"해킹에 무방비" 가상화폐 거래소…보안수준 '낙제점'

오세성 기자

입력2019.03.12 08:59 수정2019.03.12 10:28

KISA 점검도 거부하는 중소형 거래소들

우후죽순 늘어난 중소형 가상화폐(암호화폐) 거래소들이 해킹에는 무방비 상태란 우려가 되풀이 제기됐다.

지난 8일 김석환 한국인터넷진흥원(KISA) 원장은 국내 암호화폐 거래소들의 보안 상황과 관련해 “점검을 올 필요가 없다고 하거나 연락이 닿지 않는 곳도 있었다”고 언급했다. 거래소들이 KISA의 보안 점검마저 사실상 회피하고 있다는 지적이 나온다.

KISA는 85개 문항으로 구성된 보안 체크리스트를 만들어 암호화폐 거래소들을 점검하고 있다. 지난해 38개 거래소를 점검했는데 불과 7곳이 통과했다. 나머지 31개 거래소에는 미흡한 점을 통보했지만 개선 이행 여부는 제대로 확인하지 못했다.

KISA가 점검에 나섰던 거래소 중에는 백신 소프트웨어나 방화벽도 사용하지 않거나 운영인력이 2~3명선인 곳도 있던 것으로 알려졌다. 점검 결과 개선 필요사항을 지적 받았지만, 이를 제대로 이행하지 못해 KISA의 연락을 회피한 것으로 의심되는 대목이다.

김 원장은 “거래소는 주요 정보통신기반시설이 아니므로 조사 권한이 없다. 점검시 거래소 동의 없이는 조사를 못하는 현실적 어려움이 있다”고 설명했다. KISA는 올해도 암호화폐 거래소들을 점검할 계획이지만 거래소들 협조 없이는 실효성 있는 조사가 불가능한 실정.

국내 암호화폐 거래소들의 보안 사고는 끊이지 않고 있다. 2017~2018년 야피존 빗썸 코인이즈 유빗 코인레일 올스타빗 등이 해킹 피해를 입었다. 해킹으로 문 닫은 야피존과 유빗을 계승한 코인빈은 내부 보안절차까지 무시하고 암호화폐를 인출하다가 파산을 선언하기도 했다.

상황이 이렇다 보니 해킹 위험도 높아지고 있다. UN은 안전보장이사회 보고서를 통해 북한이 외화 벌이를 위해 한국을 비롯한 아시아 국가의 암호화폐 거래소 해킹을 시도한다고 짚었다. 지난해 1월 580억엔 규모 암호화폐를 탈취당한 일본 거래소 코인체크 사건도 북한의 소행이라 봤다. 보고서는 북한의 해킹과 블록체인 기술에 각국이 대비해야 한다고 조언했다.

국내외 보안 업계도 북한 해킹조직 ‘히든코브라’ ‘라자루스’ 등이 금융감독원을 사칭한 이메일을 보내는가 하면 여러 암호화폐를 한 눈에 볼 수 있는 프로그램을 배포해 악성코드를 유포시킨 것으로 파악하고 있다. 국내 거래소 야피존 유빗 빗썸 코인이즈 해킹 등이 해당된다고 설명했다.

전문가들은 추적이 어렵고 국가망 보안시스템이 비교적 취약한 암호화폐의 속성상 계속 해킹 표적이 될 것으로 우려했다. 거래소들의 보안 대응이 필요한 이유다.

패트릭 김 웁살라 시큐리티 대표는 “해킹은 암호화폐 거래소들이 나서야 하는 문제다. 하지만 관련 규제가 없으니 중소형 거래소들은 보안에 관심이 없다”고 꼬집었다. 거래소들이 최소한의 보안 수준을 갖추도록 의무화해야 한다는 주장. 정현철 노르마 대표도 “보안 사고는 언제든 발생할 수 있다. 거래소들의 정보보호관리체계(ISMS) 인증 획득이 필수적”이라고 당부했다.

