2-3. 흑마법사들의 흔적을 찾다.

[Wizz]

Peter는 ‘그냥 151만불을 수업료’다 생각하고 잊은거 같았지만, 난 그러지 못했다. 난 내가 아는 최고의 보안 전문가인 Greg에게 별도로 일을 맡긴 상태였다.

Greg과 통화한지 좀 된거 같은데라는 생각이 들 때, Greg에게 문자가 왔다. 문자 내용은 특별한게 없었다. “이메일 확인해보고 연락줘.”가 전부였다.

해킹 직후 Greg과 나눈 얘기는 위 링크에서 확인할 수 있다.

난 이메일을 확인했고, Greg이 첨부한 7장짜리 보고서를 천천히 읽어보기 시작했다.

Greg은 실제 이 DEXs 차익 거래봇 코드를 면밀히 리뷰했고, 암호화된 코드들 사이에서 Config 파일에 넣어 둔 메타마스크의 메인 API Key를 외부 MongoDB로 보내는 코드를 밝혀했다. 보고서의 핵심 부검 결과를 차지하는 이 부분을 실제 확인하고 나니 너무나 내 자신에게 화가 났다.

왜냐면, 나 역시 Greg이 상세하게 밝혀낸 정도는 아니었지만, 외부 DB에 연결하려는 이 코드들에 대해서 위험하다라는 얘기를 Peter에게 했는데, 당시 Peter는 이 부분을 흑마법사들에게 그대로 전달했었다. 당연히 그들은 이 부분에 대해 그럴싸한 거짓말로 우릴 기만했다. 흑마법사들은 거래 내역이나 Pair 가격 추적을 위해 몇몇 거래소의 가격 정보를 가져오기 위한 연결이라고 했었다.

그리고, Greg은 이미 해당 DB Instance가 호스트 되었던, MongoDB.com의 ATLAS 팀에 해당 DB Name과 사유를 제출해 해당 유저 정보를 Keep 해달라는 요청을 해둔 상태였다. 그러니까 우리가 수사기관에 의뢰하면 MongoDB 측은 해당 유저 정보를 수사 기관에 제공해야 한다. 그렇지만 Greg은 MongoDB에서 흑마법사의 정보를 알아도, 이 후 다시 이메일 사업 제공자 등을 대상으로 수사가 이루어져야 하는데, 동유럽이나 러시아쪽 무료 이메일 서비스를 이용해 만들어진 이메일이면 아마 더 이상 진척은 힘들거다라고 의견을 줬다. 오히려 피해가 더 컸거나 다수였다면 그 다음 단계로 수사가 이어질 수 있겠지만, 중간 중간 이런 장애물은 계속 있을거라고 얘길 했다.

난 그의 보고서와 코멘트를 읽은 후 Greg에게 ‘통화 가능할 때 전화해줘’라는 문자를 보냈다.

50여분 정도 지났을까? Greg에게 전화가 왔다.

나는 Greg에게 제일 먼저 어떻게 이렇게 금방 범위를 좁힐 수 있냐고 물어봤다. Greg의 대답은 날 허무하게 만들었다.

Greg은 단지, 인터넷을 연결하지 않은 상태에서 해당 봇을 실행했고, 바로 해당 봇이 Crash되는걸 확인 후 디버깅을 했다고 한다. 로그를 분석하는 과정에서 의심 가는 코드들을 발견했다고 설명했다. 그리고 이어 그는 데이타베이스에 데이타를 저장한다면 그와 관련한 다른 쿼리들도 있어야 하는데 그런 부분이 전혀 없었다고 얘기했다.

나는 예전에 했던 질문을 그 날 또 Greg에게 했다. “만약 해킹 당한 사실을 몰랐다면, Greg 너는 이 위험 요소를 발견할 수 있었을까?” 내 죄책감을 덜기 위해서였을까? 아니면 내 무능함을 감추고 싶어서였을까?

Greg는 내게 다음과 같이 얘기했다.

I don’t think anyone can easily find it is dangerous. But there are many 100s of strings which are hashed or converted to hex. Which can be encoded script for scam or maybe related to crypto. – Greg

누구나 쉽게 위험하다고 발견하지는 못했을꺼야. 하지만 해시되거나 16진수로 변환된 문자열이 수백개가 넘어. 사기를 치기 위해 인코딩한 스크립트일 수도 있고 암호화폐와 관련된 것일 수도 있다고 생각할 수 있어.

그리고 그 때와 동일한 얘기를 한번 내게 해줬다.

And after reviewing all code of this app, I strongly recommend that we shoudn’t use this app or distribute If it is not downloaded from authentic source – Greg

이 앱의 전체 코드를 리뷰한 결과, 믿을 수 있는 곳에서 받은게 아니라면 이 앱을 사용하거나 배포해서는 안된다고 강력하게 권고할거 같아.

난 Greg에게 나지막한 한숨과 탄식을 했다. “기계적인 리뷰들은 어때? 예를 들면 수천불짜리 스캠 스크립트 탐지 솔루션들 있잖아?” 이미 상황은 잘 정리된 후였지만, 난 여전히 Greg의 입을 통해 면책을 받고 싶었던거 같다.

Greg도 내 마음을 눈치챘는지, 기어코 내가 듣고 싶었던 얘길 해줬다.

Trust me there is no tool in this world which can find this code as malware – Greg

이 봇 코드에서 악성 코드를 찾을 수 있는 도구는 이 세상에 없을꺼야. 내 말을 믿어.”

전화를 끊고, 나는 Greg의 보고서와 통화로 나눈 얘기를 다시 메모해서 Peter에게 이메일을 썼다. Peter에게 Greg에게 따로 받은 코멘트들을 전달하는게 창피하고 자존심이 상하는 일이었지만 있는 그대로 작성해서 보냈다.

메일을 보낸 후, Peter에게 이메일을 확인해보라는 문자를 보냈다.

1시간 뒤 Peter는 Greg의 “Trust me there is no tool in this world which can find this code as malware” 이 말을 다시 내게 보내면서, 누구도 찾을 수 없다는걸 너가 찾아낸거라고 답장을 보내왔다.

Peter에게도 150만불은 큰 돈일 것이다. 다만, 그가 앞으로 나아가는 방법이 나와 다를 뿐이다.

Peter는 이어서 변호사를 통해 mongoDB측에 협조 가능 메일을 보낼 계획이라고 덧붙혔다. 그렇지만, 이걸 더 이상 큰 문제로 만들고 싶진 않다고 했다. “흑마법사들을 잡기 위해 들어가는 시간과 기회 비용이 더 클지 몰라서.” 이해는 됐다. 나는 다시 물었다. “신고는?” Peter는 내게 “신고하면 더 귀찮지 않을까? 그 시간에 돈을 더 많이 버는게 좋을꺼 같은데”라고 말을 흐렸다가, 이내 결심을 했는지 “넌 신고하길 원하는거지? 그럼 FBI에 신고는 해둘께.”라고 대답을 했다.

내게는 아직도 생생한 그날 밤의 기억을 Peter는 이미 다 극복한건지 아님 잊은건지, 전혀 느껴지지 않았다.

그리고 얼마 뒤 Homeland Security(미국 국토 안보부) 보안관 두명이 형식적인건지 정말 수사를 하려는건지 우리를 면담하기 위해 사무실을 방문했다.