인도네시아 해커, 거래 플랫폼에서 암호화폐 도난
인도네시아 당국은 거래 플랫폼 Markets.com의 입금 시스템에서 보안 결함을 악용하여 39만 8천 달러 상당의 암호화폐를 훔친 혐의를 받고 있는 현지 해커를 체포했습니다. 경찰은 런던에 본사를 둔 Markets.com의 소유주인 Finalto International Limited가 제기한 고소에 따라, 서부 자바 반둥에서 HS라는 이름으로만 알려진 용의자를 토요일에 구금했습니다.
이 작전으로 인해 거래 플랫폼은 총 39만 8천 달러 (약 66억 7천만 루피)의 손실을 입었으며, HS는 인도네시아의 사이버 범죄 및 자금 세탁 방지 법률에 따라 기소될 예정입니다. 그는 최대 15년의 징역형과 90만 달러 (약 150억 루피)의 벌금에 처해질 수 있습니다.
사이버 범죄 수사국 부국장인 안드리 수다르마디는 수사관들이 HS가 Markets.com의 명목 입력 시스템에서 어떻게 이상을 악용했는지를 밝혀냈다고 전했습니다.
이 플랫폼은 공격자가 입력한 입금 금액에 따라 USDT 잔액을 생성하여 적절한 백엔드 검증 없이 사기성 이익을 얻을 수 있는 기회를 제공했습니다. 경찰에 따르면 HS는 헨드라, 에코 살디, 아리프 프라요가, 토신이라는 이름으로 네 개의 가짜 계정을 만들었으며, 공개적으로 접근 가능한 웹사이트에서 인도네시아 국가 신분증 정보를 긁어내어 실제 신원 데이터를 확보했습니다.
당국은 2017년부터 컴퓨터 액세서리 유통업체이자 암호화폐 거래자로 활동해온 용의자가 자신의 경험을 활용하여 시스템 취약점을 식별하고 악용했다고 밝혔습니다. 경찰은 반둥에 있는 152제곱미터의 상가, 266,801 USDT (약 420만 달러, 44억 5천만 루피) 상당의 콜드 월렛, 노트북, 휴대전화, CPU 유닛, ATM 카드 등을 압수했습니다.
사이버 보안 컨설턴트인 데이비드 세현 백은 Decrypt에 긁어낸 신원 데이터가 해커가 “더 큰 지하 데이터 생태계에 연결된 사람”이라고 말하며 단독 운영자가 아님을 시사한다고 전했습니다.
그는 “많은 거래소가 여전히 KYC를 체크박스 작업으로 취급하고 있다”고 지적하며, 나쁜 행위자들이 유출된 데이터와 AI 도구를 사용하여 “신뢰할 수 있는 가짜 신원을 쉽게 구축할 수 있다”고 덧붙였습니다. 백은 “전통적인 KYC만으로는 더 이상 충분하지 않다”고 말하며, 거래소가 합성 신원을 조기에 탐지하기 위해 “지속적인 모니터링, 장치 및 네트워크 인텔리전스, 더 나은 플랫폼 간 협업”을 채택할 것을 촉구했습니다.
그는 이 사건이 “매우 명확한 산업 트렌드”에 부합한다고 설명하며, 공격자들이 복잡한 스마트 계약 해킹에서 벗어나 “비즈니스 논리 결함, 약한 API, 잘못된 접근 제어 및 불완전한 백엔드 검증”과 같은 Web2 시스템의 더 쉬운 진입점을 찾고 있다고 밝혔습니다. 이러한 문제는 “기본적인 보안 코딩 관행, 내부 코드 검토 및 정기적인 보안 테스트”로 해결할 수 있다고 전문가가 덧붙였습니다.