오세성 한경닷컴 기자 sesung@hankyung.com
기사제보 및 보도자료 open@hankyung.com

관련 뉴스

1

신생 가상화폐거래소 올스타빗 해킹…"가상화폐 탈취" 주장도

신생 가상화폐(암호화폐) 거래소 올스타빗이 해킹 당했다.올스타빗은 17일 긴급 서버 점검을 실시한다고 공지했다. 지난 13일 정기점검 후 4일 만이다. 서버 긴급 점검 종료 시점은 추후 공지하기로 했다.앞서 올스타빗 사용자들은 비트코인이나 이더리움을 올스타빗에 입금하면 10%의 보너스를 준다는 내용의 이메일을 받았다. 공식 홈페이지에 이 같은 안내가 전혀 없는 점을 의심한 사용자들이 올스타빗에 문의, 거래소 측은 이벤트 여부를 확인하겠다고 안내했다. 이후 해당 내용을 담은 이벤트 공지가 올라왔지만 이내 올스타빗이 작성한 것이 아니라고 확인하면서 해킹 사실이 알려졌다.자신이 올스타빗을 해킹했다고 주장한 해커는 카카오톡 오픈채팅방에 그 증거로 올스타빗 임직원 신상정보를 공개했다. 현재 해당 채팅방은 사라진 상태다.올스타빗은 공지사항을 통해 "이벤트 악성 루머 또는 허위사실 유포자와 이벤트 진행자에게 법적으로 강경하게 대응하겠다"고 밝혔으나 해커의 암호화폐 탈취 주장에 대해서는 별도 입장을 밝히지 않고 있다.사용자들은 올스타빗이 신생 거래소인 데다 규모가 크지 않아 피해액 보전이 가능할지 걱정하고 있다. 올스타빗 홈페이지는 로그인 등 대부분 기능이 정지된 상황이다.한 사용자는 "4000만원 넘는 돈이 있는데 찾을 수 있겠느냐"며 불안감을 드러냈고, 또 다른 사용자도 "5000만원어치 비트코인이 올스타빗으로 전송되고 있는데 멈출 방법이 없다"고 하소연했다. 손 놓고 기다릴 수만은 없다며 회사로 직접 찾아가겠다는 사용자도 있었다.이와 관련, 거래소 자율규제안을 마련한 한국블록체인협회는 "최소한의 건전성과 보안시스템, 해킹시 보상 등 요건을 확보토록 하기 위해 자율규제를 하는 만큼 거래소들은 협회 자율규제안을 준수해 투자자를 보호하는 거래 환경부터 조성해야 한다"고 당부했다.☞ 10월23~24일 '2018 코리아 블록체인 엑스포'가 열립니다. 국내외 정부 및 기업, 관련 업계 주요인사들이 참여해 '블록체인 프론티어 코리아' 비전을 전 세계에 공유합니다. 클릭하면 공식 홈페이지에서 참가 신청할 수 있습니다.오세성 한경닷컴 기자 sesung@hankyung.com기사제보 및 보도자료 open@hankyung.com
2

'탈중앙화' 가상화폐 거래소도 해킹…안전하다더니 왜 털렸나

탈중앙화 가상화폐(암호화폐) 거래소 방코르(Bancor)가 지난 9일(현지시간) 해킹 당해 파장이 상당하다.탈중앙화 블록체인 기술과 별개로 거래소는 중앙집중형으로 운영돼 해킹 타깃이 됐다는 기존 견해를 흔드는 사례라 이목이 집중된다. 지갑 프라이빗키를 개인이 직접 관리하는 P2P(개인간 거래) 방식의 탈중앙화 거래소(DEX)마저 해킹에서 자유롭지 않다는 것으로 받아들여져서다.방코르는 해킹이 고객 보유 자산과는 관련 없음을 강조했다. 트위터 등을 통해 “스마트 콘트랙트 기능 업데이트 이후 보안 침입이 발생했다”고만 했다. 정확한 경위는 조사 중으로 보안사고 발생 시의 통상적 대응 절차라 할 수 있다.전문가들은 DEX의 결함이라기보다는 거래소 지갑의 문제일 가능성이 크다고 봤다. 엄밀히 따져 탈중앙화 기능 자체에 문제가 생긴 것은 아니며, 따라서 이를 뭉뚱그려 ‘DEX마저 해킹됐다’고 표현하는 데는 어폐가 있다는 설명이다.김승주 고려대 정보보호대학원 교수는 “여러 연구에서 완벽히 탈중앙화된 거래소라 해도 해킹 당할 수 있다고 언급된 바 있다”고 전제한 뒤 “하지만 이번 사례의 경우 실제로는 완벽히 탈중앙화된 시스템을 적용하지 않은 탓에 해당 코인이 해킹 당한 것으로 보인다”고 말했다.쉽게 말해 DEX라 해도 100% 탈중앙화된 것은 아니다. 핵심인 거래 방식은 탈중앙화됐지만 거래소의 다른 구성 요소가 탈중앙화되지 않았을 수 있다는 얘기다. 보안의 ‘약한 고리’를 뚫고 들어오는 해킹의 특성상 세분화해 분석 및 대처해야 한다고 보안 업계는 주문했다.보스코인을 발행한 블록체인오에스의 강은성 최고정보보호책임자(CISO)는 “예컨대 거래소의 기본 소프트웨어(SW) 보안에 문제가 생겨 해킹될 수도 있다. 이는 탈중앙화 기능 문제가 아니라 SW 결함인데 원인을 정확히 파악하지 않은 채 DEX마저 해킹 당했다는 인식이 확산된다면 곤란하다”고 짚었다.탈중앙화가 마치 만병통치약이나 전가의 보도처럼 받아들여지는 것도 문제지만, 반대로 해킹이 일어났다고 해서 거래소 전체의 문제라거나 DEX도 믿을 수 없다고 확대 해석해 과잉 반응하는 것도 바람직하지 않다는 지적이다.이와 관련해 김용대 KAIST(한국과학기술원) 사이버보안연구센터장은 “내부자 USB나 보안업체 USB를 통해 악성 코드가 침투하는 등의 ‘서플라이체인 어택(공급망 공격)’도 가능하다”며 “이처럼 해킹에는 기술적 요인 외에도 여러 경우의 수가 작용한다. 정밀한 취약점 분석과 대응이 선행돼야 한다”고 조언했다.김봉구 한경닷컴 기자 kbk9@hankyung.com기사제보 및 보도자료 open@hankyung.com
3

열흘 동안 800억 피해…가상화폐 거래소 잇단 해킹 왜?

