안녕하세요 썸씽(SSX)팀입니다.
먼저 지난 1월 27일 발생한 SSX 토큰의 해킹사건으로 인해 커뮤니티 여러분과 업계 관계자분들께 큰 심려를 끼쳐 드린 점에 대해 진심으로 사과의 말씀을 드립니다. SSX 유의지정해제를 위한 저희 썸씽팀의 지속적이고 성실한 노력에도 불구하고 DAXA의 SSX 상장폐지 결정이 내려진데 대해 깊은 유감을 표하는 바입니다.
SSX의 상장폐지 결정과 관련, 저희는 본 입장문을 통하여 금번 해킹사건에 대한 저희의 대응사항 및 DAXA의 유의지정 해제를 위한 저희의 소명 노력 등에 대해 공개 가능한 범위 내에서 커뮤니티 여러분께 공유를 드리고 향후 썸씽 팀의 대응방향에 대해 말씀드리고자 합니다.
1. 해킹사고 관련 주요 History
2024년 1월 27일 새벽, 2025년 말까지 유통될 계획이었던 재단 보유 지갑의 미유통 SSX가 신원 불명의 해커집단에 의한 공격으로 인해 외부로 출금되는 사건이 발생하였습니다. 썸씽팀은 해당 사건을 인지한 직후 1월 27일 10시 02분부터 국내외 거래소에 해킹사실을 알리고 긴급 입출금 정지를 요청 드렸으며, 인터폴의 공식 파트너사인 웁살라 시큐리티와의 공조를 통해 출금된 SSX의 이동 경로를 추적하였습니다. 그 결과, 재단 소유 18개의 지갑에서 약 총 7.3억개의 SSX가 해커에게 탈취되어 그 중 약 6.7억개의 SSX는 HTX 거래소로, 0.1억개의 SSX는 Gate 거래소로, 나머지 0.55억개의 SSX는 해커 소유로 추정되는 지갑으로 이체된 사실을 확인하였습니다. 관련된, 웁살라 시큐리티의 최종분석보고서는 지난 2월 7일 DAXA에 제출이 되었습니다.
탈취된 SSX의 대부분이 HTX 거래소로 유입된 정황이 포착됨에 따라, 저희 썸씽팀은 HTX 거래소 핫라인 및 공식메일을 통해 해커의 소유로 추정되는 23개의 지갑주소를 전달하면서 즉각적인 계좌동결을 요청하였고 거래소측으로부터 동결조치를 완료하였다는 확인을 받았습니다. 아울러, 0.1억개의 SSX가 이체된 Gate거래소의 지갑주소에 대해서도 Gate 거래소에 전달하였으며 관련 계좌를 동결하였다는 확인을 받았습니다. 해커소유로 추정되는 0.55억개의 SSX가 보관되어 있는 지갑의 정보에 대해서도 국내외 모든 거래소 및 클레이튼 재단측에 공유를 하였으며, 해당 지갑에 대해서 Warning Tag 부착 및 자산의 이동 정황이 포착될 경우 즉각적인 동결조치를 취해 줄 것을 요청하였습니다. 본 입장문의 공지시점까지도 위에 설명 드린 0.55억개의 SSX는 이동없이 해당 지갑에 보관되어 있음을 확인하였습니다.
아울러, 저희는 1월 27일 해킹 정황 포착에 따라 피해 사실을 명기한 자료를 준비하여 지체없이 경찰청 사이버수사대에 신고를 하였고 같은 날 관할 경찰서를 방문하여 오프라인 신고도 완료하였습니다. 또한, 한국인터넷진흥원(KISA)에도 해킹사건에 대한 신고를 진행하여 사고발생 배경에 대한 분석 및 향후 수사를 지원하고 있습니다. 향후에도 저희는 본 해킹사건에 대한 조사 및 탈취 자산의 추적과 환수를 위한 일체의 사항에 대해 경찰청, 인터폴을 포함한 사법당국 및 모든 유관기관들과 적극적으로 협력을 해 나갈 예정입니다.
