본문 바로가기

신동아 로고

통합검색 전체메뉴열기

특집 | 위기의 암호화폐

해커들이 몰려온다

블록체인 서비스 취약점 공격하라

  • | 유성민 IT칼럼니스트

해커들이 몰려온다

1/3
  • 암호화폐를 탈취하는 다양한 해킹 수법이 등장한다. 암호화폐 거래소 해킹은 기본이고 채굴 악성코드마저 나왔다. 해커들은 암호화폐를 기반으로 한 블록체인 기반 서비스도 노린다.
[그림출처: Pexel]

[그림출처: Pexel]

2017년은 암호화폐(가상통화)의 해였다. 암호화폐 시세가 천정부지로 치솟았다. 비트코인은 2017년 1월까지만 해도 시세가 100만 원 수준이었으나 12월에 들어서면서 2400만 원까지 올랐다. 1년 만에 24배 오른 것이다. 특히 이더리움은 1년 만에 시세가 90배 넘게 올랐다. 지난해 1월 이더리움 시세는 1만 원을 조금 넘는 수준이었다. 12월 말에는 96만 원까지 상승했다. 

정부가 규제하겠다는 의지를 보인 후 가격은 정점보다 하락했다(2월 1일 현재). 비트코인은 1월 말 기준으로 1200만 원 수준이다. 이더리움도 1월 10일 최고 시세인 200만 원을 찍은 후 130만 원대로 하락했다. 그럼에도 비트코인과 이더리움은 1년 전과 비교해 여전히 높은 시세를 보인다. 1코인으로 피자 한 판 주문도 못하던 비트코인으로 피자 1000판을 살 수 있다. 

비트코인을 이용한 최초 거래는 2010년 5월 미국 플로리다에서 이뤄졌다. 컴퓨터 프로그래머인 라스즐로 핸예츠가 재미 삼아 피자 2판을 1만 비트코인에 구매하겠다고 인터넷에 올리자 이를 본 피자가게 주인이 조건을 받아들여 거래가 이뤄졌다. 1월 말 기준으로 1만 비트코인은 1200억 원 수준이다. 피자 두 판 가격을 3만 원이라고 가정하면 7년 사이 가치가 400만 배 오른 셈이다. 피자가게 주인이 1만 비트코인을 지금껏 갖고 있다면 돈벼락이 따로 없다. 

상황이 이렇다 보니 한국을 포함한 세계 각지에서 비트코인 열풍이 식을 줄 모른다. 주부, 대학생, 직장인 등 상당수의 사람이 암호화폐 투자에 빠져 있다. 암호화폐 가격이 국가마다 차이를 보이는 경우가 많아 시세차익을 위해 해외 원정을 가기도 한다. 심지어 한국에는 암호화폐 투자에 빠져 전투력이 줄어드는 상황을 우려해 거래소 사이트 접근을 차단하는 부대도 생겨났다.

수력발전소와 계약 맺고 비트코인 채굴

암호화폐 채굴장(Mining Pool)도 유행처럼 번진다. 채굴장은 암호화폐를 채굴하기 위해 수많은 컴퓨터를 한 곳에 모아놓은 장소다. 채굴은 암호화폐를 얻는 방법 중 하나다. 일반적으로 암호화폐를 얻는 방법은 두 가지다. 거래소에서 암호화폐를 구입하거나 채굴(mining)하는 것이다. 



