사진=게티이미지뱅크
사진=게티이미지뱅크
탈중앙화 가상화폐(암호화폐) 거래소 방코르(Bancor)가 지난 9일(현지시간) 해킹 당해 파장이 상당하다.

탈중앙화 블록체인 기술과 별개로 거래소는 중앙집중형으로 운영돼 해킹 타깃이 됐다는 기존 견해를 흔드는 사례라 이목이 집중된다. 지갑 프라이빗키를 개인이 직접 관리하는 P2P(개인간 거래) 방식의 탈중앙화 거래소(DEX)마저 해킹에서 자유롭지 않다는 것으로 받아들여져서다.

방코르는 해킹이 고객 보유 자산과는 관련 없음을 강조했다. 트위터 등을 통해 “스마트 콘트랙트 기능 업데이트 이후 보안 침입이 발생했다”고만 했다. 정확한 경위는 조사 중으로 보안사고 발생 시의 통상적 대응 절차라 할 수 있다.

전문가들은 DEX의 결함이라기보다는 거래소 지갑의 문제일 가능성이 크다고 봤다. 엄밀히 따져 탈중앙화 기능 자체에 문제가 생긴 것은 아니며, 따라서 이를 뭉뚱그려 ‘DEX마저 해킹됐다’고 표현하는 데는 어폐가 있다는 설명이다.

김승주 고려대 정보보호대학원 교수는 “여러 연구에서 완벽히 탈중앙화된 거래소라 해도 해킹 당할 수 있다고 언급된 바 있다”고 전제한 뒤 “하지만 이번 사례의 경우 실제로는 완벽히 탈중앙화된 시스템을 적용하지 않은 탓에 해당 코인이 해킹 당한 것으로 보인다”고 말했다.

쉽게 말해 DEX라 해도 100% 탈중앙화된 것은 아니다. 핵심인 거래 방식은 탈중앙화됐지만 거래소의 다른 구성 요소가 탈중앙화되지 않았을 수 있다는 얘기다. 보안의 ‘약한 고리’를 뚫고 들어오는 해킹의 특성상 세분화해 분석 및 대처해야 한다고 보안 업계는 주문했다.

보스코인을 발행한 블록체인오에스의 강은성 최고정보보호책임자(CISO)는 “예컨대 거래소의 기본 소프트웨어(SW) 보안에 문제가 생겨 해킹될 수도 있다. 이는 탈중앙화 기능 문제가 아니라 SW 결함인데 원인을 정확히 파악하지 않은 채 DEX마저 해킹 당했다는 인식이 확산된다면 곤란하다”고 짚었다.

탈중앙화가 마치 만병통치약이나 전가의 보도처럼 받아들여지는 것도 문제지만, 반대로 해킹이 일어났다고 해서 거래소 전체의 문제라거나 DEX도 믿을 수 없다고 확대 해석해 과잉 반응하는 것도 바람직하지 않다는 지적이다.

이와 관련해 김용대 KAIST(한국과학기술원) 사이버보안연구센터장은 “내부자 USB나 보안업체 USB를 통해 악성 코드가 침투하는 등의 ‘서플라이체인 어택(공급망 공격)’도 가능하다”며 “이처럼 해킹에는 기술적 요인 외에도 여러 경우의 수가 작용한다. 정밀한 취약점 분석과 대응이 선행돼야 한다”고 조언했다.

김봉구 한경닷컴 기자 kbk9@hankyung.com
기사제보 및 보도자료 open@hankyung.com