빗썸의 '암호화폐 탈취 사고' 해명이 찜찜한 이유

지난달 29일 국내 최대 암호화폐 거래소 빗썸에서 암호화폐 탈취 사건이 발생했다. 업계와 빗썸에 따르면 이번 사고로 암호화폐 이오스(EOS) 300만 개와 2천만 개의 리플(XRP)이 빗썸에서 비정상적으로 빠져나갔다. 원화로 환산하면 약 215억원에 달하는 규모다.

이오스와 리플 외의 다른 암호화폐의 탈취 가능성도 배제할 수 없다. 해당 사건은 현재 경찰이 한국인터넷진흥원(KISA)과 협조해 수사를 벌이고 있는 중이다.

빗썸은 이와 관련 "이번 탈취 사고는 해킹이 아닌 내부 횡령 사고이며, ISMS인증과 멀티시그 출금 방식을 적용해 철저한 보안을 해왔고 회원의 자산 유출 피해는 없었다"고 밝혔다.

하지만 빗썸의 이런 해명은 의문을 해소하기는 커녕 의혹만 더 키우는 형국이다.

지난달 29일 국내 최대 암호화폐 거래소 빗썸에서 암호화폐 탈취 사건이 발생했다. (사진=PIXTA)

■ 암호화폐 비정상적 출금, 해킹인가 아닌가

빗썸은 이번 비정상적 출금 사고는 "외부 공격이 아닌 내부자 소행"이라며 "해킹이 아니라고 판단한다"고 밝혔다. 해킹이 아니라고 판단한 이유는 ▲외부 침입 흔적이 발견되지 않았고 ▲ 회사에 불만을 가진 일부 직원이 있다고 파악했기 때문이다.

빗썸 측은 "최근 희망퇴직 실시 등의 이유로 회사에 불만을 갖거나, 퇴직하면서 한 몫을 노린 일부 직원이 이와 같은 행위를 저지른 것으로 파악하고 있다"며 "외부 공격에 대한 방비에만 집중하고, 내부직원에 대한 검증이 부족했다"고도 밝혔다. 또 "(내부자를) 특정할 정도의 수준으로 확인되는 게 있다"며 "현재 누군지 파악 중이다"고 덧붙였다.

하지만 외부 침입이 없으면 해킹이 아닌가 하는 논란이 제기되고 있다.

고려대 정보보호대학원 김승주 교수는 "해킹은 외부냐 내부냐가 중요한 게 아니다"며 "(접근) 권한이 없는 사람이 접근할 수 없는 자료에 접근하는 것 자체가 해킹"이라고 정의했다. 즉, 내부자여도 권한이 없다면, 해당 자료에 접근하는 건 해킹이라는 것이다.

김 교수는 또 "일반 금융권에서도 내부자 해킹도 당연히 막아야 한다고 생각하지만 암호화폐 거래소는 인식이 부족하다"며 "계속 사고가 발생하는데도 접근 통제에 대한 관리 감독 및 대책이 제대로 이뤄지고 있지 않다는 게 제일 큰 문제"라고 지적했다.

한국인터넷진흥원(KISA) 관계자도 "내부자 소행이라고 하더라도, 정당한 권한을 가지지 않은 내부자가 탈취한 것이라면 해킹으로 봐야 한다"며 "이번건은 내부 소행인지도 아직 정확히 결론 나지 않았다"고 말해 외부 침입 가능성도 배제하지 않았다.

■ 멀티시그 기능 적용한거 맞나?…"적용과 해당 기능 정상 작동은 다른 문제"

빗썸은 또 홈페이지 공지를 통해 "ISMS 인증과 멀티시그 출금 방식을 적용해 외부 해킹에 대한 철저한 감시와 차단, 모니터링을 적용하고 있다"고 설명했다. 보안이 철저했다는 것을 강조하기 위해 구체적으로 ISMS인증과 멀티시그 출금방식을 언급한 것이다.

멀티시그(Multisig)는 암호화폐 지갑 열쇠가 3개가 있어, 지갑을 열려면 2개 이상의 키가 필요한 기능이다. 지갑을 여는 데 단일키가 아닌 다중 키를 사용하는 만큼 보안성을 높이는 기능으로 평가된다.

그런데도 비정상 출금은 왜, 어떻게 일어난 것일까.

빗썸 관계자는 "멀티시그 기능을 뚫은건지, 정상적으로 그걸 통과해서 탈취한 건지는 확인되지 않았다"며 "조사 중"이라고 말했다.

김용대 카이스트 정보보호대학원 교수는 "멀티시그 기능이 있는데 탈취됐다는 건 말이 안 된다"며 "멀티시그는 코인별로 적용하는데 (해당 코인은) 적용이 안 됐을 가능성이 높다"고 추측했다. 김 교수는 또 "멀티시그를 적용해놓고도 제대로 안전하게 구현을 안 해서 문제가 될 수도 있다"고 덧붙였다.

KISA 관계자도 "멀티시그 기능을 적용한 것과 해당 기능이 제대로 작동하는 것은 다른 문제로 봐야 한다"고 말했다.

