ICO 프로젝트, 사회 공학적 해킹에 대비하라

김호광 플레이코인 대표

1990년대 모토로라, 썬, 노벨, NEC, 퀄컴, 노키아 등 거대 기업을 농락했던 유명 해커 케빈 미트닉은 고난도 해킹 기술을 사용하지 않았다. 집중력 떨어지는 오후나 심야에 타깃기업에 전화해, 해킹 시도가 있으니 점검을 위해 시스템 비밀번호를 달라고 했을 뿐이다. 연방수사국(FBI)을 사칭한 이런 심리적 접근에 수 많은 기업들이 속아 넘어갔다. 비자카드도 그에게 속아 큰 손실을 봤다. 심리적인 취약점을 이용하는 이런 수법을 '사회 공학적 해킹'이라고 한다.

한국 사회도 사회 공학적 해킹으로 몸살을 앓고 있다. 공공기관에서 많이 쓰는 한글 파일(hwp)의 취약점과 사회공학적 해킹을 결합한 수법이 효과적으로 구사돼 왔다. “BH(청와대) 유럽 순방 결과와 그 의의.hwp”, “BH 정부 개혁 구조 혁신 방안.hwp” 같이 관료나 언론인이라면 열어 볼 수 밖에 없는 제목의 파일에 악성코드를 숨겨 놓은 것이다.

게임 머니와 아이템이 현금화될 수 있는 게임 회사와 게임 포털은 또 다른 사회 공학적 해킹의 타깃이다. 회사에 악성 코드가 담긴 USB를 경품으로 보내거나 개발 툴인 비주얼 스튜디오 크랙 프로그램에 악성 코드를 삽입해 회사 내부 보안망을 무력화했다. 보안이 강화된 게임 회사 서버를 직접 해킹하기 보다 사회 공학적 해킹을 시도한 것이다.

최근에는 암호화폐를 노리는 해킹에서도 이와 유사한 수법들이 눈에 띈다. 2018년 겨울부터 ICO 코인 발행 재단과 거래소의 주요 인물을 노리는 악성 코드가 사회공학적인 공격을 통해 배포되고 있다. '가상화폐 규제 정부 방침.hwp', ‘가상화폐 거래소 금감원 규제 방안 초안.hwp’ 등 암호화폐 관련 종사자가 열 수 밖에 없는 파일명이 메일로 발송되고 있다.

이미 많은 해킹과 해킹 시도를 겪은 암호화폐 거래소는 오히려 그동안 학습효과로 보안을 강화하고 있다. 한국인터넷진흥원(KISA)이 거래소의 보안 점검과 가이드에 앞장서고 있기도 하다.

하지만 암호화폐공개(ICO)를 진행한 블록체인 프로젝트는 보안 회색 지대에 남아 있다.

많은 ICO 재단은 한국인들이 사실상 운영하고 있지만, 국적은 싱가포르, 몰타 등 다른 나라도 돼 있는 구조다. 이런 불분명한 법리적 구조는 ICO를 위해 많은 재단이 선택한 것이지만, 한국 정부의 보안 가이드라인을 강제할 수 없다는 문제점이 있다.

앞서 얘기한 것처럼 우리 사회는 10년 이상 한국에 특화된 사이버 공격을 경험해 왔다. ICO 재단과 참여자들이 보안의 회색 지대에 남아 있으면 안되는 이유다.

ICO 재단은 자율적으로 믿을만한 보안 수준을 지키고 있다는 것을 ICO 참여자들에게 정기적으로 알려야 한다. 재단이 사이버 위협에 대응하는 인력, 투자 수준을 투명하게 밝히고 가상화폐 자산에 대한 관리를 강화하고 ICO 참여자들의 우려를 불식 시켜야 한다.

또한 KISA 등 한국 내 정보 보안 기관에서는 한국에 상장된 ICO 재단에 대해서 금융권 수준의 보안 가이드라인을 지키고 있는지 확인을 요청해야 한다. 이것이 법적으로 불가능하다면 국내 거래소를 통해 요청 받는 것도 한 방법이 될 수 있다. 한국인들이 투자한 크립토 자산이기 때문에 거래소를 통한 간접 공시가 가능할 것으로 보인다.

마지막으로 ICO 재단, 보안 전문가, 거래소, 정부 관련 부처들이 모여 암호화폐 투자자들이 안심할 수 있는 ‘ICO 자율 보안 가이드라인’ 제정에 힘을 모야야 할 것이다.