허술한 보안·느슨한 관리…해커놀이터 된 암호화폐 거래소

홈 > 산업 >

허술한 보안·느슨한 관리…해커놀이터 된 암호화폐 거래소

해커들 지능적 공격에 암호화폐 관리도 허술
업계 자율에 기댄 느슨한 규제로 사태 키운 정부

(서울=뉴스1) 남도영 기자 | 2018-06-20 16:41 송고

20일 국내 최대 암호화폐 운영업체인 빗썸이 해킹으로 350억원 규모의 암호화폐 피해를 입었다고 밝혔다. 사진은 이날 오후 서울 중구 빗썸의 모습. 2018.6.20/뉴스1 © News1 신웅수 기자

연달아 터진 해킹 사건으로 암호화폐 거래사이트의 보안실태가 도마에 오르고 있다. 업계 자율규제에 기댄 정부의 허술한 관리와 암호화폐 거래소의 시스템적 허점으로 인해 추가피해가 나올 가능성도 배제할 수 없는 상황이다.

20일 빗썸은 해킹 공격으로 350억원 규모의 암호화폐가 유출됐다고 밝혔다. 앞서 지난 11일 국내 암호화폐 거래소 코일레인이 해킹 공격으로 400억원 규모의 암호화폐를 유실한지 열흘도 안돼 추가 피해가 발생한 것이다.

아직 국내 암호화폐 거래사이트들이 어떤 방식으로 해킹을 당했는지는 정확히 알려지지 않았다. 현재 한국인터넷진흥원(KISA)은 해당 기업의 사고 원인 등을 분석 중이다.

최근 암호화폐 거래소가 해커들의 놀이터가 되면서 공격 방법도 다양하고 치밀해지고 있다. 앞서 국내외에서 일어난 암호화폐 거래소 해킹 사건은 주로 특정 표적을 정해 장기간에 걸쳐 다양한 해킹 수단을 총동원하는 '지능형지속위협'(APT) 방식으로 이뤄졌다. 지난 1월 5700억원의 피해를 입은 일본 코인체크 사례의 경우 3~6개월 동안 10명 미만의 해커가 투입돼 해킹을 진행한 것으로 추정되고 있다.

보안업계 관계자는 "최근 대부분의 공격자들이 돈이 모이는 곳을 노리고 있다"며 "특히 암호화폐 같이 추적이 어려운 재화는 좋은 타겟이 된다"고 말했다.

해커들은 주로 거래소 내부 시스템에 잠입해 암호화폐가 보관된 '지갑'을 훔치는 방법을 쓴다. 암호화폐 지갑은 네트워크가 연결되지 않은 '콜드월렛'(Cold wallet)과 잦은 출입금을 위해 외부와 온라인으로 연결된 '핫월렛'(Hot wallet)으로 나뉜다. 콜드월렛은 인터넷과 단절돼 상대적으로 안전하지만, 핫월렛의 경우 보안에 취약해 해커들의 표적이 되고 있다.

이런 해킹 피해를 피하기 위해 암호화폐 거래소 업계에선 유동 물량의 70%이상을 콜드월렛에 보관하도록 권고하고 있지만, 콜드월렛을 사용할 경우 입출금에 지연 현상이 발생할 수 있어 지켜지지 않는 경우가 많은 것으로 알려졌다.

보안업계 관계자는 "빗썸 같은 상위 암호화폐 거래소가 보안 투자가 부족해 해킹 피해를 입었다고 생각하진 않는다"며 "다만 시스템 영역에서 핫월렛에 대한 침해가 계속되고 있기 때문에 우선적으로 보완이 필요한 상황"이라고 말했다.

정부의 허술한 보안 관리가 피해를 키우고 있다는 지적도 나온다. 지난 1월 과학기술정보통신부와 한국인터넷진흥원(KISA)은 매출액 100억원 이상, 일일평균 방문자 100만명 이상의 암호화폐 거래사이트에 대한 '정보보호관리체계'(ISMS)인증을 의무화했다.

이번 해킹 피해를 입은 빗썸을 비롯해 업비트, 코인원, 코빗 등 4개 업체가 ISMS 인증 의무대상으로 지정됐지만, 아직 인증을 받은 업체는 한 곳도 없다. 인증을 받지 않아도 정보통신망법상 과태료 3000만원만 내면 돼 실효성이 없다는 지적도 나온다.

지난번 해킹 피해를 입은 코일레인 같은 경우 ISMS 인증 대상조차 아니다. 이런 중소 거래사이트들은 과기정통부와 KISA가 보안점검을 다니며 개선을 권고하는 것 외에는 별다른 조치가 없는 상황이다.

보안업계에 따르면 암호화폐 거래소를 만드는 데 투자되는 비용은 20~30억원 수준이지만, 보안에 필요한 투자는 최소 50억원, 제1금융권 수준으로 구축하려면 100억원 이상이 든다. 이 때문에 업계에선 현실적으로 상위 업체 몇 곳을 제외하면 자발적으로 보안 시스템을 갖추긴 어려울 것으로 보고 있다.

더구나 보안 투자는 일회성으로 끝나는 것이 아니라 체계적인 관리가 계속해서 필요한 만큼, 제도적 보완이 반드시 필요하다는 지적이다.

빗썸은 지난 2월 제1금융권에서 적용 중인 통합보안 솔루션 '안랩 세이프 트랜잭션'을 업계 최초로 도입하는 등 자사의 보안 투자를 홍보해왔지만, 결국 사흘 간 이어진 끈질긴 해킹 공격을 막지 못했다.

보안업계 관계자는 "최근 사이버 공격이 매우 고도화되고 있어 솔루션 도입만으론 한계가 있다"며 "시스템 다중보안부터 임직원 교육까지 넓은 시야로 보안을 실천해야 한다"고 말했다.

hyun@