2. 초과된 유통량 모니터링을 위한 썸씽팀의 조치사항
썸씽팀은 금번 해킹사건으로 인해 예상치 않게 시장에 유통된 물량에 대한 현실화 반영을 위해 변경된 유통계획을 2월 1일 각 거래소에 제출하였으며 쟁글팀과의 적극적인 협력을 통해 라이브워치에서도 현실화 반영된 유통계획을 기준으로 한 실시간 유통량 모니터링이 2024년 2월 7일 10시부터 ‘정상’ 상태로 재개되었습니다.
3. 해킹 경로에 대한 분석결과
2024년 1월 16일, 특정 국내거래소를 사칭한 피싱 메일을 썸씽팀의 거래소 대응 담당자가 수신하였습니다. 해당 메일상의 발신인 및 표기된 메일 주소가 기존에 저희가 수신해 왔던 해당 거래소의 메일 주소와 동일하였으며, 해당 메일의 내용 또한 기존의 수신 메일들과 동일했던 관계로 썸씽측 담당자는 별다른 의심 없이 1월 17일 피싱 메일에 첨부되었던 파일을 다운 및 실행하였습니다. 이후 썸썽팀에서는 해당 파일의 실행과정과 관련하여 비정상적인 움직임을 포착하고, 1월 18일 해당 거래소 담당자와의 커뮤니케이션을 통해 1월 16일에 썸씽팀이 수신한 이메일이 스캠메일임을 확인하였고, 그 즉시 해당 메일을 거래소측으로 공유한 뒤 해당 메일 및 다운받은 파일 일체를 삭제 후 V3 정밀검사를 진행하였습니다.
해킹사건 발생 이후인 1월 29일부터 코스닥 상장 보안전문회사를 통해 해킹공격을 받은 PC로 의심되는 단말기에 대해 디지털 포렌식을 진행하였으며, 최종 분석보고에 따르면 이번 해킹 사건은 북한의 해킹 집단 중 하나인 ‘Kimsuky 그룹’이 썸씽프로젝트를 타깃하여 공격을 진행하였음이 확인되었습니다. 거래소 사칭 피싱메일로 인해 해킹공격이 진행되었음이 확인됨에 따라 해당 거래소에서는 2월 1일 상장된 모든 프로젝트를 대상으로 피싱메일에 대해 주의를 요하는 경고메일을 발송하였으며 해당 메일에는 썸씽프로젝트에서 해킹의심 메일로 제공한 이미지 자료가 활용되기도 하였습니다.
거래소를 사칭한 피싱메일을 통해 이번 해킹공격을 받은 PC에 설치된 악성코드는 V3 백신 보안 DB에 없는 새로운 악성코드 다운로더로 추정됨에 따라 V3로는 완전히 삭제되지 않으며, V3 보안 DB에 있는 일부 악성코드만 치료되는 것을 확인하였습니다. 저희의 자체조사에서도 악성코드가 감염된 단말기 상태에서 V3 정밀검사를 진행하였으나 검출된 악성코드가 없는 것으로 확인되었으며, 보안업체의 분석보고서에서도 악성코드가 실행되고 있음을 단말기 사용자가 알기 어렵다는 사실이 확인되었습니다.
4. DAXA 소명자료 요청에 대한 썸씽팀의 대응사항
이번 해킹사건으로 인하여 썸씽팀에서 기 공지드렸던 유통계획 대비 실제 유통량이 초과되면서, 저희가 지금까지 최우선으로 추구해 왔던 투자자와 커뮤니티에 의한 신뢰성 확보에 치명적인 타격을 입게 되었습니다. 그러나, 해킹사건 발생 이전까지 썸씽팀은 프로젝트 최초로 업비트 거래소와의 Market Cap API 연동을 통해 유통량을 공개해 왔으며, DApp으로서는 최초로 쟁글의 라이브워치 솔루션의 선제적인 도입을 통하여 SSX의 미래 유통량 계획은 물론 실제 유통량의 실시간 모니터링 시스템을 구축하고, 유통계획을 초과하여 SSX를 유통한 적이 없었습니다.
