'보안수준 최고라더니'… '해커' 먹이된 가상화폐 거래소

[이뉴스투데이 김민석 기자] 국내 최대 가상화폐 거래소 가운데 하나인 빗썸이 20일 새벽 350억원 규모의 해킹 사건 피해를 입으면서 시장이 출렁였다.

빗썸은 한국인터넷진흥원(KISA)에 의뢰해 자세한 경위를 조사 중이다. 별도 공지 전까지 입출금 서비스를 중단하고, 피해액은 회사에서 변상하겠다는 방침도 함께 내놨다.

◇ 보안에 취약한 거래소, 날로 교묘해지는 해킹=

이번 사건은 지난 10일 거래소 코인레일이 해킹공격을 받아 400억원의 피해를 기록한지 열흘만에 벌어졌다. 당시 해킹당한 9개 종류 가상화폐는 코인레일이 보유한 전체의 40%에 달한다.

국내 가상화폐 거래소가 해킹당한 것은 이번이 다섯 번째다.

지난해 4월 거래소 야피존은 약 55억원 규모의 비트코인 3831개를 탈취당하는 피해를 입었다.

야피존은 유빗으로 업체명을 변경하고 가상화폐 시장에 재진출 했다. 하지만 유빗은 지난해 12월 170억원 가량의 해킹 피해를 입으면서 업계 내 신뢰도가 급락했다.

또 지난해 9월 거래소 코인이즈가 약 21억원 가량의 화폐를 해킹당한 사건도 있었다.

가상화폐 보관 지갑은 네트워크 연결 여부에 따라 '콜드 월렛'과 '핫 월렛'으로 나뉜다.

해커는 일반적으로 거래소의 '핫 월렛'에 들어있는 가상화폐에 접근하는 방식을 사용한다.

10일 발생한 코인레일 사태도 핫 월렛에 보관된 가상화폐 물량을 유출시킨 사례다. 해커는 당시 코인레일의 핫 월렛에 접근해 40%의 가상화폐를 탈취했다. 나머지 60%는 콜드 월렛에 보관돼 피해가 없었다.

이번 빗썸의 경우에도 '콜드 월렛'에 들어간 가상화폐는 안전했다.

빗썸 관계자는 "빗썸은 고객의 가상화폐는 100% 콜드 월렛에 이전해 보관하고 있다"며 "이 날 탈취된 가상화폐는 회사 보유 물량이 대부분이다"라고 말했다.

해킹은 가상화폐 거래소에 근무하는 직원의 이메일을 이용해 업무용 PC에 침투하는 경로를 주로 이용한다.

해커는 거래소 직원의 PC를 해킹하면 직원이 키보드로 입력하는 내용이나 저장한 파일, 웹캠까지 확인할 수 있다. 거래소 회원 개인정보도 들여다 볼 수 있다.

◇ 가상화폐 거래소 왜 해커 표적되나=

가상화폐는 블록체인 기술을 기반으로 하는 만큼 IT업계와 밀접한 해커의 표적이 되기 쉽다.

빗썸 관계자에 따르면 "익명성이 보장되는 가상화폐의 특성상 본인의 신분을 감춘 채 접근해 자금 탈취가 쉬워 거래소를 주로 노리고 있다"고 말했다.

◇ 가상화폐 거래소 보안 실태는=

가상화폐 업계는 지난해 한국블록체인협회를 출범시키며 해킹 사건에 공동 대응하는 노력을 기울였지만, 제도권 내 편입이 돼 있지 않아 명실상부하다는 평가가 지배적이다.

거래소의 협회 가입은 의무사항이 아니다. 회원사가 아니면 협회의 자율규제안도 적용 받지 않는다.

협회는 회원사에게 가상화폐 유치금 70% 이상을 콜드 월렛에 보관하는 규제안을 적용하고 있다. 반대로 협회 회원사가 아니면 콜드 월렛 보관 의무가 없다.

과학기술정보통신부과 KISA가 지난해 4분기 동안 국내 주요 거래소 10곳을 대상으로 보안취약점을 점검한 결과 정부의 보안 기준에 부합한 거래소는 단 한 곳도 없었다.

당시 조사 자료에 따르면 이용자 계정관리 정책, 망분리, 방화벽 등 기본 보안대책이 없는 경우가 허다했다.

◇ 해킹 대책은 없나=

가상화폐 해킹을 방지할 규제도 전무한 편이다.

현재 당국에서 시행하고 있는 거래소에 대한 규제는 1월 말 시행된 가상화폐 거래 실명제 뿐이다.

당국은 거래소가 은행 계좌를 보유한 이용자가 실명 확인을 거친 뒤 가상화폐 거래를 할 수 있게 제도를 신설했다. 하지만 은행의 낮은 호응, 법인계좌 이용 거래소 비적용 등을 이유로 유명무실하게 전락했다.

보안 대책도 제대로 마련돼 있지 않다.

당국은 지난해 공인 정보보호관리체계(ISMS)에 대형 거래소 4곳을 의무대상으로 지정한 바 있다.

하지만 정보통신서비스 매출액이 100억원 이상이거나 하루 평균 이용자수가 100만명 이상인 업체만 해당 요건을 충족해 그렇지 않은 대부분의 거래소는 위험에 노출된 상태로 운영되고 있다.

빗썸의 이번 해킹이 충격적인 것은 업계 최고 수준의 보안을 갖추고 있었다는 점이다.

빗썸은 '안랩세이브트랜젝션'을 구비하고 있고, 'ISMS인증작업'과 '개인정보구간관리체계(PIMS)' 도입을 준비 중이었다.

빗썸 관계자는 "여러 차례 보도된 바와 같이 빗썸은 설비, 인력 등에 있어서 업계 최고 수준의 보안을 갖추고 있다"며 "빗썸은 24시간 감시 시스템을 가동하고 있는 만큼 이번 해킹 인식, 신고, 입출금 금지 조치도 빠르게 진행할 수 있었다"라고 설명했다.

향후 대책에 대해 빗썸은 보안팀에 투입하는 자금과 인력을 추가 투입해 확장된 시스템을 구축할 예정이다.

빗썸 관계자는 "고객 거래에 있어서 안전과 보안을 최우선으로 삼고 있는 만큼 향후 이러한 상황이 재발하지 않도록 만전을 기하겠다"고 강조했다.