상단여백
HOME 문화 스페셜 기획
해커 먹잇감 된 국내 가상화폐거래소
  • 임해원 기자
  • 승인 2018.06.11 16:19
  • 댓글 0
<사진=뉴시스>

[코리아뉴스타임즈] 국내 암호화폐 거래소 코인레일이 지난 10일 해킹 공격을 당해 400억원 가량의 피해를 당했다. 연이은 거래소 해킹 소식이 전해지면서 국내 거래소 보안 문제에 대한 우려가 증폭되고 있다.

지난 10일 발생한 코인레일의 해킹은 야피존, 빗썸, 유빗(야피존과 동일 업체), 코인이즈에 이어 국내에서 발생한 다섯번째 해킹 사례다. 회원정보를 해킹당한 빗썸 사례를 제외하면, 지난 1년간 거래소에서 실질적으로 암호화폐가 탈취당한 것은 총 4건이다.

특히 이번 사건은 기존 해킹사례와 비교해도 규모가 크다. 국내 첫 해킹사례로 지난 해 4월 발생한 야피존 사건의 경우 비트코인 3831개가 탈취당해 당시 시세로 총 55억원 가량의 피해가 발생했다. 야피존이 유빗으로 업체명을 변경한 뒤 지난해 12월 다시 해킹을 당하면서 발생한 손실액은 약 170억원. 지난해 9월 발생한 코인이즈 해킹사건에서는 업체 추산 약 21억원의 피해가 발생했다. 이번 코인레일 사태의 피해액은 400억원으로 유빗사태의 2배를 넘는다.

과거 해킹 사례와 코인레일 사태의 공통점은 해커들이 거래소의 ‘핫 월렛’에 들어있는 암호화폐를 노렸다는 점이다. 암호화폐를 보관하는 가상 지갑은 네트워크와의 연결 여부에 따라 ‘콜드 월렛’과 ‘핫 월렛’으로 나뉘는데, 해킹을 당한 거래소들은 보유 코인을 높은 비율로 네트워크와 연결된 ‘핫 월렛’에 보관해왔던 것으로 나타났다.

코인레일 사태의 경우에도 해커들은 코인레일의 핫 월렛에 보관된 이더리움 기반 암호화폐 물량을 유출시킨 것으로 알려졌다. 업체 관계자의 설명에 따르면 이번 사태로 유출된 물량은 코인레일 유통량의 총 40% 수준이다. 60%는 콜드 월렛에 보관돼있어 해킹을 피할 수 있었다. 만약 콜드월렛 보관 비중이 좀 더 높았다면 해킹을 당했더라도 피해 규모는 상당 부분 줄일 수 있었을 것이다.

한국블록체인협회가 지난 4월 발표한 자율규제안에 따르면, 거래소는 예치된 암호화폐의 70% 이상을 콜드 월렛에 보관할 것을 의무로 하고 있다. 또한 불가피한 사정에 의해 콜드 월렛  보관 비율을 낮출 경우도 짧은 기간으로 제한할 것을 권고하고 있다. 핫 월렛 보관 비율을 최저한으로 유지하는 것은 해킹에 의한 피해를 최소화할 수 있는 가장 확실한 대책으로 평가받는다.

하지만 이러한 자율규제안의 경우 권고사항인데다 협회 회원사가 아닌 경우 규제안을 이행하고 있는지 확인하기도 어려워 해킹 대책으로는 부족하다. 실제로 과거 해킹 피해를 당한 국내 거래소 중 빗썸을 제외한 유빗(구 야피존), 코인이즈, 코인레일은 모두 협회에 등록되지 않은 업체다. 

김진화 한국블록체인협회 이사는 지난 유빗 해킹사태 당시 해당 거래소가 협회와 교류 없이 폐쇄적으로 운영돼왔다는 사실을 지적하며 “지난번(야피존 사태) 핫 월렛에 지나치게 많은 자금을 보관해 해킹을 당했는데, 이번에도 같은 방식으로 당했다니 이해할 수 없다”고 말한 바 있다.