지난 10일 코인레일에 이어 20일 국내 대형 가상화폐(암호화폐) 거래소 빗썸이 해킹 피해를 입었다. 지난 19일 밤부터 20일 오전 1시 사이에 빗썸 지갑에서 리플 등 350억원 상당 암호화폐가 유출됐다. 빗썸은 19일 오후 11시쯤 이상 징후를 포착해 암호화폐 입출금을 막고 자산 점검을 통해 피해 규모를 확인한 뒤 한국인터넷진흥원(KISA)에 신고했다. 현재 경찰과 KISA가 서울 강남구 빗썸 본사를 방문해 조사 중이다.열흘 새 발생한 해킹 피해규모는 코인레일 약 450억원, 빗썸 약 350억원 등 800억원에 달한다.블록체인은 탈(脫)중앙화로 보안에 강점을 지닌다. 하지만 정작 블록체인 기반의 암호화폐를 보관하는 거래소는 해킹에 취약한 실정이다. 관련 업계와 학계는 잇단 해킹의 핵심으로 거래소 보안 수준을 꼽는다.블록체인은 거래 원장을 분산시켜 위변조가 불가능하고 해킹 공격의 대상이 되는 기관이 없지만, 거래소는 중앙집중형 데이터베이스(DB)를 기반으로 작동한다. 블록체인 기반으로는 짧은 시간에 가격이 오르내리는 암호화폐 거래 속도를 지원하기 어려운 탓이다.일부 탈중앙화된 거래소도 존재하지만, 이들은 암호화폐를 개인 블록체인 지갑끼리 P2P 방식으로 전송해 처리속도가 느리고 사용이 불편하다는 한계를 갖는다. 결과적으로 대부분의 거래소는 일반 컴퓨터를 해킹하는 것과 같은 방법으로 해킹이 가능하고, 해킹에 성공하면 거래소에서 보관하고 있는 암호화폐를 해커의 계좌로 옮기도록 명령을 내릴 수도 있다.대부분의 암호화폐 거래소가 영세한 것도 문제다. 거래소 보안을 유지하려면 보안솔루션 구축, 상시 관제, 서버관리 및 보호, 외부 컨설팅 등을 수행해야 하는데, 대다수 거래소는 이 비용을 감당하기 어렵다. 대형 거래소 역시 은행 등 금융기관에 비하면 보안 수준이 낮은 것으로 알려졌다.한국블록체인협회가 거래소 보유 암호화폐의 70% 이상을 콜드 월렛에 보관하도록 자율 규제안에서 권고하는 것도 이러한 한계 때문이다. 해킹을 당하더라도 피해 규모를 30% 이하로 줄이라는 것이다.암호화폐가 높은 익명성을 지닌 점도 해커들에게는 매력적인 요소다. 거래소를 해킹해 암호화폐를 훔친 사례는 많지만, 범인을 잡기는 쉽지 않다. 또 훔친 암호화폐를 탈중앙화 거래소를 통해 익명성이 높은 모네로 등으로 바꾸면 추적이 더욱 어려워진다. 해커들 입장에서는 손쉬운 먹잇감인 셈이다.학계 전문가들은 거래소 보안을 강화하는 것이 현실적 대안이라고 입을 모은다. 인호 고려대 블록체인연구소장은 “아무래도 암호화폐 거래소의 보안 수준은 은행보다는 떨어진다. 프라이빗 키를 은행과 거래소, 개인이 나눠 갖는 ‘멀티 시그니처’ 기술을 도입하는 등 은행 수준에 준하는 거래소의 보안 인증제를 도입하는 작업이 필요하다”고 말했다. 박성준 동국대 블록체인연구센터장도 “해킹은 암호화폐 지갑 등 기술을 발전시켜 풀어가야 한다”고 짚었다.해킹된 암호화폐 보상안은 거래소에 따라 달라진다. 코인레일의 경우 거래소가 손을 놓은 사이 암호화폐 개발사가 보상에 나섰다. 펀디엑스의 경우 거래를 동결한 상태로 아직 보상안이 나오지 않았지만, 애스톤, 덴트 트라도브 등은 개발사가 자체 보유 물량을 통해 이용자에게 보상하겠다는 계획을 내놨다. 빗썸은 유출된 암호화폐만큼 거래소 보유분에서 지급하겠다는 방침이다.이보다 앞서 올해 초 170억원 규모 해킹이 발생했던 유빗은 30억원 한도의 보험금과 회사 매각으로 보상하겠다는 계획이다. 하지만 보험사에서 보험금 지급을 거부하며 소송이 진행되고 있다. 또 유빗의 전신인 야피존은 피해 금액을 이용자에게 전가한 바 있다.▶한경 '블록체인 산업과 가상화폐 전망' 세미나 신청하기오세성 한경닷컴 기자 sesung@hankyung.com기사제보 및 보도자료 open@hankyung.com