가치를같이읽다

하룻밤 사이에 170억원이 사라졌다. 2017년 12월 19일 암호화폐 거래소 ‘유빗’의 해킹 피해규모다. 해킹 건수로만 벌써 네번째다. 같은해 4월 22일 유빗이 ‘야피존’이란 이름으로 운영할 당시에도 비트코인 3800개가 외부로 빠져나갔다. 당시 시세로 약 55억원(4월 22일 빗썸 기준)에 달하는 규모였다.

투자자들은 “암호화폐가 보안성이 뛰어나다면서 왜 계속 해킹 피해가 일어나느냐”면서 납득할 수 없다는 반응을 내비친다. 하지만 이는 틀린 견해다. 박춘식 서울여대(정보보호학) 교수는 “암호화폐의 보안성과 거래소의 보안성은 별개의 문제로 봐야 한다”고 말했다.

대체 무슨 말일까. 먼저 암호화폐의 실체부터 파악해보자. 암호화폐의 기반은 혁신적인 보안기술이라고 평가받는 ‘블록체인’이다. 그래서 암호화폐를 복제하거나 거래기록을 조작하는 건 불가능에 가깝다.

문제는 암호화폐가 가상의 ‘지갑’에 저장된다는 점이다. 이 지갑에는 ‘개인키(Private key)’라고 불리는 암호 외에 별 다른 보안장치가 없다. 거래소도 예외는 아니다. 모든 투자자들의 암호화폐는 거래소의 지갑에 저장돼 있다. 박 교수는 “개인키만 알아내면 누구든지 거래소 지갑에서 암호화폐를 꺼낼 수 있다”고 지적했다. 당연히 보안성이 떨어질 수밖에 없다. 해커들이 거래소의 지갑을 노리는 건 이런 이유에서다.

투자자들의 암호화폐를 개인 지갑이 아닌 거래소 지갑에 보관하는 이유가 뭘까. 한 암호화폐 거래소 관계자의 설명을 들어보자. “투자자간 거래에서 실제로 암호화폐가 오고가는 건 아니다. 암호화폐 특성상 빠른 속도의 거래가 어렵기 때문이다. 대신 거래장부로 암호화폐 소유를 보증한다. 원화로 환전할 때도 마찬가지다. 투자자가 암호화폐 출금을 신청할 때에만 거래소 지갑에서 투자자 지갑으로 암호화폐를 전송한다.”

문제는 암호화폐 거래소 자체의 보안 수준이 매우 허술하다는 점이다. 2017년 9월 과학기술정보통신부와 한국인터넷진흥원이 실시한 보안점검에서 국내 거래소 10곳이 모두 ‘낙제점’을 받았다. 과기부 관계자는 “기본적인 단계에서부터 보안성이 취약한 거래소가 대부분”이라면서 “그중엔 국내 대형 거래소도 포함돼 있다”고 말했다. 박춘식 교수는 “해커 관점에선 암호화폐 거래소의 보안시스템은 없는 거나 마찬가지”라고 꼬집었다.

허술한 거래소 보안시스템

정부에서도 뒤늦게 사태의 심각성을 파악한 모양새다. 2017년 12월 20일 과기부는 빗썸·코인원·코빗·업비트 등 국내 대형 거래소 4곳을 ‘정보보호관리체계(ISMS)’ 인증 의무 대상에 포함했다. ISMS는 일정 수준의 정보보호 시스템을 갖춰야 받을 수 있다. 의무 대상이 되려면 연 매출 100억원이 넘거나 일일 평균방문자수 100만명 이상이어야 한다. 정부는 기준에 해당되지 않는 중소 거래소는 설명회 등을 통해 장려할 계획을 세웠다.

하지만 이런 플랜이 제대로 시행되지 않을 공산도 크다. 대형 거래소 4곳을 제외한 나머지는 모두 ‘권고’ 수준에 그쳤기 때문이다. 강제성이 없다는 거다. 더구나 인증 비용도 상당한 수준이다. 한 암호화폐 거래소 관계자는 “ISMS 인증을 받으려면 컨설팅에 장비구입까지 어림잡아 5000만~1억원의 비용이 든다”면서 “영세 거래소들이 인증을 받을지 의문”이라고 말했다.

ISMS 인증을 당장 받을 수 있는 것도 아니다. 인증을 받는 데만 5~7개월이 걸린다. 과기부 관계자는 “의무 대상자의 경우 빠르게 절차를 밟는다 하더라도 2018년 연말이나 돼서야 도입이 가능할 것으로 보인다”고 설명했다. 그사이 제 2, 제 3의 유빗사태가 벌어지지 않으리란 법은 없다.
임종찬 더스쿠프 기자 bellkick@thescoop.co.kr