암호화폐 거래소 비트소닉에서 일어난 비정상적인 암호화폐 출금을 두고 거래소와 이용자 간의 책임 공방이 벌어지고 있다. 거래소는 해당 사건의 책임을 특정 개인의 보안 문제라고 일축한 반면, 피해를 본 이용자들은 거래소 해킹 또는 거래소 내부의 사고 문제로 보고 있어 피해 책임 소재에 대해 공방이 계속될 전망이다.
일부 피해자들은 사이버수사대에 신고를 마쳤다고 밝혔다. 암호화폐 커뮤니티에 따르면 피해자들은 70여 명으로 추정된다.
암호화폐 커뮤니티에서는 지난 23일 당일 새벽 비트소닉에서 이용자가 승인하지 않은 비정상적인 암호화폐 출금이 발생했다는 내용의 글이 여러 건 올라왔다.
이들의 주장은 대체로 본인이 일회용비밀번호(OTP) 인증을 해제하지 않았는데 비활성화됐다는 알림 메일이 왔으며, 이를 확인하고 사이트에 접속해보니 암호화폐가 출금돼 있었다는 내용이다. 누군가 OTP 인증을 임의로 해제한 후, 신규 OTP를 등록해 로그인한 뒤 암호화폐 출금을 진행했다는 것이다.
출금된 암호화폐는 비트코인(BTC), 이더리움(ETH)을 비롯해 유니오(UNNIO), 젠서(XSR), 바나나톡(BNA), 고머니(GOM) 등으로 다양한 것으로 알려졌다.
이 과정에서 거래소 자체 코인인 비트소닉코인(BSC)의 매도도 이뤄졌다. 피해자들의 유니오코인 탈취는 주로 비트소닉코인을 매도한 후, 유니오코인을 매수해 출금이 이뤄진 것으로 나타났다. 이는 비트소닉코인(BSC)마켓에서는 유니오코인만 출금이 가능하기 때문인 것으로 추정된다. 이밖에 다른 코인도 매도·매수를 거쳐 출금이 진행된 것으로 알려졌다.
■ 이용자들, OTP인증 해제 경로 요구…"로그인 전에 OTP인증 해제돼"
이번 사건의 책임을 가리는 데는 OTP 인증 비활성화 경로가 핵심이 될 전망이다.
피해자들은 자신이 설정한 OTP인증이 누군가에 의해 임의로 해제되고, 재설정돼 암호화폐 출금이 이뤄졌다고 주장했다.
특이한 점은 피해자의 OTP 인증 해제가 로그인 전에 이뤄졌다는 점이다. 피해자들의 주장에 따르면 이번 사건은 대부분 OTP 인증이 해제된 후 로그인이 이뤄졌다.
하지만 OTP 인증은 로그인 과정에서만 쓰이며, 아이디와 비밀번호 입력 후 2단계 인증방법으로 사용된다. OTP인증 초기화 또한 모바일 앱 또는 PC에서 로그인 이후에 가능하다. 따라서 피해자들은 어떻게 로그인 없이 OTP인증이 해제될 수 있는지, OTP 인증 해제는 어떤 방식으로 해제되었는지 그 경로에 의문을 표하고 있는 상황이다.
이에 비트소닉은 23일 오후 홈페이지 공지사항과 개인 답변을 통해 "OTP 초기화 기록을 중심으로 긴급 점검 및 조사를 실시한 결과, 외부에서의 해킹 시도에 대한 징후는 전혀 발견되지 않았으며 내부에 의한 사고도 아닌 것으로 확인됐다"며 "해당 사건은 일부 불특정 고객을 상대로 거래소 밖에 존재하는 개인 정보를 악의적으로 탈취해 발생한 것으로 추정한다"고 밝혔다. 또 "고객들의 개인정보는 모두 암호화 처리를 하고 있으며, 개인정보를 관리자가 보고 탈취하는 것은 불가능하다"고 말했다.
즉, OTP인증 비활성화 및 인증 초기화는 거래소 해킹이나 내부의 문제가 아닌, 개인 이용자의 보안 문제라는 주장이다.
하지만 피해자들은 비트소닉의 입장에 반박하며, OTP 인증 해제 경로에 대해 거래소 측에 요구하고 있는 상황이다. 피해자 김 모 씨는 "어떻게 한 명이 아닌 여러 명이 개인의 실수로 OTP가 해제되면서까지 개인정보가 악의적으로 탈취될 수 있는지 이해가 안 간다"고 말했다.
암호화폐 거래소 관계자들도 OTP인증이 비활성화됐다는 점에 의문을 표했다. A암호화폐 거래소 관계자는 "회사마다 OTP인증 해제 절차가 다 달라 해킹인지 내부자 소행인지 알긴 어렵지만, 거래소 측에서도 OTP인증을 해제할 수 있는 권한이 있는 만큼 사용자 탓만을 하기는 어렵다"고 말했다.
장항배 중앙대학교 산업보안학과 교수는 "피해자들의 주장대로 동시다발적으로 일어난 것이라면 개인의 개별 보안 취약점으로 인한 해킹보다는 서버 쪽 문제로 OTP 매커니즘 자체가 풀려버린 것으로 보인다"며 "서비스 제공 쪽의 문제가 있을 수 있다"고 말했다.
■ '보안 정책 부실' 지적도…거래소"출금제한 정책 반영할 것"
이번 비정상 출금 사건이 이뤄진 배경에는 기본적으로 비트소닉의 보안 정책이 부실했다는 지적도 나온다.
피해자 이 모 씨는 "이메일이나 SMS 추가 인증 등 2차 인증이 있었다면 이런 비정상적인 출금이 발생하지 않았을 것"이라며 "OTP인증만으로 출금이 가능했고, OTP인증이 초기화돼도 출금 제한이 되지 않았다는 점이 피해를 키웠다"고 지적했다.
이에 비트소닉 관계자는 "기존에는OTP초기화 후 출금 제한 정책이 없었다"며 "이번 기회를 통해 OTP초기화 후 출금을 제한하는 정책을 반영할 예정"이라고 답했다.
현재 이용자와 거래소, 양 측의 주장이 상충하는 만큼 해당 사건의 진위와 책임소재를 바로 파악하기는 어려울 것으로 보인다.
이동근 KISA 침해사고분석단장은 "현재로서는 피해사실 자체가 사실 확인이 안 되고, 각자의 주장이 상충하는 상황이기 때문에 해당 사건은 수사로 해결될 수밖에 없다"고 말했다.
관련기사
- 비트소닉 "거래소 해킹 징후 없어...사이버수사대 협조할 것"2019.09.25
- "은행 암호화폐 거래소 입금정지 부당"...法, 가처분 신청 인용2019.09.25
- 비트소닉, 베트남어 지원...동남아시장 진출 시동2019.09.25
- 비트소닉, 자금세탁방지센터 신설..."50명 수준으로 확대"2019.09.25
해당 사건의 수사는 피해자들의 신고를 받은 사이버수사대에서 진행하게 될 전망이다. 비트소닉은 내부 서버 해킹이 아니라고 판단해, 한국인터넷진흥원(KISA)에 신고하지 않았다.
비트소닉 관계자는 "피해자 규모를 파악하는 중이며, 어떤 식으로 도움을 줄 수 있을지 고민하고 있다"며 "사이버수사대 신고를 통해 접수가 되면 적극적으로 협조할 것"이라고 말했다.