상황을 정리할 수 있는 방안에 대해 고민을 하면서 밤세 뒤척이고 있었다.

‘흑마법이 걸린 마법과 주문을 사용하게 만들었으니 어쨌든 내 책임이 크다’는 결론을 내렸다.

내일 전화가 오면, 우선 이번 손실에 대한 책임을 지겠다고 얘기를 하자. 그리고, 추가적으로 부검을 진행하자. 내가 아는 구글 출신 보안 전문가 Greg에게 코드 리뷰를 다시 맡기자란 생각을 했다. 아니 지금 바로 Greg에게 이메일을 보내자란 생각에 컴퓨터 앞에 다시 앉았다.

이메일의 내용은 급하게 코드 리뷰 및 사용 여부에 대한 코멘트를 해달라는 내용이었고, 나는 이전 검토 항목들과 소스 코드 그리고 이미 해킹을 당한 내용 등 전체 히스토리를 공유했다. 비용은 얼마가 들어도 좋으니 빠르게 리뷰 및 코멘트를 달라고 했다.

이메일을 보내고 나서도 계속 뒤척일 뿐, 여전히 머리는 뜨겁고 심장은 요동치듯 빨리 뛰고 있었다. 150만불을 배상해야 한다는 생각 때문이었던거 같다. 아내에게는 뭐라고 설명하지란 생각을 할 땐 깊은 한숨이 나왔다.

---

2023년 7월 13일

그렇게 뜬 눈으로 밤을 세웠다.

7:30AM – 이른 아침, 어제 보낸 이메일을 봤는지, 보안 전문가인 Greg에게 전화가 왔다. Greg은 브루클린에 살고 있는데, 지금 애들을 학교에 등교시키고 내게 전화를 바로 했다고 한다. 다만, 그의 에어팟에 너무 많은 소음이 함께 들려와 통화를 제대로 할수가 없었다. 나는 Greg에게 오늘 중으로 팀을 붙혀 코드 리뷰를 해달란 얘기를 했고. 특히 어떤 지점에서 해킹이 된건지 의견을 달라고 했다.

밤을 지세웠지만 오히려 머리는 어느 때보다 뚜렷하게 깨어있는 기분이 들었다. 그렇지만 몸이 보내는 컨디션 시그널은 좋지 않았다. 눈은 건조하다 못해 모래가 잔뜩 들어간 듯 뻑뻑한 기분이 들었다.

Peter 전화를 기다렸지만, 오전 내내 그에게서 전화가 오지 않았다. 오히려 점심 경에 Greg에게 먼저 연락이 왔다.

Greg은 내게 담담하게 “지금 리뷰 중야. 의심 가는 부분은 찾았어.”라는 얘기를 했다. 나는 너무 당황스러웠다. 내가 몇일을 리뷰했던것보다 그는 단 몇시간 만에 의심 가는 부분을 벌써 찾아냈기 때문이다. 아무리 관련 전문가라고 해도 너무 빨리 찾아냈다는 생각에 한숨이 나왔다. 처음부터 전문가에게 맡겼어야 했다는 자책감이 다시 들었다.

나는 이어서 Greg에게 질문을 했다. “만약 이미 해킹 당한게 아니라면, 너가 찾은 의심 가는 부분에 대해서 어떤 코멘트를 줄 수 있어? 그러니까 내 말은 이 스크립트 실행 및 사용 관련 너의 코멘트는 뭐야?” 였다.

내 입장을 모르는 Greg은 담담하게 얘기했다.

“좀 더 자세하게 리뷰를 해봐야겠지만, 이 부분을 봤을 때, 내가 할 수 있는 코멘트는, ‘신뢰할 수 있는 소스로 부터 받은 코드가 아니라면 이 코드는 실행되어서는 안된다.’야”

Greg의 목소리는 일상 대화와 업무 대화를 할 때 톤이 달라지는데, 업무적인 대화를 할 때는 낮은 저음톤이 된다. 가라앉은 저음으로 뱉는 그의 말은 내게는 되돌릴 수 없고 확정적인 어떤 선고처럼 느껴졌다.

나는 다시 Greg에게 말만 다를 뿐 똑같은 질문을 했다. 내가 원하는 대답을 듣고 싶었다. “Greg, 이미 해킹 당한걸 모르는 상태고, 어느 정도 신뢰할 수 있었다면, 지금 너가 말하는 부분들에 대해 의심을 할 수 있었을까?”

계속 비슷한 질문을 하는 나를 보며 Greg도 ‘이 코드 리뷰를 내가 했고, 해킹을 당했다는 걸’ 깨달은거 같은 기분이 들었다.

Greg은 내게 “음 그래, 좀 더 자세하게 리뷰해보고 의견을 줄께.”라고 대답을 했다. 그리고 나를 안심시키려는 듯 한마디를 덧붙혔다. “내가 지적한 부분은 의심이 간다는거지, 실제 해킹이 거기에서 된게 아닐 수도 있어. 맞아 우호적으로 코드 리뷰를 했고 이 부분에 대한 별도 코멘트가 있었다면 대수롭지 않게 넘겼을꺼야. 그리고 사실 기계적인 리뷰로는 어떤 누구도 이 코드에 대해 사용 불가 딱지를 붙히진 못했을꺼야.”

