ICO 프로젝트, 사회 공학적 해킹에 대비하라

[김호광 칼럼]"ICO 보안 가이드라인 만들어야"

전문가 칼럼입력 :2019/05/21 13:33    수정: 2019/07/16 10:47

김호광 플레이코인 대표
김호광 플레이코인 대표

1990년대 모토로라, 썬, 노벨, NEC, 퀄컴, 노키아 등 거대 기업을 농락했던 유명 해커 케빈 미트닉은 고난도 해킹 기술을 사용하지 않았다. 집중력 떨어지는 오후나 심야에 타깃기업에 전화해, 해킹 시도가 있으니 점검을 위해 시스템 비밀번호를 달라고 했을 뿐이다. 연방수사국(FBI)을 사칭한 이런 심리적 접근에 수 많은 기업들이 속아 넘어갔다. 비자카드도 그에게 속아 큰 손실을 봤다. 심리적인 취약점을 이용하는 이런 수법을 '사회 공학적 해킹'이라고 한다.

한국 사회도 사회 공학적 해킹으로 몸살을 앓고 있다. 공공기관에서 많이 쓰는 한글 파일(hwp)의 취약점과 사회공학적 해킹을 결합한 수법이 효과적으로 구사돼 왔다. “BH(청와대) 유럽 순방 결과와 그 의의.hwp”, “BH 정부 개혁 구조 혁신 방안.hwp” 같이 관료나 언론인이라면 열어 볼 수 밖에 없는 제목의 파일에 악성코드를 숨겨 놓은 것이다.

게임 머니와 아이템이 현금화될 수 있는 게임 회사와 게임 포털은 또 다른 사회 공학적 해킹의 타깃이다. 회사에 악성 코드가 담긴 USB를 경품으로 보내거나 개발 툴인 비주얼 스튜디오 크랙 프로그램에 악성 코드를 삽입해 회사 내부 보안망을 무력화했다. 보안이 강화된 게임 회사 서버를 직접 해킹하기 보다 사회 공학적 해킹을 시도한 것이다.

최근에는 암호화폐를 노리는 해킹에서도 이와 유사한 수법들이 눈에 띈다. 2018년 겨울부터 ICO 코인 발행 재단과 거래소의 주요 인물을 노리는 악성 코드가 사회공학적인 공격을 통해 배포되고 있다. '가상화폐 규제 정부 방침.hwp', ‘가상화폐 거래소 금감원 규제 방안 초안.hwp’ 등 암호화폐 관련 종사자가 열 수 밖에 없는 파일명이 메일로 발송되고 있다.

이미 많은 해킹과 해킹 시도를 겪은 암호화폐 거래소는 오히려 그동안 학습효과로 보안을 강화하고 있다. 한국인터넷진흥원(KISA)이 거래소의 보안 점검과 가이드에 앞장서고 있기도 하다.

하지만 암호화폐공개(ICO)를 진행한 블록체인 프로젝트는 보안 회색 지대에 남아 있다.

많은 ICO 재단은 한국인들이 사실상 운영하고 있지만, 국적은 싱가포르, 몰타 등 다른 나라도 돼 있는 구조다. 이런 불분명한 법리적 구조는 ICO를 위해 많은 재단이 선택한 것이지만, 한국 정부의 보안 가이드라인을 강제할 수 없다는 문제점이 있다.

앞서 얘기한 것처럼 우리 사회는 10년 이상 한국에 특화된 사이버 공격을 경험해 왔다. ICO 재단과 참여자들이 보안의 회색 지대에 남아 있으면 안되는 이유다.

ICO 재단은 자율적으로 믿을만한 보안 수준을 지키고 있다는 것을 ICO 참여자들에게 정기적으로 알려야 한다. 재단이 사이버 위협에 대응하는 인력, 투자 수준을 투명하게 밝히고 가상화폐 자산에 대한 관리를 강화하고 ICO 참여자들의 우려를 불식 시켜야 한다.

또한 KISA 등 한국 내 정보 보안 기관에서는 한국에 상장된 ICO 재단에 대해서 금융권 수준의 보안 가이드라인을 지키고 있는지 확인을 요청해야 한다. 이것이 법적으로 불가능하다면 국내 거래소를 통해 요청 받는 것도 한 방법이 될 수 있다. 한국인들이 투자한 크립토 자산이기 때문에 거래소를 통한 간접 공시가 가능할 것으로 보인다.

마지막으로 ICO 재단, 보안 전문가, 거래소, 정부 관련 부처들이 모여 암호화폐 투자자들이 안심할 수 있는 ‘ICO 자율 보안 가이드라인’ 제정에 힘을 모야야 할 것이다.

관련기사

한국의 금융권과 공공 기관이 클라우드 도입이 늦어진 이유는 누가 보더라도 경직된 관료들과 국내 기득권 업체들이 합작한 갈라파고스 규제 덕분이다. 일본의 경우 가상화폐 거래소와 블록체인 재단들이 시장 참여자들이 자율 규제안을 만들어 정부와 협력을 통해 블록체인의 투명성과 신뢰성을 확보한 바 있다.

우리는 일본의 가상화폐 거래소 자율 규제안에서 반면교사를 삼아 ICO 재단의 보안 가이드라인 자율 규제를 통해 급증하는 사이버 공격에 대비하고 투명하고 신뢰성 있는 블록체인 산업의 표준을 만들어야할 때이다.

*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.

김호광 플레이코인 대표

블록체인 프로젝트 PlayCoin 대표. 사회 공학 해킹에 관심이 많으며 보안이 주력이다. 온라인 게임의 아이템 해킹과 포털 해킹까지 폭넓게 경험했다. 모바일 러닝 게임인 Nike run the city PM과 보안이 가장 손에 꼽히는 난이도의 프로젝트. 2년간 MCN 회사의 CTO로 시장의 흥망성쇠를 경험했으며 중국의 블록체인 재단의 투자를 통해서 PlayCoin 프로젝트를 성공적으로 시작할 수 있었다. 정보의 격차가 경제의 격차가 되지 않도록 블록체인을 통해 독과점 시장을 타파하고 공정한 세상이 될 수 있도록 노력하고 있다.