철옹성이라는 암호화폐, 해킹에 무기력한 이유
철옹성이라는 암호화폐, 해킹에 무기력한 이유
  • 임종찬 기자
  • 호수 270
  • 승인 2018.01.02 11:28
  • 댓글 0
이 기사를 공유합니다

거래소 가상 지갑의 헛점

▲ 암호화폐를 보관하는 가상지갑에는 암호 외에 별다른 보안장치가 없다.[사진=아이클릭아트]
가상화폐 거래소에서 매입한 암호화폐는 어디에 보관될까. 정답은 ‘거래소의 가상 지갑’이다. 투자자들 손에 들어오는 건 거래 이력뿐이다. 철통보안이라던 암호화폐가 해킹 리스크에 시달리는 이유가 여기에 있다. 국내 암호화폐 거래소들의 보안시스템은 허술하기 짝이 없기 때문이다. 더스쿠프(The SCOOP)가 철옹성이라는 암호화폐가 해킹에 무기력한 이유를 살펴봤다.

하룻밤 사이에 170억원이 사라졌다. 2017년 12월 19일 암호화폐 거래소 ‘유빗’의 해킹 피해규모다. 해킹 건수로만 벌써 네번째다. 같은해 4월 22일 유빗이 ‘야피존’이란 이름으로 운영할 당시에도 비트코인 3800개가 외부로 빠져나갔다. 당시 시세로 약 55억원(4월 22일 빗썸 기준)에 달하는 규모였다.

투자자들은 “암호화폐가 보안성이 뛰어나다면서 왜 계속 해킹 피해가 일어나느냐”면서 납득할 수 없다는 반응을 내비친다. 하지만 이는 틀린 견해다. 박춘식 서울여대(정보보호학) 교수는 “암호화폐의 보안성과 거래소의 보안성은 별개의 문제로 봐야 한다”고 말했다.

대체 무슨 말일까. 먼저 암호화폐의 실체부터 파악해보자. 암호화폐의 기반은 혁신적인 보안기술이라고 평가받는 ‘블록체인’이다. 그래서 암호화폐를 복제하거나 거래기록을 조작하는 건 불가능에 가깝다.

문제는 암호화폐가 가상의 ‘지갑’에 저장된다는 점이다. 이 지갑에는 ‘개인키(Private key)’라고 불리는 암호 외에 별 다른 보안장치가 없다. 거래소도 예외는 아니다. 모든 투자자들의 암호화폐는 거래소의 지갑에 저장돼 있다. 박 교수는 “개인키만 알아내면 누구든지 거래소 지갑에서 암호화폐를 꺼낼 수 있다”고 지적했다. 당연히 보안성이 떨어질 수밖에 없다. 해커들이 거래소의 지갑을 노리는 건 이런 이유에서다.

투자자들의 암호화폐를 개인 지갑이 아닌 거래소 지갑에 보관하는 이유가 뭘까. 한 암호화폐 거래소 관계자의 설명을 들어보자. “투자자간 거래에서 실제로 암호화폐가 오고가는 건 아니다. 암호화폐 특성상 빠른 속도의 거래가 어렵기 때문이다. 대신 거래장부로 암호화폐 소유를 보증한다. 원화로 환전할 때도 마찬가지다. 투자자가 암호화폐 출금을 신청할 때에만 거래소 지갑에서 투자자 지갑으로 암호화폐를 전송한다.”

▲ 투자자들이 매입한 암호화폐는 모두 거래소가 보관하고 있다.[사진=뉴시스]

문제는 암호화폐 거래소 자체의 보안 수준이 매우 허술하다는 점이다. 2017년 9월 과학기술정보통신부와 한국인터넷진흥원이 실시한 보안점검에서 국내 거래소 10곳이 모두 ‘낙제점’을 받았다. 과기부 관계자는 “기본적인 단계에서부터 보안성이 취약한 거래소가 대부분”이라면서 “그중엔 국내 대형 거래소도 포함돼 있다”고 말했다. 박춘식 교수는 “해커 관점에선 암호화폐 거래소의 보안시스템은 없는 거나 마찬가지”라고 꼬집었다.

허술한 거래소 보안시스템

정부에서도 뒤늦게 사태의 심각성을 파악한 모양새다. 2017년 12월 20일 과기부는 빗썸·코인원·코빗·업비트 등 국내 대형 거래소 4곳을 ‘정보보호관리체계(ISMS)’ 인증 의무 대상에 포함했다. ISMS는 일정 수준의 정보보호 시스템을 갖춰야 받을 수 있다. 의무 대상이 되려면 연 매출 100억원이 넘거나 일일 평균방문자수 100만명 이상이어야 한다. 정부는 기준에 해당되지 않는 중소 거래소는 설명회 등을 통해 장려할 계획을 세웠다.

하지만 이런 플랜이 제대로 시행되지 않을 공산도 크다. 대형 거래소 4곳을 제외한 나머지는 모두 ‘권고’ 수준에 그쳤기 때문이다. 강제성이 없다는 거다. 더구나 인증 비용도 상당한 수준이다. 한 암호화폐 거래소 관계자는 “ISMS 인증을 받으려면 컨설팅에 장비구입까지 어림잡아 5000만~1억원의 비용이 든다”면서 “영세 거래소들이 인증을 받을지 의문”이라고 말했다.

ISMS 인증을 당장 받을 수 있는 것도 아니다. 인증을 받는 데만 5~7개월이 걸린다. 과기부 관계자는 “의무 대상자의 경우 빠르게 절차를 밟는다 하더라도 2018년 연말이나 돼서야 도입이 가능할 것으로 보인다”고 설명했다. 그사이 제 2, 제 3의 유빗사태가 벌어지지 않으리란 법은 없다.
임종찬 더스쿠프 기자 bellkick@thescoop.co.kr



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • 서울특별시 영등포구 경인로 775 에이스하이테크시티 1동 12층 1202호
  • 대표전화 : 02-2285-6101
  • 팩스 : 02-2285-6102
  • 법인명 : 주식회사 더스쿠프
  • 제호 : 더스쿠프
  • 장기간행물·등록번호 : 서울 아 02110 / 서울 다 10587
  • 등록일 : 2012-05-09 / 2012-05-08
  • 발행일 : 2012-07-06
  • 발행인·대표이사 : 이남석
  • 편집인 : 양재찬
  • 편집장 : 이윤찬
  • 청소년보호책임자 : 김병중
  • Copyright © 2020 더스쿠프. All rights reserved. mail to webmaster@thescoop.co.kr ND소프트