그치만 그는 통화 처음에 분명 얘기했었다.

신뢰할 수 있는 경로를 통해 입수한 코드가 아니라면 코드 사용을 추천하지 않는다. – Greg

나중에 GREG으로 부터 추가적인 부가 설명을 듣고 알게되었지만, 해커는 자신의 의도를 숨기기 위해 상당히 많은 애를 썼다. 해커는 백도어 한줄을 가리기 위해 너무 지나치게 많은 의미없는 수사들을 잔뜩 넣어놨고, 전문가인 GREG의 눈에는 바로 그 지점이 제일 어색하고 의심스럽게 보였던거 같다.

우리는 내일이나 모레 다시 통화하기로 하고 전화를 끊었다.

---

2023년 7월 13일 오후 3시경

Peter에게 전화가 온 건, 오후 3시쯤이었다.

Peter의 목소리는 어제보다 나아졌지만 실망감은 감춰지지 않는듯 했고, 톤은 차분하게 가라앉아 있었다. 그래도 밝은 목소리를 유지하려 애쓰는거 같았는데 그게 날 더 맘아프게 했다. Peter는 담담하게 PM(펀드 포토폴리오 매니저) 등에게 오전 내내 놀림을 당했고 그들에게 점심을 사느라 이제야 전화를 했다며 “탈중앙화 거래소의 차익거래 봇 프로젝트는 여기서 멈춰야 할꺼 같아. 우리가 직접 만들지 않는 이상 지갑의 Key가 넘어갈 수 있기 때문에 너무 위험한거 같아.”

그리고 계속 말을 이어갔다.

“그리고 너가 리뷰를 해줬는데도 발견 못한거면, 앞으로 (외부에서 개발된) 어떤 탈중앙화 거래소 차익거래 봇도 믿지 못할꺼 같아.”

Peter는 이어 “그래도 다행인게, 실제 작동 여부를 판단하기 위해 메타마스크로 이더리움을 만불 정도만 옮겨서 천만다행이야. 펀드 일부 또는 전부를 옮겼다면 투자자 돈을 다 잃고 아마 나는 감옥에 갔을껄?! 우리가 해킹 당했다고 얘기해도 누가 믿겠어. 이 생각을 하면 그래도 참 다행인거 같아. 그치?” 라고 말했다. 그의 목소리가 조금 밝아지는 듯 했다.

난 Peter에게 “미안해 내 책임이 큰거 같아. 이걸 어떻게 변상하면 좋을까?”하고 물었다. 난 사실 이 손실은 내 책임이라고 생각을 하고 있었고, 변상하기 위한 재원을 어떻게 마련해야 할지 고민중이었다.

그런 내 말에 Peter는 황당해하며 “아니 너가 왜 책임져? 너 책임은 하나도 없어. 이건 다 내 책임이야. 이런식이면 어떤 PM이 파이낸스 팩토링 모델을 만들거나 투자 진행을 할 수 있겠어?”라고 말했다.

난 그의 말에, “그렇지만 손실 금액이 너무 크잖아.”라고 말을 했다. 봇 코드를 받아오면서 지급한 돈이 150만불이었다. 심지어 나는 돈을 받고 코드 리뷰를 한거였다.

내 말에 Peter는 웃으며 “그 봇을 너가 하자고 한거야? 아니잖아. 괜찮아 일하다보면 이런건 그냥 수업료 또는 진행 비용이라고 생각하면 돼” 라고 말했다.

“나 사실 밤세 너무 무서웠어.”라고 내가 말하자 Peter는 “나도 그랬어. 사실 다른 PM이 일부 펀드를 바로 넣자고 했었거든. 그걸 넣었으면 손실 금액이 컸을꺼야. 그래서 난 오히려 다행이라고 생각해. 오늘 놀림을 심하게 당했지만 괜찮아. 이런 비용은 일하다보면 늘상 발생해.”

그런 Peter의 말에 나는 “그 회사와 담당자에겐 연락해봤어?”란 질문을 했고, Peter는 “메타마스크에 넣어둔 이더리움이 사라진 직후 모든게 사라졌어. 홈페이지가 사라졌고, 텔레그램 컨택도, 전화도, 문자도 이메일도 대답이 없어.”

“내가 차익 거래 기회를 찾지 못하는걸 계속 지적했거든 해커들이 아마 내가 곧 눈치챌거라고 생각했던거 같아. 왜냐면, 정상적으로 작동하는 봇이었다면, 그들이 이전에 얘기한 하루에 찾아내야 하는 거래 기회들이 있었거든” 이어서 Peter는

“우리가 직접 만들지 않는한 무서워서 못할꺼 같아. DEXs 차익 거래 특성상 메타마스크 Key를 넣을 수 밖에 없는거잖아.”란 Peter의 말에 나는 뭐에 홀린 듯 이렇게 대답했다.

“그럼 내가 만들어볼께. 오늘부터”