암호화폐 거래소 빗썸 해킹 여파가 채 가시기도 전에 유빗(구 야피존)이 올해만 두 차례나 해킹돼 결국 파산하는 상황을 맞았다.
비트코인, 이더리움과 같은 암호화폐는 블록체인에 거래기록을 남기기 때문에 위변조나 해킹으로부터 안전한 것 아니였냐는 질문이 나온다.
결론부터 말하면 암호화폐 거래기록을 담는 블록체인 자체는 안전성을 보장하지만 이를 거래하는 암호화폐 거래소, 투자자들이 쓰고 있는 전자지갑은 해킹 위협으로부터 자유롭지 못하다. 그만큼 보안에 각별히 신경을 써야한다는 뜻이다.
■ 두 차례나 거래소 해킹, 관리 부실 도마에
19일 암호화폐 거래소 유빗은 4월 해킹 이후 "보안강화, 인력충원, 시스템 정비 등에 최선을 다했다"고 밝혔으나 결국 해킹을 피하지는 못했다.
유빗의 전신은 2013년 12월부터 암호화폐 거래를 시작한 땡글 거래소다. 이후 2014년 2월 야피안이라는 법인을 설립한 뒤 거래소명을 야피존으로 바꿔 본격적으로 서비스 했다.
지난 4월22일 야피존은 인터넷과 연결된 내부 서버가 해킹돼 3천831개 비트코인이 유출돼 당시 기준으로 55억원 손실을 입었다.
그에 따라 투자자들이 해당 거래소에 보관했던 자산 중 37.08%를 일괄 차감하고 남은 금액을 자체 코인인 '페이(Fei)'로 지급하고 추후 순차적으로 보상해 주겠다는 대책을 발표했다.
문제는 8개월여 시간이 지난 시점에서 또 다시 비슷한 해킹사건이 발생했다는 점이다. 야피존은 4월 해킹 뒤 10월에 유빗이라고 이름을 바꾸고 해킹 당한 거래소라는 이미지를 벗어나기 위해 노력했다.
■ 블록체인 아닌 전자지갑 개인키가 뚫려
비트코인, 이더리움과 같은 암호화폐는 블록체인에 거래기록들을 담은 블록들이 서로 연결된 형태로 모두가 공유하는 공개된 거래장부에 저장되기 때문에 위변조가 어렵고 수많은 채굴자들이 거래 내역을 검증하는 절차를 거치기 때문에 해킹을 통해 조작될 가능성이 사실상 거의 없다.
그러나 암호화폐 거래 서비스를 대행해 주는 거래소는 얘기가 다르다. 거래소는 암호화폐를 보다 편리하게 사고 팔 수 있도록 하는 투자자들의 전자지갑을 하나의 서버에 저장해 관리한다. 전자지갑 내에는 투자자가 암호화폐를 다른 곳에 보낼 수 있는 권한을 가진 개인키가 들어있다.
거래소가 해킹돼 인터넷과 연결된 서버 내 전자지갑 속 개인키가 유출되면 공격자는 이러한 권한을 사용해 피해자가 거래소 내에 저장해 놓은 암호화폐를 공격자가 보유한 다른 암호화폐 전자지갑으로 이체하는 일이 가능해진다.
이런 해킹 피해를 최소화 하기 위해 거래소는 일반적으로 핫월렛, 콜드월렛을 도입하는 중이다. 인터넷과 연결된 핫월렛은 투자자들이 거래소에 맡겨 놓은 전자지갑에서 보다 쉽게 암호화폐를 넣었다 빼는 일을 할 수 있도록 한다. 콜드월렛은 인터넷과 연결되지 않은 안전한 저장소에 개인키를 별도로 보관해 놓는 방법이다.
이렇게 하면 공격자가 거래소가 관리하는 서버를 해킹하더라도 핫월렛에 저장된 투자자들의 일부 개인키만 훔쳐갈 수 있다. 나머지 콜드월렛에 저장된 개인키는 직접 서버를 들고가지 않는 한 해킹이 불가능하다.
유빗의 경우 4월 해킹 당시에는 핫월렛만 사용하고 있었던 것으로 알려졌다. 이후에는 콜드월렛을 도입한 덕에 일부만 해킹 피해를 입었지만 2개 이상 개인키를 통해서만 전자지갑을 열 수 있도록 한 멀티시그 지갑과 같은 추가 보안 서비스는 지원되지 않고 있었던 것으로 확인됐다.
이와 관련 한국블록체인협회 준비위원회 김진화 공동대표는 "콜드스토리지(콜드월렛)/멀티시그니처(멀티시그 지갑)는 기본이고, 거래소 임직원들이 내부통제, 거래소의 지배구조 등 금융기관 수준으로 거래소를 판단하고 선택해야한다"고 강조했다.
■ 거래소 노린 해킹 시도, 올 들어 급증...대비책은?
한국인터넷진흥원(KISA)과 국내 주요 보안기업들이 참여하고 있는 사이버위협인텔리전스네트워크에 따르면 올해에 이어 내년에도 암호화폐를 보유한 개인 사용자의 PC, 모바일 기기에 더해 거래소를 노린 해킹시도가 더 늘어날 것으로 전망된다.
국내 보안업계 관계자는 "웬만한 암호화폐 거래소는 계속해서 공격시도를 받고 있다"며 "거래소가 영세한 경우가 많아 제대로 된 보안팀이 없는 경우도 많다"고 밝혔다.
이스트시큐리티 문종현 이사는 "올해 들어 암호화폐를 노린 해킹그룹이 총력전을 벌이고 있는 상태"라고 지적했다.
암호화폐를 보유한 개인이나 거래소에 대한 공격은 사용자들의 돈을 노린다는 점에서 기존 해킹과 크게 다르지 않다.
그만큼 대비책 역시 투자자나 거래소 스스로 조심해야한다. 투자자 입장에서는 PC, 노트북, 스마트폰 등에서 각종 보안 업데이트를 철저히 하고 암호화폐를 거래할 수 있는 개인키를 안전하게 보관할 수 있는 방법을 마련하고, 의심되는 메일 첨부파일이나 문자메시지를 함부로 열어봐서는 안 된다. 거래소 역시 증권사 수준에 가까운 보안 대비책과 피해보상책을 마련해야한다.
관련기사
- 암호화폐 거래소 '유빗', 2번 해킹에 파산2017.12.20
- 日, 암호화폐-블록체인 생태계 어떻게 키웠나2017.12.20
- 암호화폐에 하드웨어 지갑이 중요한 이유2017.12.20
- "암호화폐 거래소, 투자금 100% 은행 예치"2017.12.20
문종현 이사는 "거래소가 콜드월렛을 쓴다고 하더라도 사용자가 해킹돼 계정이 뚫리면 암호화폐를 훔쳐갈 수 있게 되는 것"이라며 "거래소의 경우 암호화, 접근권한 관리 등 보안을 잘 하는 수밖에 없다"고 설명했다.
투자자들은 빗고(Bitgo)와 같은 멀티시그 지갑을 지원하는 등 충분히 안전하다고 여겨지는 거래소를 사용해야한다. 또한 거래에 사용하지 않고 장기 투자를 위해 묶혀 놓은 암호화폐에 대한 개인키는 거래소가 제공하는 전자지갑 대신 나노S, 킵키, 트레조 등과 같이 보다 안전한 하드웨어 월렛을 이용하거나 크립토스틸과 같은 소형 기기에 백업해 놓는 방법도 고려해 볼 수 있다.