1월 29일 SSX의 유의지정이후 썸씽팀은 DAXA로부터 요청받은 소명자료들에 대해 2월 7일, 2월 13일 및 2월 22일 총 세 차례에 걸쳐 가능한 모든 자료를 제출 드리며 성실히 소명요청에 응하였으며 본 자료에는 해킹사건의 경위 및 재발 방지, 이용자 보호를 위한 썸씽팀의 조치사항, 해킹과 관련된 썸씽팀의 전체적인 대응사항 등이 포함되어 있습니다.
특히, 재발 방지를 위한 시스템 보안강화 및 가상자산 관리방안 강화를 위해 저희는 아래와 같은 내용을 2월 7일에 소명자료의 일부로 제출하였습니다.
‘프로젝트에서는 유사한 시스템 해킹공격에 대비하고 재단의 가상자산을 보다 안전하게 보호하기 위해 아래와 같은 보안조치를 즉각적으로 실행하였습니다. 관리 시스템에 대한 추가적인 해킹공격에 대비하여 보안관제 전문기업 과 관제서비스 계 약을 체결하여 내부 시스템의 보안을 강화하고자 합니다. 이를 통해, 내부 시스템과 관련한 개별 보안 이슈사항에 대해 관제시스템을 통한 신속한 문제파악 및 대응조치를 실행하고 외부 해킹공격으로부터 프로젝트의 전체적인 시스템을 안전하게 보호하고자 합니다. 또한, 프로젝트에서 기 도입하여 운영 중이었던 FortiGate 방화벽에 4가지기능 (IPS, 안티바이러스, 웹 필터링, Malware)을 추가하는 계약을 체결하여 시스템 보안을 강화하고자 합니다.
또한, 재단 가상자산의 보다 안전한 관리를 위하여 한국디지털에셋(이하 KODA)의 지갑으로 SSX 전량 이체 후 향후 유통계획에 따라 적법한 승인 절차를 거쳐 KODA 지갑에서 출금하여 활용하는 등 가상자산의 관리를 일원화하였습니다. 2024년 2월 2일부터 해당계획을 실행하기 위해 KODA 지갑으로의 순차적인 가상자산 이전이 진행되었으며 본 KODA 지갑들의 주소들 또한 Xangle의 라이브워치에 반영되어 SSX의 실시간 유통량이 정상적으로 모니터링이 되고 있습니다.’
또한, 썸씽팀은 금번 해킹사건 발생에 대한 전적인 책임을 통감하고 신뢰 회복에 대한 의지를 표명 드리고자 아래와 같은 추가적인 실행 계획 또한 소명자료의 일환으로 제출 드렸습니다.
1) 경영진이 보유한 개인물량 소각
금번 해킹사건 발생에 따른 송구한 마음과 신뢰 회복에 대한 의지를 표명 드리고자 썸씽팀의 주요 경영진 개인들이 보유하고 있는 SSX 물량을 자발적으로 출연하여 소각하기로 뜻을 모았습니다. 2024년 1분기 내로 소각을 진행할 예정이며, 정확한 소각 물량과 소각 시점 등의 세부사항은 사전에 고지를 드리고 실행할 예정입니다.
2) 제로 리저브 (Zero Reserve) 시행
썸씽 프로젝트의 최초 백서를 기준으로 프로젝트 리저브로 할당된 토큰 물량 중 현재 KODA에 보관 중인 잔여 리저브 전량을 소각하여 ‘Zero Reserve’를 시행할 계획입니다. 이는 단순한 미 유통 토큰의 소각이 아니라 향후 사업 및 운영계획에 따른 정책의 일환이며, 투자자들 및 커뮤니티로부터의 신뢰회복을 위한 프로젝트의 실행 계획입니다. 이를 통해 향후 과도한 유통량으로 인해 SSX의 시장가치가 희석되지 않도록 할 것이며, 투자자 및 커뮤니티 여러분들이 가지실 수 있는 미래 추가 유통물량에 대한 우려를 선제적으로 제거하고자 합니다. 제로 리저브 시행에 대한 상세한 일정 및 진행사항 또한 공식 커뮤니티를 통해 고지하도록 하겠습니다.