암호화폐를 채굴하려면 문제를 풀어야 한다. 비트코인의 경우 암호화된 무작위 값을 주는데 이 값을 풀어내야 한다. 그런데 해당 값이 무작위로 암호화됐기에 일일이 대입해볼 수밖에 없다. 비유하면 상대방이 머릿속으로 생각하는 숫자를 맞히는 것과 같다. 출제자가 1부터 100만 사이의 숫자 중 하나를 생각하고 있다면 정답을 맞힐 때까지 1부터 숫자를 일일이 말해보는 수밖에 없다. 더구나 정답을 맞히려는 사람이 혼자가 아닌 여러 명이다. 숫자를 빨리 말하는 사람이 승리하는 구조다. 이렇다 보니 비트코인을 채굴할 때 컴퓨터 성능이 중요하다. 성능이 좋을수록 정답을 맞히는 속도가 올라가서다. 이런 까닭에 채굴장을 만들어 동시에 다수의 컴퓨터를 채굴에 활용하는 것이다. 더욱이 잔여량과 채굴 경쟁자 수에 따라 문제의 난이도가 달라진다. 비트코인 생성량은 2100만 코인까지로 정해져 있으며 잔여량은 지난해 12월 기준으로 420만 코인으로 알려졌다. 약 20%가 남은 셈이다. 비트코인 시세는 높고 잔여량은 얼마 없어 채굴 경쟁이 치열하다 보니 비트코인 채굴장 규모는 어마하다. 

중국 다롄시 외곽에 위치한 한 채굴장에서는 3층 건물에 들여놓은 3000여 대의 컴퓨터가 24시간 비트코인을 채굴한다. 한 달 전기료만 9000만 원가량. 한국과 중국의 물가 수준을 고려하면 실로 어마어마한 전기 요금이다. 중국 티베트의 한 채굴장은 전력 비용을 절감하고자 수력발전소와 직접 전기 거래 계약을 맺었다. 

국내에도 대형 채굴장이 생겼다. 강원 홍천군에 위치한 한 채굴장의 경우 300여 대의 컴퓨터를 활용해 암호화폐 채굴에 활용한다. 채굴장이 늘어남에 따라 컴퓨터 성능에 중요한 그래픽 카드 품귀 현상까지 발생했다.

해커들이 몰려온다

암호화폐 열풍은 해커들 사이에서도 불고 있다. 특히 암호화폐 거래소 해킹이 끊임없이 발생한다. 1월 26일 일본에서 암호화폐 거래소가 역대 최대 규모로 해킹을 당한 사건이 발생했다. 피해 규모는 5600억 원으로 추산된다. 피해를 본 곳은 ‘코인체크’라는 거래소로 암호화폐 ‘넴(NEM·New Economy Movement)’만이 해커 수중으로 들어갔다. 넴은 2015년 싱가포르에서 만들어진 암호화폐다. 시가총액은 2조 원으로 10위권에 들 정도로 인기가 많은 암호화폐다. 

일본 암호화폐 거래소 해킹은 이번이 처음은 아니다. 2014년 2월 비트코인 최대 거래소인 마운트 곡스(Mt.Gox)가 해킹을 당해 파산했다. 당시 마운트 곡스는 비트코인 총 발행량 2100만의 4%인 85만 비트코인을 보유하고 있었다. 해킹으로 85만 비트코인을 모두 잃었는데 당시 가치로 5700억 원에 달했다. 올해 1월 기준으로 환산하면 10조 원에 달하는 가치다. 최고 시세를 기록한 작년 12월 기준으로 환산하면 20조 원에 달한다. 이는 국내 10대 기업 매출액과 비슷하다. 

이더리움 또한 거래소 해킹으로 피해를 본 사례가 있다. 엄밀히 말해 이더리움을 대신 보관해주는 기업이 두 차례 해킹을 당했다. 패리티(Parity)는 이더리움의 주요 개발자인 가빈 우드가 만든 회사로 이더리움의 안전 보관을 위한 서비스를 제공하고 있다. 그런데 해킹을 두 번이나 당해 안전성이 오히려 의심받는다. 

2017년 6월 패리티는 해킹으로 15만 3000개(당시 450억 원 상당)의 이더리움을 도난당했다. 최고 가치를 기록한 1월 10일 기준으로 환산하면 3000억 원에 달하는 피해를 본 것이다. 이후 11월에도 50만 이더리움을 해킹으로 도난당해 손실을 보았다. 당시 가치로 3000억 원, 최고 가치로 1조 원을 잃어버린 것이다. 

