지난해 초 금융위원회가 토큰증권발행(STO)을 허용하면서 업계에 큰 반향을 일으킨 바 있다. 이후 국내에서 다양한 증권사, 금융기관들이 STO에 열을 올렸고 현재는 관련 상품들을 심심치 않게 만나볼 수 있는 상황이 되었다.

화제가 되는 것은 토큰증권만이 아니다. 2020년대 초에는 비트코인, 이더리움 등 가상자산의 가격이 롤러코스터를 타면서 수많은 개미 투자자들을 웃고 울렸으며 최근에는 대체불가능토큰(NFT)을 활용한 거래도 늘어나고 있다.

이처럼 가상자산에 대한 관심이 폭증하면서 가상자산을 해킹, 가로채려는 움직임도 급증하고 있다. 현재 경제, 금융 분야에서 가장 뜨거운 관심을 받고 있는 가상자산이란 무엇이고 가상자산 해킹을 막을 수 있는 기술과 제도에는 무엇이 있는지 자세히 살펴보았다.

가상자산의 정의

우리가 흔히 가상화폐, 암호화폐라는 이름으로 부르는 모든 통화들은 2014년, 국제자금세탁방지기구(FATF)에 의해 가상통화라는 개념으로 통일되었고, 2018년 가상자산이라는 용어로 일괄 변경돼 오늘날까지 공식 용어로 통용되고 있다.

가상자산은 2008년 금융 위기 당시 위기 대응 과정에서 막대한 규모의 법정 화폐가 금융 시스템에 공급되었고 이로 인한 화폐 가치의 신뢰성 훼손을 막기 위한 방법의 일환으로 처음 대두된 개념이다.

수년간의 논의를 거쳐 이미 시장에서 가상자산이 활발히 거래되고 있는 오늘날까지도 가상자산에 대한 정의와 용어는 국제기구마다 조금씩 차이를 보인다. 처음 가상자산이라는 용어를 사용한 국제자금세탁방지기구는 '디지털 거래 또는 이전이 가능하고 결제 또는 투자 목적으로 사용할 수 있는 디지털화된 가치수단'을 가상자산으로 규정하고 있으며 국제통화기금(IMF), 유럽은행감독청(EBA), 유럽증권시장당국(ESMA)에서는 가상자산을 '암호화와 블록체인 기반의 분산 원장 기술을 기반으로 하는 금융 자산'으로 정의하고 있다.

한국에서는 특정금융정보법 제2조 제3호에서 가상자산을 '경제적 가치를 지닌 것으로 전자적으로 거래 또는 이전될 수 있는 전자적 증표와 그에 관한 일체의 권리'로 정의했다. 세부적인 용어와 분류는 기관과 지역에 따라 조금씩 다르지만 종합해보면 가상자산이란 '블록체인, 분산 원장 기술과 암호화에 기반을 둔 디지털 금융 자산'을 총칭하는 용어다.

용어는 제각각이지만 전 세계적으로 가상자산이라 불리는 시스템에는 공통된 주요 특징이 몇 가지 있다. 먼저, 분산 원장과 암호화 기술이 내재되어 있다는 것이다. 애초에 분산 원장 기술에 기반한 지급 결제 시스템에서 고안된 가상자산인만큼 모든 가상자산은 내재된 가치의 일부로서 분산 원장 및 암호화 기술에 의존해 존재한다.

또한 아직은 중앙은행이나 공공 기관에 의해 발행되거나 그 가치가 보장되지 않아 비공용적이며 실제 화폐로 기능하기보다는 교환, 투자 또는 재화·서비스에 접근하기 위한 수단으로 사용되는 경우가 더 많다.

늘어나는 가상자산 해킹

가상자산 시장은 최초 태동 이후 꾸준히 성장세를 보이고 있다. 글로벌 금융사에서는 가상자산 관련 투자를 점진적으로 확충하고 있으며 핀란드와 엘살바도르, 우크라이나 등에서는 국가 차원에서 가상자산에 직접 투자를 진행하고 있다.

이에 따라 가상화폐를 거래하는 거래소 역시 증가세에 있다. 2021년 기준 전 세계 가상자산 거래소는 5442개였으며 이 수치는 계속해서 증가하고 있다. 국내에서는 2023년 10월 기준 26개의 거래소가 운영되고 있을 정도로 가상자산 거래는 우리의 일상이 되고 있다.

문제는 가상자산 거래소가 늘어나고 가상자산 거래가 확장세에 접어들면서 해킹에 대한 위험 역시 높아지고 있다는 점이다. 가상자산은 블록체인을 이용하는 기술이기에 일반적인 전자상거래보다 보안 측면에서 우위에 있다는 인식이 있었다. 그러나 최근에는 가상자산을 거래하는 거래소를 통째로 해킹해 자산을 탈취하는 사례가 늘어나고 있다.

최근 국내의 한 가상자산 거래소는 해킹으로 인해 보관 자산 23%에 달하는 비트코인 60개, 이더리움 350개, 위믹스 1000만 개가 확인되지 않은 지갑으로 전송되었다고 밝혔다. 원화 가치로 따지면 무려 180억 원에 달하는 자산으로 경찰과 한국인터넷진흥원에서 사이버 수사를 진행하고 있다. 2021년에는 코인을 발행해 상장한 기업이 2000억 원대 해킹 피해를 입고 상장 폐지된 사건도 있었다.

