2018년 8월호

이슈

왜 해커는 암호화폐 거래소만 노릴까?

‘마운트곡스’ 때부터 반복된 재앙… 제도권 편입이 대안 될 것

  • | 강양구 지식큐레이터 imtyio@gmail.com

    입력2018-08-01 17:00:01

  • 글자크기 설정 닫기
    • 취약한 보안 시스템, 허술한 보안 의식

    • ‘빗썸’의 어처구니없는 실수

    • “보안 지키려면 해커를 귀찮게 하라”

    • 개인키 직접 보관하기만 해도 위험 감소

    2014년 마운트곡스에서 비트코인 출금을 정지한 데 항의하며 한 비트코인 투자자가 마운트곡스 사무실 앞에서 시위하고 있다. [AP=뉴시스]

    2014년 마운트곡스에서 비트코인 출금을 정지한 데 항의하며 한 비트코인 투자자가 마운트곡스 사무실 앞에서 시위하고 있다. [AP=뉴시스]

    암호화폐 혹은 가상화폐 거래의 기원은 2010년 7월 설립된 암호화폐 거래소 ‘마운트곡스’로 거슬러 올라간다. 일본 도쿄 시부야에 있던 마운트곡스는 비트코인 거래를 시작하면서 주목받았다. 덩달아 비트코인 가치도 높아졌다. 2011년 2월 70센트 정도이던 1비트코인 가격은 2011년 5월에는 10달러 가까이, 6월 중순에는 32달러로 올랐다. 

    이후 비트코인은 등락을 거듭하면서 가치가 오르기 시작했다. 2013년에는 폭등했다. 그해 1월 1일 13달러이던 것이 12월 4일에는 1147달러로 올라 정점을 찍었다. 무려 88배가 폭등한 것이다. 세계 비트코인의 절반 이상을 거래하던 마운트곡스도 돈방석에 앉았다. 거래 수수료로 매월 100만 달러가 쌓였다. 2013년 3월 당시 마운트곡스 직원은 18명에 불과했다. 

    2014년 2월 7일, 마운트곡스는 돌연 출금을 정지했다. 그러고 나서 약 80만 개의 비트코인을 해커에게 도둑맞은 사실을 세상에 알렸다. 결국 마운트곡스는 그해 2월 28일 도쿄 법원에 파산신청을 했다. 전해 12월 4일 정점을 찍고서 떨어지던 비트코인 가치는 이 사건으로 결정타를 맞았다. 비트코인은 계속 떨어져 2015년 1월 14일에는 177달러가 됐다. 암호화폐의 ‘죽음’이 선포됐다. 거래소 마운트곡스가 암호화폐를 한 번 죽였다.

    마운트곡스의 탄생

    마크 카펠레스 전 마운트곡스 CEO. [AP=뉴시스]

    마크 카펠레스 전 마운트곡스 CEO. [AP=뉴시스]

    시간을 되돌려보자. 2009년 1월 3일, 나카모토 사토시가 최초의 암호화폐 비트코인을 세상에 던졌다. 그러고 나서도 오랫동안 비트코인은 소수의 프로그래머(개발자) 공동체 사이에서나 화제가 되는 일종의 장난감이었다. 비트코인 현금 가치는 단 몇 센트에 불과했고, 소수의 열성자 사이에서 e메일을 통해 장난처럼 거래됐다.
     
    예를 들어 이런 식이었다. 2010년 5월 18일, 미국 플로리다주 잭슨빌에 사는 라즐로 한예츠는 인터넷 게시판에 피자 두 판을 자기에게 배달해주면 1만 비트코인을 주겠다고 올렸다. 비트코인의 열성 팬이던 그는 이 새롭게 등장한 암호화폐로 어떤 일을 할 수 있을지 세상에 보여주고 싶었다. 

    놀랍게도 나흘이 지나고 나서 그의 집으로 피자 두 판이 배달됐다. 인터넷 게시판에서 그의 글을 본 누군가가 잭슨빌의 한 피자 가게로 전화해 배달시킨 것이다. 약속대로 1만 비트코인이 e메일을 통해 피자 구매자 계정으로 입금됐다. 2018년 7월 4일 현재 1비트코인은 약 720만 원. 한예츠는 피자 두 판에 700억 원을 치른 셈이다.
     
    이런 상황에서 웹사이트 ‘실크로드’가 등장했다. 실크로드는 아마존 같은 온라인 쇼핑몰이다. 하지만 결정적으로 다른 점이 있다. 아마존에서는 거래할 수 없는 온갖 불법 물건을 거래하도록 했다는 것이다. 자신을 ‘공포의 해적 로버츠’라고 밝힌 운영자는 마약, 위조된 공문서 같은 ‘피해자 없는 물건’이라면 무엇이든 거래할 수 있다고 밝혔다. 



    가장 먼저 마약 밀매업자가 실크로드를 주목했다. 이들은 마약 거래 정보를 실크로드에 올리고 구매자를 찾았다. 바로 이 대목에서 비트코인이 등장했다. 실크로드에서는 비트코인만 받았다. 실크로드로 마약 등을 찾는 사람이 몰리면서 덩달아 비트코인 가격도 뛰기 시작했다. 

