[더구루=홍성일 기자] 글로벌 블록체인 네트워크 코스모스에 적용된 스테이킹 모듈 개발에 북한 개발자들이 연루된 것으로 확인됐다. 스테이킹 모듈 개발사는 개발자가 북한 관련 인물인 것을 인지했음에도 이를 숨기고 출시를 강행해 논란이 커질 것으로 보인다. 

코스모스 프로젝트를 이끄는 테더민트(Tendermint) 공동창립자인 재 권 최고경영자(CEO)는 15일(현지시간) IT 커뮤니티 깃허브를 통해 "코스모스 허브의 유동 스테이킹 모듈(Liquidity Staking Module, LSM)의 상당 부분이 북한 요원에 의해 개발됐다"고 밝혔다. 

스테이킹이란 개인이 보유한 암호화폐를 블록체인 네트워크에 예치해 해당 플랫폼 운영과 검증 과정에 참여, 보상을 받는 것을 말한다. 

LSM은 코스모스 허브의 유일한 거버넌스 토큰인 아톰(ATOM)의 유동성을 향상시키기 위해 개발된 모듈이다. LSM은 기존 코스모스 스테이킹 모듈에 추가로 구축된 모듈이다. 이용자는 해당 모듈을 기반으로 스테이킹된 아톰을 유동적인 스테이킹 자산으로 전환, 자유롭게 거래할 수 있다. LSM은 아톰 보유자들의 스테이킹을 유도하는 등 네트워크 내 핵심 기능으로 뽑힌다. 

LSM의 개발은 자키 마니안(Zaki Manian)과 그가 이끄는 아이클루전(Iqlusion)이 주도했다. 아이클루전이 LSM 개발에 돌입한 것은 2021년 8월이다. 이번에 알려진 바에 따르면 초기 개발 단계부터 준 카이, 사라우트 사닛이라는 인물이 참여해 LSM의 코드 대부분을 작성했다. 바로 이 두 사람이 북한과 연관된 사람들이었다.

그러던 2022년 7월 오크 시큐리티는 LSM에 대한 감사를 실시했고 중대한 취약점을 식별했다. 아이클루전은 즉각 취약점을 해결하기 위해 추가 개발 작업을 진행했다. 그리고 이 과정에도 준 카이, 사라우트 사닛이 참여, 주도적으로 문제를 해결했다. 이들은 12월 초 진행된 최종 코드 병합 작업도 주도했다. 사실상 LSM의 개발 과정에서 핵심 역할을 한 것이다. 

이 상황은 미국 연방수사국(FBI)에 발각됐다. FBI는 2023년 3월 자키 마니안에 이 같은 사실을 통보했다. 하지만 자키 마니안은 이런 사실을 커뮤니티에 공개하지 않았으며, 북한 개발자들이 작성한 코드도 수정하지 않았다. 이후 LSM은 스트라이드 랩스의 일부 수정 작업을 거쳐 2023년 4월 코스모스 허브와 통합이 결정됐고, 8월 소프트웨어 업그레이트를 통해 통합됐다. 자키 마니안은 끝까지 북한 개발자의 존재를 공개하지 않았다. 자키 마니안이 이 같은 사실을 인정한 것은 올해 10월 2일이다. 

이번 사건은 코스모스 생태계에 지대한 영향을 미칠 것으로 보인다. 전세계적으로 암호화폐 분야 해킹 문제를 일으키고 있는 북한이 코스모스 블록체인의 취약점을 모두 알고 있는 상황인 된 것이기 때문이다. 또한 LSM이 독립적으로 작동하는 것이 아닌 코스모스 허브 스테이킹 시스템에 결합돼 작동하는 형태라는 점도 문제다. 연결된 것이 아닌 결합된 것이기 때문에 분리와 차단이 힘들고 영향받는 범위도 스테이킹된 모든 아톰 코인으로 넓다. 여기에 테더민트 이사회 멤버이기도 했던 자키 마니안의 정보 은폐로 운영 주체에 대한 신뢰 타격도 불가피한 상황이다. 

재 권 CEO는 "코스모스 거버넌스 커뮤니티가 LSM에 대한 포괄적인 감사를 실시, 북한과 연계성을 밝히고 즉각적인 조치를 취해야 한다"며 "신뢰 위반에 책임이 있는 사람들이 책임 지는 것이 코스모스 생태계 보안을 위해 매우 중요하다"고 말했다. 

한편 이번 사태로 블록체인 업계 북한 해커 원격 근무 논란이 다시 한 번 불거질 것으로 보인다. 실제로 최근 암호화폐를 탈취하기 위한 북한 해커 조직의 침투가 기승을 부리고 있다. 북한 해커들은 미국 기술 스타트업 등을 표적으로 원격 근무를 하겠다며 취업 지원서를 내고 취직이되면 기업들의 서버에 접근할 수 있는 권한을 획득, 해킹을 하고 있다.  <본보 2024년 8월 30일 참고 '北 해커' 취업 막기 위해 암호화폐 기업 해결책은>