일각에서는 정보보호관리체계(ISMS) 인증을 받은 거래소임에도 해킹 사고가 발생하자, ISMS 인증 자체에 문제가 있는 게 아니냐는 지적도 나온다.

이에 KISA 관계자는 "ISMS는 만능이 아니라 일정 규모 이상이 되면 이 정도의 보안은 갖추라는 관리 체계일 뿐"이라며 "건강검진을 한다고 해서 병이 안 걸리는 게 아니듯, ISMS도 마찬가지"라고 말했다.

그는 "ISMS 인증에는 멀티시그 기능을 적용하라는 항목이 있지는 않지만, 멀티시그로 하는 게 안전하니 적용하는 게 좋다고 권고는 한다"고 덧붙였다.

■ 고객 피해 없다고 문제 달라지나…"보안 관리 감독 기준 높아져야"

빗썸은 이번 사고로 회원 피해는 전혀 발생하지 않았다고 강조했다. 회원의 암호화폐는 모두 콜드월렛에 보관하고 있으며, 비정상적으로 출금된 암호화폐는 핫월렛에 보관된 자사 보유분이라는 설명이다.

빗썸 관계자는 "거래를 원활하게 하기 위해 회사 자산을 핫월렛에 일부 보관하고 있다"며 "핫월렛에 보관하는 구체적인 비중은 밝힐 수 없지만, 코인마다 비율이 다 다르다"고 설명했다.

빗썸의 해명은 회원의 암호화폐 자산에는 아무런 피해가 없다는 것을 강조했지만, 문제는 피해 규모이지 탈취된 코인의 주인이 누구인지가 아니다.

빗썸도 스스로 밝힌 것처럼 실제로 핫월렛에 거래소의 암호화폐를 보관하는 이유는 거래소 회원의 원활한 거래를 위해서다. 결국, 핫월렛에서 이동되는 암호화폐는 고객의 것이기도 한 셈이다. 거래소의 코인과 회원의 코인이 이분법적으로 나눠지는 게 아닌 이유다.

거래소가 탈취된 코인을 자사의 보유분으로 덮을 수 있으만큼 보유했기 때문에 그나마 '다행'이라고 여기는 것과는 다른 문제다. 언제든 탈취 규모에 따라 회원의 자산도 피해를 입을 수 있기 때문이다.

빗썸의 암호화폐 탈취 사고는 이번이 처음이 아니다. 지난해 6월에도 해킹으로 약 350억원 규모의 암호화폐 도난 사고를 겪었으며, 지난 2017년에는 해킹으로 총 3만 6천여건의 개인정보가 유출되기도 했다. 지난해 6월 해킹 사고는 아직 사고 조사 결과도 나오지 않았다. (☞관련기사) 빗썸 관계자는 "추적하기가 쉽지 않아 조사가 오래 걸리는 것 같다"며 "아직 결과가 안 나왔으며, 전달받은 사항이 없다"고 밝혔다.

KISA 관계자는 이번 사고에 대해 "작년 6월에 발생한 빗썸 해킹 사건과 유사한 패턴인지도 고려해 조사하고 있다"고 밝혔다.

잇따른 빗썸의 해킹 사고로 암호화폐, 블록체인 업계는 많은 우려를 나타내고 있다. 한 암호화폐 거래소 관계자는 "국내 최대 규모인 빗썸에서 이런 사고가 발생하니 업계 전체에 안 좋은 시각이 생길 것 같아 우려스럽다"며 "같은 업계 관계자로서 안타깝다"고 토로했다.

이어 "내부적으로 아무리 컴플라이언스 통제를 하더라도, 실제적으로 암호화폐 거래소에 정확히 적용되는 법이 없고 규정이 없어 수사가 진행되기까지 오래 걸리는 것 같다"며 "고객들의 재산이 걸린 문제임에도 불구하고 사고가 터지면 기준 마련이 굉장히 힘들다"고 덧붙였다.

박주현 법무법인 광화 변호사는 "내부자 소행이더라도 완전한 내부자 소행인지, 내부자와 외부자와의 관계가 있는지 정확히 파악돼야 한다"며 "일반적으로는 정보보안 관련 법이 적용되며, 내부자가 가져갔다면 이는 횡령이나 배임에 해당한다"고 말했다.

또 "시스템이나 기술이 아무리 좋아도 그걸 운영하는 사람이 부족하거나 미숙하면 보안 사고를 막기 어렵다"며 "보안 사고가 일어나기 전에 이를 책임지고 관리 감독할 수 있는 사람이 얼마나 있는지가 중요하다"고 강조했다.

그는 또 "암호화폐 거래소의 보안 사고를 막기 위해서는 거래소 인허가제가 도입돼, 보안 기준을 강화한 거래소만 통과시킬 필요가 있다"며 "암호화폐 거래소는 상당히 큰돈이 몰리고, 한때 코스닥보다 많은 거래량을 기록한 만큼 일반적인 중소기업 기준으로 보면 안 되고 엄격한 기준이 필요하다"고 덧붙였다.