해커, 탄소배출거래권 100억 털었다

일반입력 :2011/01/22 20:21    수정: 2011/01/22 20:22

이재구 기자

유명한 소설가 존 르 카레의 소설 디지털 강도(Heist)'를 연상시키는 사건이 실제로 발생했다.

지난 주 체코탄소배출권거래소(OTE)에서는 900만달러이상의 탄소배출거래권이 온라인상에서 도난당하는 사건이 발생했다. 이 탄소거래권은 다른 나라들로 넘어갔는데 동시에 프라하기반의 거래사무소 직원들은 폭발물 위협으로 인해 긴급 대피를 하도록 만들어 놓고 털어간 것으로 확인됐다.

씨넷은 21일(현지시간) 이같은 유럽국가에서의 탄소배출거래권 시스템 도난 사건에 따라 유럽위원회(EC)가 전자도둑들(해커)의 추가 범행 가능성 등을 우려해 19일부터 25일까지 1주일 간 역내 탄소배출권거래를 1주일간 연기시켰다고 전했다.

탄소배출거래권은 순식간에 거래-해커표적으로 급부상 EC는 21일(현지시간) 발표를 통해“올들어 이러한 공격에 취약한 탄소거래소가 벌써 3번이나 공격을 당했다”고 발표문을 통해 밝혔다.

위원회는 “탄소배출 거래에서 0.02%도 안되는 거래가 허락된 탄소배출권이 불법적으로 특정 계좌로 옮겨져 왔다며 이보다 규모가 큰 탄소선물시장은 영향을 받지 않았다고 밝혔다.

각 거래규모가 14.48유로에 달하는 200만번의 불법적으로 거래된 탄소거래권의 규모는 이날 시장거래가격기준으로 치면 3천940만달러에 이르는 막대한 것이다.

탄소배출허가는 전통적인 컴퓨터 해커의 공격대상이 되지 않는다. 다른 현물 또는 선물시장의 생필품도 마찬가지인데 유럽연합거래허가소(European Union Allowances)는 환경오염권을 역내 에너지회사와 산업제조공장에게 할당해 탄소배출권을 사고팔도록 허락하는 역할을 한다.

예를 들면 루마니아의 에너지회사가 특정해에 탄소를 덜 배출하려고 예상한다면 남는 정부발행 탕소배출권을 정부가 할당한 탄소배출량보다 많이 배출하고자 하는 독일의 전력회사등에 팔 수 있다.

해커들은 이같은 탄소배출거래시장의 보안시스템의 취약점과 함께 탄소배출권 현물 및 선물시장 거래가 짧은 시간에 이뤄지는 시스템상의 약점을 노렸다.

“우리나라에서는 거래소 레지스트리에 접속해 다른 나라의 거래상황에 접근하기가 상대적으로 쉬운 것 같다”고 니코스 토르니키디스 블랙스톤 글로벌벤처스 탄소거래매니저가 말했다. 이 회사는 이번 도난사건으로 탄소거래계좌에서 47만5천 거래허가권을 도둑맞았다.

그는 “그들이 일단 탄소거래허가권을 입수하면 이를 파는 것은 매우 쉬우며 거래합의는 거의 동시에 이뤄진다”며 “수시간 내에 이 시스템으로부터 돈을 받을 수 있는데 이는 다른 현물이나 선물 거래 품목에서는 발생하지 않는 탄소거래 시장만의 특성”이라고 덧붙였다.

폭발물 신고 해놓고 탄소배출거래권 해킹

이날 해커들은 탄소거래권을 전자적으로 도둑질해 가면서 동시에 폭발물 위협을 가했다.

익명을 요구한 탄소거래소 관계자는 “거래소의 보안은 느슨했으며 도난에 대비해 해커들의 계좌 접근을 차단할 시리얼 넘버 요구 등의 외부 공격 필터링 메커니즘을 갖고 있지 않았다”고 말했다.

거래소의 일부 관계자들은 컴퓨터가 해킹됐다고 믿기 보다 내부자가 관련돼 있을지 모른다고 의심하고 있다고 씨넷은 전했다.

이 탄소배출권거래시장은 보통 오후 12시30분까지 운영되는데 해커들이 거래소시스템에 침입한 18일 날은 공교롭게도 프라하경찰서로 체코탄소배출권거래소(OTE)에 대한 폭발물 위협신고가 온 날이어서 거래소 직원들은 대피해야 하는 상황이었다.

다음날 일찍 블랙스톤글로벌벤처 직원이 그들의 탄소거래계좌를 살펴보고는 자사의 탄소배출권 계좌가 거의 텅텅 비어있는 것을 확인했다. 게다가 거래계약정보도 바뀌어있었다.

토르니키디스는 “누군가가 거래소 관리자의 특권을 이용해 침입했음을 보여주는 것”이라고 말했다.

블랙스톤은 이 사건을 즉시 체코거래소에 보고하고 잃어버린 거래권에 대한 고유의 시리얼넘버를 찾을 수 있었다.

“나는 해커가 도둑질한 탄소배출거래권을 최초의 구매자에게 팔려고 하기 전에 우리의 탄소배출거래권을 멈추도록 하길 기대했다”고 그는 덧붙였다.

■벌써 유럽 3개국에서 탄소배출거래권 해킹 도난

체코탄소배출거래소는 약 130만건의 거래허가가 6개 계좌에서 분실됐으며 디지털자산은 폴란드, 이태리,에스토니아,리히텐슈타인,독일, 그리고 다른 나라로 옮겨진 것으로 보인다고 밝혔다.

체코의 탄소배출거래권 관리자인 OTE는 계좌를 가진 사람들의 자산을 신탁 관리해야 할 의무가 있어 잃어버린 자산을 대체해야 한다.

관련기사

체코는 새로운 탄소배출거래권 보안문제와 관련해 문제가 된 첫사례가 아니다. 오스트리아도 지난 주 루마니아에 있는 자국의 시멘트 제조회사가 지난해 11월 160만달러에 이르는 탄소배출거래권을 도난당했다고 밝혔다. 또 1년 전 독일에서는 25만 탄소거래권이 피싱 공격으로 털렸다고 보도는 전했다.

보도는 EC는 탄소배출권거래소에 대해 휴대폰이나 다른 2단계의 인증 등의 추가 보안조치를 요구할 것으로 보인다고 전했다.