현재 한국블록체인협회에는 업비트, 코빗, 코인원, 빗썸 등 규모가 큰 국내 주요 거래소들이 대부분 소속돼있다. 최근에는 협회 차원에서 자율규제한 준수 여부를 심사 중이며 앞서 언급한 4대 거래소를 포함, 총 14개 거래소가 자발적으로 심사 대상으로 참여했다. 이들 거래소는 이용자 보호 및 정보보안 관련 독립 부서 편성 및 총괄책임자 임명, 암호화폐 유치금 70% 이상 콜드 월렛 보관, 금전(원화) 예치금 100% 금융기관 예치 등의 자율규제안을 준수하고 있다고 밝히고 있다.

하지만 협회 차원의 자율규제를 준수하는 거래소라 하더라도 해킹 위협에서 완전히 자유롭기는 어렵다. 이번 협회 심사에서 검토되는 것은 각 거래소가 자율규제안의 보안 권고사항에 대해 준수 여부를 답한 ‘자율규제 보안 체크리스트’ 정도다. 국내 거래소의 보안 수준에 대한 깊이있는 심사는 아직까지 전무한 실정이다.

게다가 당장 이번에 해킹을 당한 코인레일은 업계에서 국내 거래소 평균 수준의 보안시스템을 갖췄다고 평가받은 곳이다.  콜드 월렛 보관 비율은 기준보다 낮았지만, 디도스 방어조치, 핫 월렛  프라이빗 키의 분산 저장(멀티 시그니처) 등 일반적인 거래소가 도입하고 있는 보안 장치는 갖추고 있었다는 것. 코인레일 사태를 규모가 작은 협회 비회원사의 이례적 사태로 보기 어려운 이유다.

실제로 과학기술정보통신부와 한국인터넷진흥원이 지난해 9월~12월 동안 국내 주요 거래소 10곳에 대해 보안취약점을 점검한 결과에 따르면, 정부의 보안기준을 만족시킨 거래소는 단 한곳도 없었다. 대부분의 업체가 이용자 계정관리 정책도 없을 뿐더러, 망분리, 방화벽등 기본적인 보안대책도 마련하지 않은 채 사업을 시작한 경우가 많았다.

일부 업체의 경우 자체적인 보안 대책 없이 클라우드 서비스 업체가 제공하는 보안시스템에 의존하는 경우도 있다. 이럴 경우 금융당국의 공문서를 위조하거나, 취업희망자의 이력서를 가장해 악성 코드를 심는 해커들의 수법에서 투자자들의 자산을 보호하는 것은 불가능하다.

게다가 암호화폐 거래를 정식 금융거래로 인정하지 않는 국내 상황으로 인해, 전통적인 금융권과는 달리 암호화폐 거래소에 대한 보안규제는 전무한 실정이다. 규모가 큰 일부 거래소들은 자체적으로 제도권 금융기관 수준의 보안 기준을 준수한다고 밝히고 있지만, 100% 온라인에서 영업이 이뤄지는 암호화폐 거래소의 경우 기존 금융권 수준의 보안 기준은 부족할 수 있다. 업계 전문가들은 “각 거래소의 자율 규제에 맡기기 보다는 정부가 나서서 통일된 보안 규제를 적용해야 한다”며 당국의 개입이 필요하다고 입을 모으고 있다.

임해원 기자  champroo@naver.com

<저작권자 © 코리아뉴스타임즈, 무단 전재 및 재배포 금지>

임해원 기자의 다른기사 보기
icon인기기사
기사 댓글 0
전체보기
첫번째 댓글을 남겨주세요.
여백
여백
오늘의 뉴스
빗썸 해킹, 암호화폐 시세 급락
빗썸 해킹, 암호화폐 시세 급락
이명희 '분노조절장애'는 거짓, 폭언 영상 추가 공개
이명희 '분노조절장애'는 거짓, 폭언 영상 추가 공개
여백
Back to Top