올해 초 일본 최대 암호화폐 거래소 중 하나인 코인체크가 외부 해킹으로 580억엔(약 5870억 원) 가량의 암호화폐를 탈취당했다. ‘마운트곡스 트라우마’라는 말을 만들 정도로 충격이 컸던 2014년 마운트곡스의 피해 규모 470억 엔(약 4750억 원)을 능가하는 금액이다.
해외뿐만 아니다.
지난 6월 10일 국내 중소 거래소인 코인레일은 해킹으로 애스톤(ATX)과 펀디엑스(NPXS) 등 총 400억원 상당의 암호화폐가 유출됐다. 국내 거래소 해킹 사건 중 최대 규모다. 열흘도 지나지 않아 국내 최대 거래소인 빗썸이 350억원 가량을 해킹당했다. 그러면 어떤 분들은 “블록체인 기술은 해킹 불가능한 거 아니야?”라고 되물을 듯하다.
그렇다. 블록체인 기술 자체는 탈중앙화된 분산장부에 데이터를 저장하고 모든 사용자가 거래 내역을 공유하고 볼 수 있기 때문에 해킹이 불가능에 가깝다. 거래의 투명성과 보안성이 아주 높다.
그러나 블록체인 보안과 거래소 보안은 같지 않다.
암호화폐 거래소는 대부분 ‘중앙 집중형’이다. 사토시 나카모토가 제안한 비트코인은 거래자가 직접 ‘전자지갑’을 만들어 암호화폐를 보관하고 거래한다. 그런데 속도가 느리고 거래도 불편하다. 그래서 거래소는 분산형 블록체인 기술 대신 ‘중앙 집중형’ 장부거래 방식을 사용한다.
대부분의 투자자는 거래소를 통해 암호화폐를 사고판다. 거래소는 회원들에게 자동으로 거래소 지갑을 만들어 준다. 그리고 서버에 지갑을 저장하고 관리한다. 개인들의 지갑을 모아놓은 거래소 금고를 해커들이 노리는 것은 당연할 수 밖에 없다.
지갑? Wallet? 암호화폐 지갑은 뭘까?
조금 더 자세히 암호화폐 지갑을 얘기해 보자. 여기서 ‘지갑’은 종이돈이나 동전을 보관하는 곳이 아니다. 보통의 지갑은 법정화폐를 넣어놓는 곳이다. 그러나 암호화폐 지갑은 돈이 아닌 공개키(public key)와 개인키(private key)를 보관한 ‘소프트웨어 프로그램’이다. 은행이랑 비교하면 ‘공개키’는 ‘계좌번호’, ‘개인키’는 ‘비밀번호’ 정도가 될 듯 하다.
암호화폐 지갑은 거래소 지갑 외에도 온라인 지갑, 하드웨어 지갑, USB 지갑, 종이 지갑 등 다양하다. 온라인과 연결된 지갑을 핫월렛(Hot Wallet), 온라인과 연결돼 있지 않은 하드웨어 지갑, USB 지갑, 종이 지갑은 콜드월렛(Cold Wallet)이라고 부른다. 언제든 거래가 가능한 것이 핫월렛, 온라인에 연결하는 절차를 거쳐야 하는 것이 콜드월렛이다. 지갑도 프로그램에 따라 여러 가지로 나뉜다. 가령 패리티 해킹 사건은 이더리움 지갑인 패리티 지갑(Parity Wallet)이 프로그램 버그로 인해 해킹당한 사건이다.
그렇다면 거래소 지갑은 과연 안전할까?
거래소는 핫월렛과 콜드월렛을 동시에 운용한다. 핫월렛은 실시간 계좌 확인과 입출금이 자유롭지만, 해킹에 취약하다. 코인레일은 암호화폐를 콜드월렛이 아닌 핫월렛에 보관해 피해가 커졌다.
거래소를 타겟으로 한 해킹이 빈번하다. 지난 6월과 7월 과학기술정보통신부와 한국인터넷진흥원이 진행한 조사에서 국내 암호화폐 거래소는 여전히 보안에 취약한 것으로 나타났다. 여러 항목 중에서 지갑 개인키 유출·분실방지 보안대책과 지갑 이상 징후 모니터링, 지갑 백업·복구대책 부분이 미흡한 것으로 평가됐다.
