30만 건의 사용자 데이터가 패키지 형태로 유출됨, 폴리마켓(Polymarket)은 ‘공개 데이터’라는 변명에 갇힘
저자: 클로드, TechFlow
TechFlow 리드: 4월 27일, 익명의 해커 ‘xorcat’이 사이버 범죄 포럼에 압축 파일을 업로드했다. 이 파일에는 Polymarket에서 추출한 30만 건 이상의 기록, 작동 가능한 5개의 취약점 공격 스크립트(PoC), 그리고 2개의 CVE 등급 취약점이 포함되어 있으며, 원본 데이터 크기는 약 750MB다.
블록체인 위협 정보 계정 Dark Web Informer가 이듬날 X(X, 전 트위터)를 통해 이를 공개했다. Polymarket은 당일 즉시 이 사건에 대해 반응했으나, “해당 데이터는 이미 공개 API를 통해 접근 가능하므로, 이는 ‘데이터 유출’이 아니라 ‘기능’이다”라고 주장하며 사건을 ‘기능’으로 정의했다. 그러나 공식 성명서는 해커가 지적한 API 오구성 및 취약점 활용 세부 사항을 직접적으로 다루지 않았다.
4월 27일, 익명의 공격자 ‘xorcat’이 특정 사이버 범죄 포럼에 8.3MB 크기의 JSON 압축 파일을 업로드했다. 압축 해제 후 용량은 약 750MB에 달하며, 여기에는 Polymarket에서 추출한 30만 건 이상의 기록, 작동 가능한 5개의 취약점 공격 스크립트(PoC), 그리고 기술 보고서가 포함되어 있다.
Polymarket은 당일 즉각 대응했다. 그러나 이 대응은 일반적인 위기 관리 차원의 사과 및 진단 절차가 아니라, 오히려 도발적인 반박이었다. 해당 플랫폼의 공식 계정은 X에서 “모든 관련 정보는 공개 엔드포인트 및 체인 상 데이터를 통해 접근 가능하다”며 농담조로 언급하며, 이를 ‘취약점이 아닌 기능’이라고 명확히 규정했다.
이 사건은 이처럼 ‘로젠문(Rashomon)’ 양상을 띠게 되었다. 해커 측은 이 사건을 사전 통보 없이 공개된 데이터 공격이라 주장하며, 구체적으로 여러 API 오구성 사례를 지적했다. 반면 플랫폼 측은 모든 데이터가 공개 데이터이며, 어떤 민감 정보도 유출되지 않았다고 단호히 주장했다.
공격 경로: ‘잠겨 있지 않은 문들로 이어진 일련의 통로’
xorcat이 포럼 게시글에서 설명한 바에 따르면, 이번 공격은 복잡한 단일 취약점을 이용한 것이 아니라, 마치 잠겨 있지 않은 문들을 차례로 통과하는 것과 유사했다. 사이버 보안 미디어 The CyberSec Guru의 분석에 따르면, 공격은 주로 다음 세 가지 문제를 악용했다: 비공개 API 엔드포인트, CLOB(Central Limit Order Book) 거래 API의 페이지네이션 우회, 그리고 CORS(Cross-Origin Resource Sharing) 오구성.
공개 보고서에 따르면, Polymarket의 여러 엔드포인트는 사실상 인증 과정 없이 완전히 접근 가능하다. 예를 들어, 댓글 엔드포인트는 사용자 프로필 전체를 무차별 대입 방식으로 열람할 수 있게 하며, 보고 엔드포인트는 사용자의 활동 데이터를 노출시키고, 팔로워 엔드포인트는 로그인 없이도 임의의 월렛 주소와 연결된 전체 소셜 관계도를 재구성할 수 있도록 허용한다.
30만 건 이상의 기록 속에 담긴 내용은?
xorcat의 포럼 게시글과 The CyberSec Guru, The Crypto Times의 분석 보고서에 따르면, 유출된 데이터 패키지는 사용자, 시장, 공격 도구 등 세 부류로 구성되어 있다(아래 데이터 카드 참조).
사용자 관련 데이터 중 1만 개의 독립 사용자 프로필에는 이름, 닉네임, 자기소개, 프로필 사진, 에이전트 월렛 주소, 기반 월렛 주소가 포함되어 있다. 9,000개의 팔로워 프로필은 소셜 관계도를 재구성할 수 있게 한다. 4,111개의 댓글 데이터는 모두 연관된 사용자 프로필을 함께 포함하고 있다. 1,000개의 보고 기록에는 58개의 독립 이더리움 주소가 포함되어 있다. 또한 createdBy 및 updatedBy 등 내부 사용자 ID 필드가 곳곳에 산재해 있어, 플랫폼 계정 구조의 일부 윤곽을 간접적으로 드러낸다.
