사진=빗썸 홈페이지 갈무리
사진=빗썸 홈페이지 갈무리
지난 10일 코인레일에 이어 20일 국내 대형 가상화폐(암호화폐) 거래소 빗썸이 해킹 피해를 입었다.

지난 19일 밤부터 20일 오전 1시 사이에 빗썸 지갑에서 리플 등 350억원 상당 암호화폐가 유출됐다. 빗썸은 19일 오후 11시쯤 이상 징후를 포착해 암호화폐 입출금을 막고 자산 점검을 통해 피해 규모를 확인한 뒤 한국인터넷진흥원(KISA)에 신고했다. 현재 경찰과 KISA가 서울 강남구 빗썸 본사를 방문해 조사 중이다.

열흘 새 발생한 해킹 피해규모는 코인레일 약 450억원, 빗썸 약 350억원 등 800억원에 달한다.

블록체인은 탈(脫)중앙화로 보안에 강점을 지닌다. 하지만 정작 블록체인 기반의 암호화폐를 보관하는 거래소는 해킹에 취약한 실정이다. 관련 업계와 학계는 잇단 해킹의 핵심으로 거래소 보안 수준을 꼽는다.

블록체인은 거래 원장을 분산시켜 위변조가 불가능하고 해킹 공격의 대상이 되는 기관이 없지만, 거래소는 중앙집중형 데이터베이스(DB)를 기반으로 작동한다. 블록체인 기반으로는 짧은 시간에 가격이 오르내리는 암호화폐 거래 속도를 지원하기 어려운 탓이다.

일부 탈중앙화된 거래소도 존재하지만, 이들은 암호화폐를 개인 블록체인 지갑끼리 P2P 방식으로 전송해 처리속도가 느리고 사용이 불편하다는 한계를 갖는다. 결과적으로 대부분의 거래소는 일반 컴퓨터를 해킹하는 것과 같은 방법으로 해킹이 가능하고, 해킹에 성공하면 거래소에서 보관하고 있는 암호화폐를 해커의 계좌로 옮기도록 명령을 내릴 수도 있다.

대부분의 암호화폐 거래소가 영세한 것도 문제다. 거래소 보안을 유지하려면 보안솔루션 구축, 상시 관제, 서버관리 및 보호, 외부 컨설팅 등을 수행해야 하는데, 대다수 거래소는 이 비용을 감당하기 어렵다. 대형 거래소 역시 은행 등 금융기관에 비하면 보안 수준이 낮은 것으로 알려졌다.

한국블록체인협회가 거래소 보유 암호화폐의 70% 이상을 콜드 월렛에 보관하도록 자율 규제안에서 권고하는 것도 이러한 한계 때문이다. 해킹을 당하더라도 피해 규모를 30% 이하로 줄이라는 것이다.
지난해 말 해킹 피해를 입은 암호화폐 거래소 유빗 본사. 사진=연합뉴스
지난해 말 해킹 피해를 입은 암호화폐 거래소 유빗 본사. 사진=연합뉴스
암호화폐가 높은 익명성을 지닌 점도 해커들에게는 매력적인 요소다. 거래소를 해킹해 암호화폐를 훔친 사례는 많지만, 범인을 잡기는 쉽지 않다. 또 훔친 암호화폐를 탈중앙화 거래소를 통해 익명성이 높은 모네로 등으로 바꾸면 추적이 더욱 어려워진다. 해커들 입장에서는 손쉬운 먹잇감인 셈이다.

학계 전문가들은 거래소 보안을 강화하는 것이 현실적 대안이라고 입을 모은다. 인호 고려대 블록체인연구소장은 “아무래도 암호화폐 거래소의 보안 수준은 은행보다는 떨어진다. 프라이빗 키를 은행과 거래소, 개인이 나눠 갖는 ‘멀티 시그니처’ 기술을 도입하는 등 은행 수준에 준하는 거래소의 보안 인증제를 도입하는 작업이 필요하다”고 말했다. 박성준 동국대 블록체인연구센터장도 “해킹은 암호화폐 지갑 등 기술을 발전시켜 풀어가야 한다”고 짚었다.

해킹된 암호화폐 보상안은 거래소에 따라 달라진다. 코인레일의 경우 거래소가 손을 놓은 사이 암호화폐 개발사가 보상에 나섰다. 펀디엑스의 경우 거래를 동결한 상태로 아직 보상안이 나오지 않았지만, 애스톤, 덴트 트라도브 등은 개발사가 자체 보유 물량을 통해 이용자에게 보상하겠다는 계획을 내놨다. 빗썸은 유출된 암호화폐만큼 거래소 보유분에서 지급하겠다는 방침이다.

이보다 앞서 올해 초 170억원 규모 해킹이 발생했던 유빗은 30억원 한도의 보험금과 회사 매각으로 보상하겠다는 계획이다. 하지만 보험사에서 보험금 지급을 거부하며 소송이 진행되고 있다. 또 유빗의 전신인 야피존은 피해 금액을 이용자에게 전가한 바 있다.

▶한경 '블록체인 산업과 가상화폐 전망' 세미나 신청하기

오세성 한경닷컴 기자 sesung@hankyung.com
기사제보 및 보도자료 open@hankyung.com