빗썸 해킹 사건에서 탈취당한 암호화폐는 모두 온라인 해킹에 취약한 ‘핫월렛’에 보관하던 물량이었다. 앞서 발생했던 주요 암호화폐 거래소 해킹 사건 역시 핫월렛에 암호화폐를 보관했기 때문에 발생했다. 다만 핫월렛을 열 수 있는 개인키가 어떻게 해커에게 넘어갈 수 있을지가 해킹원인을 파악해내는 핵심이 될 것으로 보인다.
20일 빗썸은 핫월렛에 보관 됐던 350억원 규모의 회사보유분 암호화폐를 탈취당했다고 발표했다. 고객이 보유한 암호화폐의 100%는 콜드월렛으로 옮겨진 상태였기 때문에 해킹으로부터 안전했지만 핫월렛에 저장됐던 회사 보유분의 일부는 해킹공격에 노출됐다는 것이 빗썸 측의 설명이다.
앞서 4,700억원 규모의 마운트곡스 해킹사건과 5,800억원 코인체크 해킹사고 역시 암호화폐를 핫월렛에 저장했기 때문에 발생했다. 지난 10일 국내 암호화폐 거래소 코인레일도 핫월렛에 보관되고 있던 450억원 가량의 암호화폐를 해커에게 탈취당했다. 오프라인 저장고인 콜드월렛은 해커로부터의 부정 접속 위험이 원천 차단되는 반면 온라인 상에 저장되는 핫월렛은 해킹 공격에 취약하다고 알려졌다. 핫월렛에 대한 해킹은 해커가 해당 전자지갑의 개인 키(Private key)를 빼돌려 암호화폐 전송권한을 획득, 훔친 암호화폐를 다른 전자지갑으로 옮기는 방식이다. 코인체크와 마운트 곡스의 경우도 회사의 내부 서버에 해커가 접속해 개인 키를 빼내는 방식으로 이뤄졌다.
빗썸이 개인 키를 어떤 방식으로 보관 및 관리했는지는 밝혀지지 않았다. 한 거래소 관계자는 “개인 키는 온라인 서버에 저장할 수도 있고 종이 등에 적어 오프라인 상에 보관할 수도 있다”며 “일반적으로는 온라인 서버에 저장하게 되는데 개인 키가 저장된 서버의 네트워크가 해킹 공격에 의해 뚫린 것 같다”고 의견을 냈다. 또 다른 거래소 관계자는 “빗썸 같은 큰 거래소의 경우 보안을 위해 다중 서명(multi-sig)방식으로 개인 키를 운용했을 가능성이 높다”며 “그럼에도 해킹 사고가 발생한 것을 보면 이 여러 개의 개인 키를 한 개의 서버에 저장해둔 것이 아닌가 생각된다”고 말했다. 다중 서명이란 하나의 전자지갑에 여러 개의 개인 키를 두고 이 중 일정 수 이상의 개인 키가 모였을 때만 지갑에 대한 접근 권한을 부여하는 보안 방식을 의미한다.
빗썸의 개인 키가 어떻게 유출됐는지 밝혀지는 데도 시간이 걸릴 전망이다. 한 보안업계 관계자는 “해킹사건을 조사할 때는 내부 서버의 모든 트랜잭션(접속 기록)을 확인해야 하는데 이 작업은 통상적으로 수 주 이상 소요된다”고 설명했다. 빗썸에 보안 솔루션을 제공하는 안랩 관계자는 “내부 서버에 저장된 정보가 유출되는 경우의 수는 굉장히 많기 때문에 이번 해킹사건을 조사하는 KISA(한국인터넷진흥원)의 결과를 기다려 봐야 할 것”이라고 말했다. 그는 이어 “안랩이 빗썸에 제공하는 세이프 트랜잭션은 빗썸의 이용자 개인 PC를 보호하기 위한 보안 솔루션으로 내부 시스템에 대한 보안 제품은 아니다”고 덧붙였다.
/박정연기자 drcherryberry@decenter.kr
- 박정연 기자
- drcherryberry@decenter.kr