암호화폐 시세가 계속 오르는 과정에서 암호화폐를 보관하는 기관이 연거푸 해킹 공격을 받은 것이다. 국내에서도 암호화폐 거래소 해킹으로 피해를 본 사례가 여러 번 있다. 지난해 4월 비트코인 거래소 야피존은 해킹으로 3831비트코인을 잃었다. 당시 기준으로 55억 원에 달하는 규모다. 지난해 9월에는 암호화폐 거래소 코인이즈가 해킹을 당해 21억 원의 손실을 봤다. 

국가정보원이 해킹 경위를 조사했는데 두 건 모두 북한 소행인 것으로 잠정 결론을 내렸다. 북한이 암호화폐를 노리는 이유는 외화를 확보하기 위해서인 것으로 추정된다. 비트코인과 같은 암호화폐는 익명성을 보장하는 경우가 많기에 거래가 자유로우나 추적 기술을 이용하면 거래자를 금방 파악할 수 있다. 그런데 비트론드리(BitLaundry) 같은, 추적을 방해하는 불법 서비스가 존재하기에 해커가 이를 이용할 경우 거래자 파악이 매우 어려워진다. 암호화폐 시세가 높은 수준으로 계속 유지됨에 따라 북한은 암호화폐 거래소를 대상으로 끊임없이 해킹을 시도할 것으로 보인다. 

암호화폐의 등장은 해킹 동향도 바꿨다. 2000년대 이전까지만 해도 실력 과시용 해킹이 많았다. 다시 말해 자신이 가진 컴퓨터 운용 기술 능력을 뽐내기 위해 해킹에 나서는 경우가 많았다. 그러나 이후 전자거래가 늘고 중요 정보가 인터넷에 저장됨에 따라 해킹 목적이 과시에서 금전 획득 수단으로 바뀌어갔다.
 
특히 특정 기관을 대상으로 한 공격이 많아지면서 해킹 기술이 고도화했다. 특정 기관에 대한 공격은 장기 계획을 세운 후 집단으로 공격에 나서는 예가 많다. 이를 전문 용어로 ‘지능형 지속 공격(APT·Advanced Persistent Threat)’이라고 한다. 2010년 이란 원자력발전소 원심분리기 1000여 대 파괴 사건, 2011년 한국에서 벌어진 농협 대란, 2014년 한국수력원자력 도면 유출, 2016년 인터파크 개인정보 유출 등이 APT 공격으로 피해를 본 사례다.

북한 해커들도 암호화폐에 관심

앞서 언급했듯 특정 기관을 대상으로 한 해킹은 집단을 형성해 장기간에 걸쳐 진행되기에 자본이 많이 요구된다. 따라서 국가나 기업 주도로 해킹이 진행되는 경우가 많다. 버라이즌의 2016년 분석에 따르면 해킹의 88%가 정부 및 기업이 시도했다. 

그런데 암호화폐로 인해 해킹의 동향이 바뀌고 있다. 지난해 5월 랜섬웨어(시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 한 후 금전을 요구하는 악성 프로그램) ‘워너크라이’의 기승으로 30만여 대의 기기가 피해를 보았다. 랜섬웨어는 인질을 의미하는 ‘랜섬 (Ransom)’과 프로그램을 의미하는 ‘소프트웨어(Software)’의 합성어다. 

워너크라이의 특징은 기존의 랜섬웨어와 달리 수많은 기기를 감염시켰다는 점이다. 워너크라이는 공격 대상이 어느 곳인지와 무관하게 같은 금액을 요구했다. 특정 기관을 노린 게 아니라 다수를 감염시키는 게 목적이었던 것이다. 

워너크라이와 더불어 암호화폐 채굴 악성코드도 유행한다. 사용자의 기기를 암호화폐 채굴용으로 몰래 활용하는 것이다. 채굴 용도로 해킹하는 것이기에 특정 대상이 아닌 불특정 다수를 해킹하는 것이 이득이다. 따라서 워너크라이와 유사한 방식으로 공유 기능의 취약점을 노리도록 설정된 경우가 많으며 인터넷 사이트에 악성코드를 심어 방문자를 감염시키는 행위도 있다. 

