암호화폐 거래소, 어떤 보안대책 필요한가

인터넷입력 :2017/12/22 16:21

손경호 기자

암호화폐 투자 광풍이 부는 가운데 빗썸, 유빗 등 암호화폐 거래소에 대한 해킹 사고가 잇따르면서 강도 높은 보안대책이 필요하다는 목소리가 높아졌다.

정부와 관련 업계는 높은 수준의 보안대책이 필요하다는 점에서는 공감하지만 일부 각론에선 의견이 엇갈렸다.

19일 과학기술정보통신부와 방송통신위원회는 암호화폐 거래소에 대해 지난 9월부터 실시한 10개 주요 거래소에 대한 사이버보안 및 개인정보보호 체계점검 결과, 보안취약점 및 개인정보보호 조치 미흡사항에 대해 조치를 취할 것을 권고했다.

■ 정부, 거래소 접근통제 및 개인정보 암호화 등 미흡

한국인터넷진흥원(KISA) 침해사고분석단 이동근 단장에 따르면 거래소 대부분은 접근통제장치 설치 및 운영, 개인정보 암호화 조치 등 기술적·관리적 보안조치가 전반적으로 부족하다고 평가했다.

이동근 단장은 "51개 항목에 대해 점검한 결과 주요 시스템에 들어갈 때 ID와 비밀번호 외에 추가 인증을 쓰지 않거나 특정 시스템에 대한 접근 관리가 안 되는 곳들이 많았다"고 말했다.

정부는 이에 따라 빗썸, 코인원, 코빗, 업비트 등 4개 주요 거래소에 대해 정보통신망법 상 정보보호관리체계(ISMS) 인증을 의무화했다. 따라서 내년에는 이 거래소들이 기술적·관리적 보안조치를 취하고 이에 대한 매년 점검이 이뤄지게 된다. 또한 정보보호최고책임자(CISO) 임명도 의무화 됐다.

대부분 거래소는 보안성을 높여야한다는 취지에 공감해 필요한 의무사항을 준수한다는 계획이다. 일부 거래소는 이미 ISMS 인증을 추진 중이며 CISO를 두고 있는 곳도 있다.

코빗 관계자는 "어떻게 될지 모르니 금융사에 준하는 인증들은 대부분 받도록 할 생각"이라고 밝혔다.

주요 거래소 클라우드 쓴다…현실적 보안책 필요

다만 주요 거래소들이 아마존웹서비스(AWS) 등과 같은 클라우드 서비스를 활용하고 있다는 점에서 단순히 일부 물리적인 보안 장비를 갖추지 않았다는 점 등을 문제로 삼기는 힘들 것으로 예상된다.

점검을 진행한 항목들이 클라우드 기반 서비스를 충분히 고려하지 못해 현실과 동떨어진 보완책이 나올 수 있다는 우려다.

현재 시점에서 거래소에 필요한 가장 시급히 필요한 핵심 보안대책은 개인키에 대한 관리와 개인정보유출 방지, 직원들에 대한 보안교육이다.

투자자가 거래소에서 운영하는 전자지갑에서 암호화폐를 출금해 다른 곳에 보내기 위해서는 개인키가 필요하다. 영어대소문자와 숫자로 이뤄진 개인키는 일종의 금고 문을 열 수 있는 열쇠와 같은 역할을 한다.

문제는 취약한 보안 시스템을 갖춘 일부 거래소에서 개인키가 유출되는 사고가 발생했다는 점이다. 은행, 증권사와 달리 유출된 개인키로 출금이 이뤄지면 이를 되돌리거나 구제할 수 있는 방법이 없다는 점에서 무엇보다 철저한 관리가 필요하다.

이를 위해 투자자들은 빗고(bitgo)와 같은 멀티시그 지갑을 지원하는 거래소를 이용할 필요가 있다. 이는 암호화폐를 출금할 수 있는 금고 열쇠 3개를 발급하는 방식이다. 이 중 2개가 있어야만 문을 열 수가 있는 셈이다.

거래소가 1개의 개인키를 갖고 있고, 빗고와 같은 멀티시그 지갑을 운영 중인 곳에서 또 다른 개인키를 갖고 있다.

만약 공격자가 거래소를 해킹해 개인키를 훔쳐내더라도 모니터링을 통해 빗고에 해당 개인키를 사용한 경우 출금을 시키지 말라고 요청을 보낼 수 있다.

그럼에도 불구하고 해킹이 이뤄질 수 있는 최악의 상황을 대비해 인터넷과 분리된 저장소에 개인키만 보관하는 회사를 둔다.

이미 보안에 공을 들이는 주요 글로벌 거래소가 이런 방식으로 기본적인 보안성을 보장한다.

빗썸 해킹은 자체적인 웹사이트가 해킹된 것에 더해 개인정보유출되면서 직원을 사칭한 보이스피싱 등을 통해 암호화폐가 유출됐다.

이런 피해를 막기 위해서는 금융사 수준의 개인정보 암호화, 비식별화 조치가 필수다. 일부 거래소에서는 신분증을 스캔한 이미지를 전송 받을 때 민감한 정보가 유출되지 않도록 주민등록번호 뒷자리를 가려달라고 요청한다. 그럼에도 불구하고 신분증 스캔본을 그대로 보낸 경우에는 임직원들이 일일이 일부 정보를 지워서 저장했다가 폐기하는 등 절차를 거친다.

거래소들의 경우 고객 개인정보를 보호할 수 있도록 암호화 솔루션이나 개인정보 비식별화 솔루션을 도입할 필요가 있다.

관련기사

내부 임직원들이나 협력업체 직원 PC가 해킹돼 거래소 내부 서버가 해킹되는 사례가 나오는 만큼 이들에 대한 철저한 보안교육과 관련 시스템도 필요하다. 이와 관련 일부 거래소는 가상사설망(VPN)을 통해 권한이 없는 직원들이 내부 시스템에 접근하지 못하도록 막고 개인 PC에 대해서도 외부 보안관제를 받을 수 있도록 프로그램을 깔아놨다.

코빗 관계자는 "지금까지 거래소들이 없어진 이유가 모두 거래가 안 되서가 아니라 100% 해킹 때문"이라며 "보안에 신경을 많이 쓰는 곳과 그렇지 않은 곳을 구분할 필요가 있다"고 강조했다.