올해만 벌써 두 번째다. 지난 3월 빗썸에 이어 지난 달 업비트까지 비정상 출금 사고가 발생했다. 국내 대형 암호화폐 거래소들이 잇달아 보안 사고에 휘말리면서 불신이 심해지고 있다.
업비트와 빗썸은 코인원, 코빗과 함께 국내 4대 거래소로 꼽히던 곳이다. 특히 업비트는 암호화폐 거래소 중 최고 수준의 보안을 자랑한다는 평가를 받아왔다. 이런 업비트마저 해킹으로 의심되는 사고에 휘말리면서 관련 업계에선 불안감과 실망감을 감추지 못하고 있다.
업비트는 지난달 27일 업비트 핫월렛(인터넷이 연결된 암호화폐 지갑)에서 알 수 없는 지갑으로 이더리움 34만 2천 개(약 586억원 규모)가 전송되는 이상 거래가 발생했다고 밝혔다. (☞관련기사)
빗썸도 지난 3월 암호화폐 이오스(EOS) 300만 개와 2천만 개 리플(XRP)이 비정상 출금되는 사고를 겪었다. 피해 규모만 약 215억원에 달한다.
■ 보안 자부하던 업비트, 어디서 뚫렸나…KISA "멀티시그 적용 확인했다"
업비트는 정보보호관리체계(ISMS)인증을 비롯해 정보 보안(ISO 27001), 클라우드 보안(ISO 27017), 클라우드 개인정보 보안(ISO 27018) 등 ISO 3개 부문 인증을 획득했다. 현재 업비트가 이용하고 있는 아마존웹서비스(AWS) 클라우드도 자율신청을 통해 ISMS인증을 받았다.
업비트는 또 콜드월렛에 전체 암호화폐의 70% 이상을 보관하는 등 한국블록체인협회의 자율규제안을 준수해왔다고 공언해 왔다. 업비트 관계자는 "이번에 사고가 난 이더리움 핫월렛에는 전체 이더리움의 30% 미만이 보관돼 있었다"고 밝혔다.
국내·국제 보안 인증을 받았음에도 불구하고 이 같은 사고가 벌어진 것을 두고 일각에서는 ISMS 인증이 현재 암호화폐 거래소의 시스템과는 맞지 않아 부실했던 것이 아니냐는 지적이 일었다.
하지만 ISMS인증을 담당하는 한국인터넷진흥원(KISA) 관계자는 "ISMS인증 자체가 범용 기준이지만, 가상통화와 관련해 심사할 때는 핫월렛·콜드월렛 분리, 멀티시그 기능 적용 여부 확인 등 가상화폐의 특수성을 반영해서 인증 심사를 진행했다"고 밝혔다.
멀티시그는 암호화폐 지갑 열쇠가 2, 3개 이상으로 분산돼 있어 지갑을 열려면 2개 이상의 키가 필요한 기능이다. 지갑을 여는 데 단일키가 아닌 다중 키를 사용해 보안성을 높일 수 있는 기능으로 평가된다.
그는 "(업비트 ISMS인증 당시) 업비트가 가지고 있던 코인에 대해서는 모두 멀티시그 기능이 적용된 것을 확인했다"며 "ISMS인증은 1년마다 사후심사를 받는데 업비트는 최근 가을에도 사후심사를 받았으며, 당시도 멀티시그 기능이 적용된 것을 확인했다"고 설명했다.
이어 그는 "업비트가 보안 관리를 못 한 기업도 아니었고, 심사 당시 멀티시그 적용 여부도 확인했는데도 이런 사고가 났다"며 "아직은 어느 부분에서 사고가 난 건지 모르는 상황이기 때문에 사후조사 결과가 나오고 나면, 보안 인증 심사 시 뭘 놓쳤는지 확인해 해당 부분을 보완해서 제도를 개선할 수 있을 것 같다"고 덧붙였다.
업비트의 이번 사고는 현재 경찰청과 KISA가 원인 파악을 위한 조사를 진행하고 있다.
KISA는 "정확한 원인 파악을 위해 경찰과 함께 업비트에 나가 알아보고 있는 중"이라며 "정확한 원인을 파악하기까지 시간이 걸릴 것"이라고 밝혔다.
■ "거래소 해킹 많이 일어날 수밖에 없어…보안 시스템 강화 및 법률 마련 필요"
업비트는 이번 사건으로 분실된 이더리움을 업비트 자산으로 충당하겠다고 밝혔다. 지난 3월 사고가 났던 빗썸도 당시 핫월렛에서 비정상적으로 출금된 암호화폐는 자사 보유분이라며 회원의 암호화폐 자산에는 아무런 피해가 없다고 밝힌 바 있다.