요컨대 암호화폐 열풍이 불면서 해킹이 특정 기관 공격 중심에서 개인을 목표로 한 공격으로 변화하는 것이다. 한국인터넷진흥원이 발간한 ‘2017년 하반기 악성코드 은닉사이트 탐지 동향 보고서’에 따르면 전체 해킹 유형 중 랜섬웨어와 암호화폐 관련 해킹이 36.8%를 차지했다. 

암호화폐와 블록체인이 같은 것으로 잘못 인식되는 것은 암호화폐가 블록체인 방식으로 거래를 기록하기 때문이 아니라 암호화폐를 블록체인 서비스 제공을 위한 중개 수단으로 활용하는 경우가 많기 때문이다. 앞서 언급한 넴과 이더리움은 이러한 목적으로 만들어진 암호화폐다. 이더리움을 기반으로 블록체인 서비스를 제공할 수 있는 것이다. 

그런데 이 같은 구조를 악용해 이더리움과 같은 암호화폐를 탈취할 수 있다. 블록체인 자체는 보안상 안전할 수 있으나 블록체인을 기반으로 만들어진 시스템은 안전하지 않을 수 있다. 다시 말해 시스템 자체의 취약점을 악용해 암호화폐를 가로챌 수 있는 것이다. 실제로 이러한 일이 발생한 적이 있다. 

다오(DAO)는 이더리움을 활용한 블록체인 기반 회사 운영 플랫폼이다. 주인 없는 회사를 만들어보겠다는 생각에서 시작한 DAO는 초기에 큰 주목을 받았다. 문제는 DAO 자체에 취약점이 있었다는 것이다. DAO는 이더리움으로 환전을 가능케 하는 스플릿(Split) 기능을 제공했는데 5분 주기로 환전 내용이 기록된다는 취약점이 존재했다. 은행 인출기를 예로 들어 A가 통장 잔액에 5만 원을 갖고 있었고 모두 찾았다고 가정해보자. 그런데 인출기가 5분 단위로 인출 명세를 기록한다. 그러면 A는 5분이 지나기 전에 해당 금액을 또 한 번 찾을 수 있다. 2016년 6월 발생한 DAO 해킹이 이러한 방식으로 이뤄졌다. 360만 개 이더리움을 탈취당했다. 이더리움 창시자인 비탈릭 부테린은 해킹당한 이더리움 체계를 버리고, 새로운 이더리움 체계를 만드는 ‘하드포크(Hardfork)’를 진행했다. 이후 해킹당한 ‘클래식 이더리움’과 함께 두 개의 이더리움이 존재하게 됐다. 물론 두 이더리움은 다른 블록체인 플랫폼에 존재하기에 서로 다른 암호화폐다. 

암호화폐 열풍이 불면서 비트코인 등을 노린 해킹 사건이 꾸준히 발생할 것으로 보인다. 따라서 정부는 암호화폐를 바라보는 시각을 바꿔야 한다. 정부는 암호화폐를 금융 자산으로 인식하지 않고 규제하려고만 한다. 이는 잘못된 태도다. 금융기관에 적용한 각종 보안 규제를 암호화폐에도 적용해야 한다. 암호화폐를 금융 자산으로 인정하고 관련 기관에도 적용해 암호화폐 자산을 안전하게 보호할 수 있게 해야 한다.



1/3
| 유성민 IT칼럼니스트
목록 닫기

해커들이 몰려온다

댓글 창 닫기

2021/06Opinion Leader Magazine

오피니언 리더 매거진 표지

오피니언 리더를 위한
시사월간지. 분석, 정보,
교양, 재미의 보물창고

목차보기구독신청이번 호 구입하기

지면보기 서비스는 유료 서비스입니다.