그렇다면 안전한 지갑 관리를 위해 무엇을 해야 할까?
투자자는 암호화폐를 장기간 보관하려면 거래소 지갑이 아닌 개인 콜드월렛에 넣어둬야 한다.
거래소는 말 그대로 거래를 위한 곳이지 은행처럼 자산을 보관하는 곳이 아니다. 오히려 암호화폐와 법정화폐를 바꾸는 외환 거래소와 비슷하다.
암호화폐 시장이 커지면서 거래소도 성장했다. 그럼에도 아직 산업이 초기 단계이기 때문에 거래소의 안정성을 보장하기 어렵다. 해킹을 당하거나 고객이 이탈해 하루아침에 거래소가 문을 닫을 수도 있다. 실제로 지난해 국내 한 거래소는 170억원의 암호화폐를 해킹당해 파산했다.
문제는 이런 피해가 고스란히 투자자 몫이라는 점이다. 그래서 본인 지갑을 만들고 개인키를 안전한 곳에 잘 보관하는 것이 중요하다. 가장 바람직한 방법은 종이에 공개키와 개인키를 작성해 보관하는 종이 지갑(Paper Wallet)이다. 만약 컴퓨터에 보관한다면 유출 위험을 감안해 암호화해서 저장하는 것이 좋다.
암호화폐 거래소는 금융업 수준으로 보안을 높여야 한다.
거래소는 투자자와 투자자 간에 암호화폐와 법정화폐를 바꿔주고 시장에 유동성을 공급한다. 암호화폐 발전과 투자자 보호를 위해 거래소의 보안은 매우 중요하다. 대다수 투자자의 지갑을 갖고 있기 때문에 보안에 더욱 주의해야 한다. 자칫 잘못하면 투자자로부터 손해배상 소송을 당하거나 거래소가 존폐 위기에 놓일 수 있다.
최근 암호화폐 시장이 침체를 겪고 있다. 그럼에도 비트코인 가격은 600만원을 넘는다. 암호화폐가 사이버 환경을 넘어 현실 세계에서도 가치를 가진다는 의미다. 따라서 거래소가 통신판매업자 수준이 아닌 금융기업 수준의 보안 인프라를 구축하도록 제도화해야 한다.
안타깝게도 아직 거래소의 보안 수준은 금융업보다 한참 떨어진다. 거래소 중에서 ‘정보보호 관리체계(ISMS)’ 인증을 획득한 곳은 단 한 곳도 없다. 거래소 중 4곳은 매출액 100억원 이상 또는 3개월간 일일 평균 이용자수 100만명 이상으로 ISMS 의무대상 기업인데도 말이다. 인증 획득 이외에도 정보보안 업무를 총괄하는 정보보호 최고책임자(CISO)도 고용해야 하지만, 대부분 대표나 임직원이 겸직한다.
거래소는 비즈니스 안정성과 투자자 보호를 위해 보안 리스크를 최소화하고 대응할 수 있는 수준의 높은 보안 시스템 구축과 인력 확보를 서둘러야 한다. 중앙화된 구조의 거래소가 아닌 빠른 속도의 중앙화 거래소와 높은 보안성의 분산화 거래소 장점을 혼합한 하이브리드 방식을 택하는 등 구조적 개선 노력도 필요하다.
정부의 역할도 중요하다. 건전한 암호화폐 생태계 조성을 위해서 거래소에 대한 적절한 감독과 규제가 필요하다. 또 해킹사건 발생 때 거래소의 고객 손해배상책임 등 투자자 보호를 위한 적절한 지원책을 마련해야 한다. /이화여대 융합보안연구실
※ 편집자 주
블록체인 미디어 디센터가 독자 여러분께 한발 더 다가가기 위해 텔레그램 방을 개설했습니다. 텔레그램에서 @decenter_kr 로 검색해서 ‘디센터 텔레그램’ 방에 오시면 다양한 기사와 각종 참고자료 등을 받아보실 수 있습니다.
- 우승호 기자
- derrida@sedaily.com