결국, 두 거래소 모두 암호화폐를 분실했지만, 이용자의 암호화폐에는 피해가 없다는 설명이다.
하지만 이를 두고 "손실된 암호화폐를 충당할 수 있을 만한 규모를 가진 암호화폐 거래소였기 때문에 다행"이라는 안도감으로 넘어가기에는 충분치 않다는 지적이 나온다.
사고를 무마할 수 있을 만한 자금력이 없는 중소거래소는 보안 사고 위험이 더 높고, 사고가 발생했을 시 그대로 이용자의 자산 피해로 이어지기 때문이다.
또 이런 보안 사고가 잇달아 발생하고 있지만, 아직 뚜렷한 해결방안이 나오지 않고 있다는 것도 문제다. 물론 수사 결과가 명확히 나와야만 해결 방안을 내놓을 수 있겠지만, 통상 수사 결과가 나오려면 최소 6개월 이상 걸린다.
지난 3월 빗썸에서 발생한 암호화폐 탈취 사고도 아직 수사 결과가 나오지 않았다. 이런 상황을 미뤄봤을 때, 업비트의 이번 사건도 정확한 사고 원인을 알아내기까지는 오랜 시간이 걸릴 것으로 보인다.
김용대 카이스트 정보보호대학원 교수는 "암호화폐 거래소는 현금화할 수 있는 돈을 빨리 만들 수 있기 때문에 해킹이 많이 일어날 수밖에 없다"며 "해커 입장에서는 1억, 2억만 투자해서 해킹해도 몇백억을 얻을 수 있는 인센티브가 훨씬 강한 곳이 암호화폐 거래소"라고 지적했다.
이어 그는 "100 프로 해킹이 불가능한 시스템은 없다"며 "다만 리스크를 줄이기 위해 최선의 노력을 다하는 것뿐이고, ISMS도 최소한의 보안 관리에 신경을 썼다는 증거일 뿐이지 안전하다는 증거는 아니다"라고 덧붙였다.
류재철 충남대 컴퓨터공학과 교수도 "멀티시그 기능은 완벽한 보안 솔루션이 아니다"라며 "해킹하는 사람이 조금 더 수고를 하면 얼마든지 논리적으로는 해킹이 가능하다"고 말했다.
결국, 해킹에 대한 완벽한 보안은 없고 지속적으로 보안 시스템을 더욱 강화하는 등 꾸준한 노력이 필요하다는 설명이다.
김 교수는 "거래소들은 콜드월렛 비율을 최대한으로 유지하고, 해킹 사고가 나더라도 이용자를 보호하는 방향으로 시스템을 설계해야 한다"며 "많은 액수가 이동될 땐 진행을 멈추고 검토한 뒤 진행하는 등 이상거래탐지시스템(FDS)도 점검할 필요가 있다"고 말했다.
하지만 당장 암호화폐 거래소가 높은 수준의 보안시스템을 구축할 수 있을지는 의문이다.
관련기사
- 업계 맏형 업비트마저...위기 맞은 국내 블록체인 산업2019.12.04
- 업비트, 590억원 규모 암호화폐 털렸다2019.12.04
- 업비트 갑작스러운 서버점검...비정상출금 발생 우려 제기2019.12.04
- 클레이튼 생태계에 업비트인도네시아·코인원 합류2019.12.04
한 암호화폐 거래소 관계자는 "ISMS인증을 비롯해 보안 시스템 구축 비용이 어마어마하며, 일정 비용을 계속 투자해 보안 시스템을 쌓아 나가야 하는데 업계가 침체돼있다보니 그러기가 굉장히 쉽지 않은 상황"이라며 "그럼에도 불구하고 거래소들은 다각도로 보안 시스템 구축을 해나가야 할 것 같다"고 말했다.
암호화폐 거래소에 대한 법률 마련이 필요하다는 의견도 제기됐다. 김동환 디라이트 변호사는 "이번 사례는 피해자 보호에 대한 구제 방안이 마련돼 있어 다행이지만, 그렇지 않은 사례가 너무 많고 중소형 거래소에서는 이런 사고가 빈번하다"며 "피해자 구제책을 비롯해 암호화폐 거래소에 대한 체계적인 법률 마련이 필요하다"고 말했다.