국내 최대 규모의 가상자산 거래소에서는 올해 상반기에만 약 16만 건에 달하는 사이버 공격이 있었다고 밝히기도 했다. 이 같은 거래소 공격은 세계적인 추세로 미국의 블록체인 분석 업체에 따르면 2022년 전 세계에서 해킹 피해가 발생한 가상자산 규모는 약 38억 달러(약 4조 9천억 원)에 달한다.

보안을 최대 강점으로 내세운 가상자산이 해킹의 표적이 된 이유는 무엇일까? 가상자산에 대한 해킹 유형은 크게 2가지로 나뉜다. 첫 번째는 개인이나 발행 재단을 노려 피해자의 코인 지갑에 접근할 수 있는 마스터키를 빼돌리는 방법이다. 가상자산 지갑을 대신 맡아준다고 속이는 경우도 있고 가짜 웹사이트로 비밀번호를 탈취하는 피싱 기법도 있다.

두 번째는 가상자산 거래소에 보관된 자산을 탈취하는 방법이다. 수많은 고객의 가상자산을 보유하고 있는 거래소를 직접 공격해 보관하고 있는 가상자산을 직접 탈취하는 방법이다. 거래소 해킹은 현재 대다수의 해킹범들이 시도하고 있는 방법이다.

가상자산은 거래 내역 자체는 투명하게 공개되지만 실제 거래한 사람이 누구인지 명확하게 규정할 수 없다. 주소는 무제한으로 생성되고 중개자가 없어 거래 당사자를 추적하기도 힘들다. 그래서 일단 해킹 피해가 발생하면 범인을 잡기가 굉장히 힘든 범죄 유형이기도 하다.

가상자산을 보호하기 위한 기술, 제도는?

가상자산과 관련된 해킹 피해가 나날이 늘어나면서 가상자산의 보안을 위한 각종 기술과 제도적 장치가 마련되고 있다. 대표적인 것이 가상자산 거래소에서 실시하고 있는 콜드월렛이다.

가상자산 지갑에는 크게 2가지가 있다. 콜드월렛과 핫월렛인데, 핫월렛은 온라인에 연결되어 즉각적인 입출금이 가능해 거래가 용이하다는 장점이 있지만 외부 공격에 취약하다는 단점이 있다.

반대로 콜드월렛은 인터넷과 차단된 가상자산 지갑이다. 외장하드나 이동식 저장장치에 저장해 가상자산을 보관하는 방법으로 실시간 거래는 어렵지만 안정성은 높다. 대다수의 거래소가 핫월렛과 콜드월렛을 병행해 가상자산을 보관하고 있는데 최근 해킹 시도가 많아짐에 따라 콜드월렛 비중을 높이는 거래소가 많아지고 있다.

가상자산 거래소가 보안 시스템을 갖추게 하기 위한 정부의 제도도 시행된 바 있다. 가상자산 거래소를 운영하기 위해서는 정보보호관리체계(ISMS) 인증을 반드시 획득하도록 하는 제도가 시행 중이다. 하지만 운영 초기에만 인증을 받고 시스템을 유지하지 않는 업체가 있다는 맹점이 있어 보안 지속성을 위한 논의가 필요하다는 의견이 있다.

해킹 피해 시 자금 추적을 위한 클러스터링, 식별 기술도 활용되고 있다. 가상자산 해킹이 빈번하게 일어나는 가장 큰 원인 중 하나인 자금 추적의 어려움을 해소하기 위한 기술로 여러 주소를 동일한 엔터티가 소유한 클러스터로 그룹화해 특정 거래 패턴을 분석, 소유자를 식별하는 방법이다. 이 기술을 활용하면 클러스터와 서비스 간의 연결을 찾아 실제 개체의 정보를 특정할 수 있게 된다.

가상자산 거래소가 위험하다는 인식이 퍼지면서 디파이(DeFi) 서비스를 이용하는 이들도 많아지고 있다. 디파이 서비스는 중앙화 거래소 없이 개인 간 거래 방식으로 이용하는 금융 서비스로 거래소 시스템에 대한 불신으로 활발해진 서비스다.

하지만 스마트 계약과 오픈 프로젝트로 개발, 운영되는 디파이 서비스는 거래소보다 훨씬 많은 보안 취약점이 존재한다. 계약 코드가 유출되기 쉽고 책임 소재가 불분명하여 보상을 받기도 어렵다. 실제로 최근 벌어지는 가상자산 해킹 사건의 97%가 디파이 서비스에서 발생했다는 분석도 있다.

가상자산 거래소와 디파이 서비스를 비롯, 대부분의 가상자산 거래 플랫폼에는 꾸준히 해킹 시도가 이어지고 있고 이로 인한 피해도 발생하고 있다. 아직까지 명확한 대응 체계나 해법이 없는 만큼 투자자는 스스로 가상자산 관리에 힘을 써야 한다. 더불어 보안 업체들은 나날이 진화하고 다변화하는 가상자산 시장의 거래 방식에 발맞춰 끊임없이 보안성을 검증하고 취약점을 진단하는 새로운 보안 모델을 구축할 필요가 있다.

김민진 기자 다른기사 보기