3) 프로젝트의 매출로 발생하는 SSX의 영구 소각 모델 적용
썸씽 앱 서비스에서는 사용자들이 창작하여 게시한 노래 콘텐츠에 대한 다른 사용자들의 SSX 후원행위를 통해 적립되는 SSX의 40%가 프로젝트의 서비스 매출로써 플랫폼 지갑에 누적되고 있습니다. 또한, 향후 사업개발에 따라 SSX를 활용한 추가 서비스와 Dex/Swap 에서도 SSX 매출이 발생될 것입니다. 저희는 프로젝트의 매출로써 발생하는 SSX의 일정 비율을 분기별로 소각하는 모델을 영구히 도입하고자 합니다. 매출로 발생하는 SSX 소각비율, 소각시기 등은 공식 커뮤니티를 통해 사전 고지 후 실시할 계획입니다.
4) 해킹물량 환수 시 즉시소각
현재 해커소유로 확인되는 모든 지갑들에 대한 주소정보가 국내외 거래소에 보고된 바 있습니다. 사법당국과 국내외 거래소의 유기적인 공조가 진행된다면 해킹으로 탈취된 SSX 또는 SSX를 활용하여 교환한 다른 형태의 가상 자산이 환수될 수 있을 것이라 생각합니다. SSX 환수가 진행될 경우, 환수된 SSX에 대해서는 즉각적인 소각을 진행하여 현재의 시장 유통량이 감소할 수 있도록 조치하고, 다른 형태로 교환된 가상자산이 환수될 경우, 이는 시장에서 SSX를 Buyback하는데 필요한 재원으로 활용하고 Buyback이 완료된 SSX 또한 즉시 소각하여 유통량이 감소될 수 있도록 조치할 계획입니다. 환수와 관련된 진행사항 또한 그 즉시 해당내용을 공식 커뮤니티를 통해 고지하도록 하겠습니다. 썸씽팀은 탈취된 자산에 대한 추적 및 환수를 위해 향후에도 가능한 모든 노력을 적극적으로 기울일 것이며 수사기관을 포함한 모든 유관기관과의 지속적인 공조를 이어 나갈 계획입니다.
앞서 설명 드린 바와 같이, 해킹사건 발생 이전까지 썸씽팀은 주도적으로 업비트 거래소와의 유통량 API 연동, 자발적 쟁글 라이브워치 온보딩 등을 통해 투자자들 및 커뮤니티를 대상으로 투명한 유통량 공개를 위한 선제적이고 적극적인 노력을 해 옴과 동시에 KODA 커스터디의 1호 고객회사로서 재단 보유 가상자산의 안전한 관리를 위해 노력을 해 왔음을 업계 관계자분들께서는 알아주시리라 믿습니다. 예상치 못했던 해킹사고 발생에 대해 저희 썸씽팀 또한 관리부실의 책임을 피할 수 없음에는 전적으로 동감하며 깊이 반성하고 있습니다만, 저희의 적극적인 상황해결 의지와 진정성 있는 소명 노력에도 불구하고 DAXA에서 제시한 금번 상장폐지의 사유들에 대해서 저희는 이를 받아들일 수 없다는 입장임을 말씀드립니다.
이에 따라, 저희 썸씽팀은 SSX의 거래지원 종료 결정을 내린 거래소를 대상으로 상장폐지결정 효력정지 가처분신청 등을 위한 법적 절차를 진행할 예정입니다. 법적 절차 진행에 대한 업데이트 내용에 대해서는 별도 공지를 통해 안내 드리도록 하겠습니다.
감사합니다.
SOMESING Team 드림