시장 관련 데이터는 Polymarket Gamma 시스템에서 생성된 48,536개의 시장(완전한 메타데이터, condition ID, token ID 포함), 25만 개 이상의 활성 CLOB 시장(FPMM 스마트 계약 주소 포함), 제출자 및 판정자의 내부 사용자 이름 및 월렛 주소가 표시된 292건의 이벤트, USDC 스마트 계약 주소 및 일일 지급률이 기재된 100건의 보상 설정이 포함된다.
월렛 주소 자체는 체인 상에서 익명이지만, 이름, 자기소개, 프로필 사진과 함께 노출될 경우 익명성은 즉각 붕괴된다. 이것이 Polymarket의 이번 대응에서 전혀 언급되지 않은 핵심 논쟁점이다:
‘데이터가 공개 여부’와 ‘공개된 데이터가 집합된 후에도 사용자 신원을 보호할 수 있는가’는 서로 다른 두 가지 질문이다.
“이는 기능이지 취약점이 아니다”: Polymarket의 반박
Polymarket은 4월 28일 X에서 단 한 줄의 게시물을 통해 이 사건에 대해 반응했다. 해당 게시물은 이모티콘 ‘😂’로 시작하며, 먼저 ‘침해되었다’는 표현을 의문시한 후, 차례로 반박했다: 체인 상 데이터는 원래부터 공개 감사가 가능하며, 따라서 어떤 데이터도 ‘유출’되지 않았고, 동일한 정보는 기존 공개 API를 통해 무료로 획득 가능하므로, 굳이 유료로 구매할 필요가 없다는 것이다. 전체 발언은 ‘이는 기능이지 취약점이 아니다’라는 결론으로 마무리된다.
The Crypto Times 보도에 따르면, Polymarket의 반응은 해커가 제기한 구체적인 기술적 비판—API 오구성, CORS 오구성, 비공개 엔드포인트, 부재한 요청 제한(rate limiting) 등—을 직접적으로 다루지 않았다. 플랫폼은 ‘데이터가 공개되었는가’라는 가장 쉽게 반박 가능한 측면에서 강력하게 대응했으나, ‘공격자가 예상치 못한 경로를 통해 대량으로 데이터를 추출 및 패키징했다’는 더 근본적인 보안 문제에는 침묵을 지켰다.
xorcat 측은 사전에 Polymarket에 통보하지 않았다고 밝혔으며, 그 이유는 해당 플랫폼에 버그 바운티 프로그램이 없기 때문이라고 설명했다. 이 주장은 현재 제3자에 의해 확인되지 않았으나, 사실이라면 Polymarket의 능동적 보안 거버넌스에 존재하는 어떤 공백을 반영한다: 책임 있는 공개(reponsible disclosure)를 위한 공식 채널이 부재하므로, 공격자는 내부 보고보다는 바로 공개하는 쪽을 선호하게 된다.
이번이 Polymarket의 첫 번째 보안 이슈가 아니다
시간 순서로 돌아가면, 2024년 8월부터 9월까지 Google 계정을 통해 Polymarket에 로그인한 여러 사용자들이 USDC 자산 도난을 보고했다. 공격자는 Magic Labs SDK 내 proxy 함수 호출을 악용해 사용자 잔액을 피싱 주소로 전송했다. Polymarket 고객센터는 9월 말 이전에 최소 5건의 유사 공격을 확인했다.
2025년 11월, 해커는 Polymarket의 댓글란에 피싱 링크를 게시했고, 이를 클릭한 사용자의 기기에 악성 스크립트가 설치되는 방식으로 공격이 진행됐다. 관련 사기 활동은 누적 50만 달러 이상의 손실을 초래했다.
2025년 12월, 다시 한번 대규모 계정 도난 사건이 발생했다. Polymarket은 디스코드를 통해 이 사건을 확인하고, 이를 ‘제3자 신원 인증 서비스의 취약점’으로 원인을 설명했다. 소셜 미디어 상의 논의는 일반적으로 Magic Labs 이메일을 통해 로그인한 사용자 그룹을 가리키고 있으나, 플랫폼은 관련 서비스 제공업체를 공식적으로 명시하지 않았으며, 영향을 받은 사용자 수 및 손실 규모도 공개하지 않았다.
모든 사건 이후 플랫폼은 다양한 수준의 반응을 보였다: 제3자 서비스 제공업체를 탓한 경우도 있었고, 문제를 인정하고 영향을 받은 사용자와의 연락을 약속한 경우도 있었다. 이번 xorcat 사건은 ‘이것은 원래 공개된 데이터였다’는 주장을 전면에 내세운 첫 번째 사례다. 역사적 맥락에서 보면, 이번 대응은 전형적인 보안 사건 대응이라기보다는, 사건의 성격 자체를 둘러싼 다툼에 더 가깝다.
기사 작성 시점까지 Polymarket은 xorcat이 공개한 구체적인 기술적 취약점에 대한 수정 조치를 발표하지 않았으며, 포럼 상의 PoC 스크립트는 여전히 누구나 다운로드 가능하다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
深潮TechFlow
