최근 사이버보안 업체 Malwarebytes의 트윗(스레드 보기)에서 충격적인 발견이 강조되었습니다. 윤리적 해커들이 Popeyes, Tim Hortons, Burger King 같은 인기 패스트푸드 체인의 디지털 플랫폼에서 그들이 '치명적(catastrophic)'이라고 부르는 취약점을 발견했다는 것입니다. 이 브랜드들은 모두 Restaurant Brands International(RBI) 소속으로 전 세계 수천 개 지점을 운영하고 있으며, 온라인 시스템이 사실상 손쉽게 악용될 수 있는 상태였다고 합니다.

이 이야기는 Malwarebytes 블로그(관련 보고서 보기)에 실린 상세 보고서에서 시작됩니다. 두 명의 윤리적 해커—시스템의 약점을 찾아 고치도록 돕는 사람들—가 어떻게 무단 접근을 얻었는지 기술했는데, 발단은 사용자 인증을 위한 클라우드 서비스인 AWS Cognito의 잘못된 설정이었습니다. 기본적으로 사용자 가입이 적절히 잠기지 않아 누구나 인증 없이 계정을 생성할 수 있었고, 더 심각한 건 비밀번호가 평문으로 전송되고 있었다는 점입니다. 이는 마치 현관문 열쇠를 현관 매트 밑에 두는 것과 같습니다.

한 번 내부에 들어가자, 해커들은 심각하게 침해적인 행위를 할 수 있었습니다. 드라이브스루 주문의 음성 녹음을 청취하고, 가맹점 운영을 관리하며, 직원 정보를 수정하고, 매출 데이터를 열람하고, 파일을 업로드하며, 푸시 알림을 발송할 수 있었고, 하드코딩된 비밀번호가 포함된 디바이스 주문 시스템에 접근할 수도 있었습니다(하드코딩된 비밀번호는 코드에 직접 박혀 있어 어디를 찾아야 할지 아는 사람에겐 매우 쉽게 노출됩니다). 이 음성 녹음들은 단순한 오디오 클립이 아니라 개인 정보가 포함되어 있었고, 고객 감정, 직원 성과, 매출 지표 등 분석을 위해 AI로 처리되고 있었습니다. 수천 개 매장의 모든 드라이브스루 대화를 도청하는 것을 상상해 보세요—바로 그런 규모였습니다.

RBI는 해커들이 보고한 같은 날 문제를 패치했지만, 연구자들에게 별도의 언급이나 공개적인 감사는 하지 않았습니다. X(구 Twitter)에 올라온 스레드는 Nessus(유명 취약점 스캐너)를 이용한 말장난 'nessus-atiy' 같은 가벼운 답글도 유발하며 사이버 커뮤니티가 진지한 주제에 유머를 섞는 모습을 보여주기도 했습니다.

그렇다면 이 사건이 밈 토큰이나 블록체인과 무슨 관련이 있느냐고 궁금할 수 있습니다. CoinDesk에서 수년간 암호화폐를 다뤘고 지금은 Meme Insider에서 밈 세계를 깊이 파고드는 사람으로서, 저는 뚜렷한 유사점을 봅니다. 밈 토큰 프로젝트는 종종 커뮤니티의 과열과 바이럴 마케팅에 힘입어 속전속결로 출시됩니다. 그러나 이런 급격한 진행 속에서 보안은 뒷전으로 밀릴 수 있고, 그 결과 유동성 풀(liquidity pools)을 탈취당하거나 사용자 데이터가 유출되거나, 심지어 자금을 걷은 뒤 개발자가 프로젝트를 버리는 rug pulls 같은 사태로 이어질 수 있습니다.

생각해 보세요. 이번 패스트푸드 플랫폼들이 클라우드 서비스를 불안전하게 사용했던 것처럼, 많은 밈 토큰은 Solana나 Ethereum 같은 블록체인 위의 스마트 컨트랙트에 의존합니다. 노출된 private key나 취약한 인증 설정 같은 단순한 설정 오류 하나가 수백만 달러 손실로 이어질 수 있습니다. 악명 높은 Squid Game token 같은 사례가 사기였음이 드러난 적도 있고, DeFi 프로토콜에서 코드 결함을 악용해 자금을 빼간 기술적 해킹 사례도 이미 여러 번 있었습니다.

블록체인 실무자들이 받아들여야 할 핵심 교훈은? 감사(audits)와 윤리적 해킹을 우선시하라는 것입니다. Nessus 같은 도구나 Malwarebytes 같은 업체의 서비스는 출시 전에 취약점을 스캔하는 데 도움이 됩니다. 밈 토큰 창작자라면 단지 과대 광고로 펌핑만 할 것이 아니라 초반부터 강력한 보안을 구축해야 합니다—multi-signature wallets를 사용하고, 제3자 감사를 받고, 적절한 접근 통제(access controls)를 구현하세요. 모든 것이 분산되고 투명한 암호화폐 공간에서는 단 한 번의 침해가 나쁜 밈이 바이럴되는 것보다도 더 빠르게 신뢰를 무너뜨립니다.

이번 사건은 경종입니다. 햄버거를 팔든 다음 인기 강아지 테마 토큰을 출시하든, 보안은 선택이 아닙니다. 이것은 고위험 디지털 세계에서 프로젝트를 살려내는 제세동기와 같습니다. 경계를 늦추지 말고, 블록체인 커뮤니티의 모두를 위해 더 안전한 생태계를 함께 구축해 나갑시다.