암호화폐, 보안은 아직 풀지 못한 숙제

[CCTV뉴스=김지윤 기자] 각국 정부나 중앙은행이 발행하는 일반 화폐와 달리 기관의 통제를 받지 않아 자유로운 암호화폐. 또 정부나 은행에서 거래 내역을 관리하지 않고 블록체인 기술을 기반으로 유통되기 때문에 정부가 가치나 지급을 보장하지 않는다. 이런 암호화폐 보안의 취약점을 노리는 해커들의 해킹 방식은 더 다양해지고 있다. 줄줄이 일어나는 해킹, 도난, 분실 사건 등 안전 문제는 끊임없이 제기되고 있지만 아직 마땅한 근본적 해결책이 없어 관련 전문가들은 우려를 표하고 있다.

암호화폐로 금전적 이득을 노리는 해커들

작년부터 시작된 비트코인 등 암호화폐 열풍과 더불어 금전적 이득을 노리는 해커들이 암호화폐를 해킹하는 사건이 증가하고 있다. 해킹의 방법으로는 암호화폐 거래소를 직접 공격하는 방식과 다른 사람의 컴퓨터로 채굴을 하는 방법이 있다. 암호화폐에 급격한 관심이 몰리면서 기존에 우리를 괴롭혀왔던 사이버 공격은 줄어들었다는 의견도 있다. 보안 업체 리스크 베이스드 시큐리티(Risk Based Security)는 2018년 1분기 데이터 유출 트렌드 보고서를 통해 “지난 6년 동안 이번 1분기처럼 조용했던 적이 없다”고 설명했다.

거래소 해킹, 어마어마한 피해액

암호화폐 거래소 해킹은 암호화폐 거래소 서버를 통해 암호화폐를 갈취하거나 거래소의 계정 정보를 해킹하는 방식 등으로 이뤄진다. 2014년 세계 최대 가상화폐 거래소였던 일본 마운트곡스가 해킹으로 480억 엔의 손해를 보고 파산을 결정한 사건이 발생했다. 지난해 1월에는 일본 암호화폐거래소 코인체크에서 580억 엔(약 5700억 원) 규모의 암호화폐가 유출되는 해킹 사건이 발생했는데, 이 사건은 마운트곡스 이후 가장 큰 규모의 해킹 사건으로 기록된다. 이후 이탈리아 암호화폐 거래소 비트그레일(BitGrai)의 경우 해커들의 공격을 받아 암호화폐인 나노 1700만 개(약 1억 7000만 달러 가치)가 유출되는 일이 벌어지기도 했다.

한편, 2017년 4월 국내 가상화폐 거래소로 처음 해킹을 당한 유빗은 비트코인 약 55억원 규모를 도난당했다. 전체 화폐 보유량의 37% 정도였다. 같은 해 12월 재차 해킹을 당해 전체 자산 중 17%인 172억원의 손실을 입고 파산했다. 2017년 6월에는 해커들이 빗썸의 고객 3만 6000여 명의 개인정보를 빼돌린 뒤 빗썸 운영진을 사칭하고 악성코드를 발송하는 방법으로 일부 회원의 돈까지 가로챘다. 2017년 9월에는 또 다른 암호화폐 거래소 코인이즈가 21억 5800만원 규모의 가상화폐를 해킹당했다. 2018년 6월에는 코인레일이 400억원 규모의 가상화폐 9종을 해킹당했다. 코인래일 해킹은 국내에서 발생한 가상화폐 해킹 중 가장 큰 규모로 나타나고 있다.

멀웨어를 통한 해킹이 가장 많이 나타나고 있어

암호화폐 해킹 공격을 시도하는 사이버 공격자들은 암호화폐 거래소 자체를 해킹하는 것 보다는 멀웨어를 통한 우회 방식의 해킹 공격 주로 시도하고 있다. 거래소 전체를 공격하기는 어렵기 때문이다. 타인에게 피해를 입히기 위해 개발된 소프트웨어를 의미하는 멀웨어(Malware)를 사용하는 해킹이 현재까지 가장 많이 사용되는 공격 기법이다. 암호화폐 채굴을 하려면 높은 성능의 컴퓨터가 많이 필요하다. 이에 해커들은 많은 컴퓨터를 감염시켜 채굴을 진행한다. 암호화폐 채굴 악성코드는 2017년부터 유포되기 시작해 2018년 이후 급격하게 증가했다. 파이어아이의 발표에 따르면 한국이 채굴 악성코드에 위협받는 국가 4위로 선정된 바 있다.

최근에는 사물인터넷 장비나 클라우드 버킷, 웹 서버, 모바일 기기까지도 감염시켜 채굴에 활용하고 있다. 전원과 인터넷에 연결된 기기들이라면 전부 해커의 공격 대상이 되는 것이 요즘의 공격 흐름이다. SK인포섹 김래환 EQST 그룹 수석은 “암호화폐의 가치가 올라가냐, 떨어지냐에 따라 해커들은 포지션을 취할 수 있다”며 암호화폐 가치가 떨어졌을 땐 사용자의 핸드폰이나 컴퓨터를 해킹해 암호화폐를 채굴해 놓고 가치가 올라갈 때를 노리기 때문이다”고 말했다.

피해 막을 규제는 아직 부족해

암호화폐 해킹 위협이 극심해지자 국내 암호화폐 거래소의 경우 가입 시 이메일 인증, 휴대폰 인증, 계좌번호 인증 등 다양한 인증을 시행하고 있다. 거래 시 로그인 비밀번호와 거래 비밀번호를 따로 하는 2중 비밀번호를 두고, 로그인이나 거래가 이뤄질 경우 문자메시지와 이메일 등으로 내용을 통보하는 서비스도 제공하고 있다.

또한, 암호화폐 거래의 투명성을 확보하고 범죄 피해를 예방하기 위한 암호화폐 거래실명제를 2018년 1월부터 시행하고 있다. 암호화폐 거래실명제는 암호화폐 거래에서 가상계좌 사용을 막고 본인 확인이 완료된 거래자의 계좌와 암호화폐 거래소의 동일 은행 계좌 간의 입출금만 허용하는 서비스를 말한다.

그렇지만 규제는 아직 부족한 수준이다. 암호화폐 해킹은 계속해서 일어나고 있기 때문이다. 암호화폐 거래소는 반드시 지켜야 할 보안 준수 사항이나 표준이 미비해 해킹에 상당히 취약한 상태이다. 이에 업계 전문가들은 암호화폐 거래소의 요건을 허가제로 해야 하고, 세금도 부과해 법적인 규제의 틀 안에 넣어야 한다고 주장하고 있다. 또한 멀웨어로 인한 암호화폐 해킹 피해를 막을 제대로 된 제도도 필요하다고 말한다.

동국대 블록체인연구센터 박성준 교수는 “보안 대책은 정부와 기업 모두가 실천해야 한다. 정부가 암호화폐 거래소에 대해 명확한 정보보호 가이드라인을 제시해야 한다. 이를 위해서는 제도권으로 수용해야 하는데, 현재 이 부분이 이뤄지지 않는 상태”라고 말했다. 인섹시큐리티의 김종광 대표는 “암호화폐 해킹 사고가 발생하면 가장 큰 문제는 보상 문제이다”며, “거래소가 100% 보상할 수 없다면 이를 보완할 수 있는 정부차원의 방안이 필요하다”고 말했다.