    마약을 구매할 사람은 현금(달러)을 비트코인으로 바꿔야 했다. 마약 밀매업자는 돈 대신 받은 비트코인을 다시 현금으로 교환해야 했다. 비트코인-현금-비트코인 거래를 쉽게 해주는 곳이 절실했다. 이런 상황에서 마운트곡스가 등장했다. 실크로드와 마운트곡스는 2011년 6월 미국 한 상원의원이 당국의 엄중한 단속을 촉구할 정도로 유명해졌다. 

    이즈음(2011년 4월) 나카모토 사토시도 행적을 감췄다. 사토시는 마지막으로 지인에게 보낸 짧은 e메일에서 자신이 ‘악당 같은 존재’가 됐다면서 걱정을 토로했다. 그는 약 100만 개의 비트코인(약 7조 원)과 함께 세상에서 사라졌다. 사토시가 사라지고 나서 비트코인은 오히려 날개를 달았다. 그리고 덩달아 거래소 마운트곡스도 승승장구했다.

    기본을 지키지 않은 대가

    마운트곡스의 골칫거리는 처음부터 잦은 해킹 시도였다. 애초 마운트곡스를 설립한 제드 매케일럽은 잦은 웹사이트 공격을 견디지 못하고 2011년 3월 친구 마크 카펠레스에게 운영권을 넘겼다. 하지만 카펠레스가 운영하고 나서도 마운트곡스에 대한 해킹 시도는 멈추지 않았고 오히려 더욱 대담해졌다. 

    같은 해 6월에는 해커가 로그인에 필요한 자격 증명을 위조한 뒤 아직 삭제하지 않은 매케일럽 계정으로 접속해 운영자 권한을 행사하는 황당한 일도 일어났다. 그는 존재하지 않는 10만 비트코인을 만들어 자기 계좌 잔액을 늘렸다. 이 해커는 위조 비트코인을 매물로 내놓았고 마운트곡스 사용자 수백 명이 현금으로 위조 비트코인을 사들였다. 

    이 과정에서 해커는 마운트곡스 웹사이트 지갑에 보관된 진짜 비트코인 일부도 밖으로 빼돌렸다. 뒤늦게 문제점을 파악한 마운트곡스는 해커가 주도한 거래 내용을 삭제하고, 해커가 빼돌린 비트코인도 채웠다. 운영권이 넘어가자마자 옛 운영자 계정을 삭제하기만 했어도 막을 수 있는 해킹이었다. 

    작은 해킹 사고가 주는 잇따른 경고에도 마운트곡스는 문제에 철저히 대비하지 않았다. 결국 2014년 2월 마운트곡스는 치명타를 맞았다. ‘큰 한 방’을 노린 한 해커가 몰래 웹사이트에 잠입해 수개월 혹은 수년간 마운트곡스 지갑에서 비트코인을 조금씩 빼돌린 사실이 뒤늦게 드러난 것이다. 

    해킹 방법도 기발했다. 해커는 마운트곡스에서 정상 주소로 비트코인을 보내면서 똑같은 양을 자신의 주소로 보내도록 조작했다. 그 결과 마운트곡스 시스템은 애초 보내야 할 주소 외에도 엉뚱한 곳(해커의 주소)으로 비트코인을 중복해 보냈다. 그렇게 유출된 비트코인이 약 80만 개였다. 

    마운트곡스가 거래 내용만 꼼꼼히 확인했어도 이런 해킹 방법은 금세 드러났을 것이다. 하지만 오랫동안 이중으로 비트코인이 지출되는데도, 그래서 마운트곡스 지갑에서 해커 지갑으로 비트코인이 조금씩 이동하는데도 마운트곡스 회계 시스템은 이를 파악하지 못했다. 기본을 지키지 않았다. 이렇게 마운트곡스 운영진이 기본을 지키지 않은 대가는 컸다. 앞에서 언급한 대로, 마운트곡스는 2014년 2월 7일 거래를 정지하고 2월 28일 결국 파산했다. 비트코인은 2016년 7월 750달러를 회복해 2017년의 ‘거품’을 준비할 때까지 2년 넘는 암흑기를 지나게 된다.

    한국 암호화폐 거래소는?

    빗썸은 6월 20일 오전 긴급 공지를 통해 350억 원 상당의 암호화폐가 탈취된 사실이 확인됐다며 당분간 거래 서비스와 암호화폐 입출금 서비스 제공을 중단한다고 밝혔다. [뉴스1]

    빗썸은 6월 20일 오전 긴급 공지를 통해 350억 원 상당의 암호화폐가 탈취된 사실이 확인됐다며 당분간 거래 서비스와 암호화폐 입출금 서비스 제공을 중단한다고 밝혔다. [뉴스1]

    마운트곡스 해킹 사건은 지금도 진행형이다. 해킹 사건이 일어나자 여러 의혹이 제기됐다. 특히 오랫동안 지갑에서 비트코인이 빠져나가는 걸 방치한 운영진의 행태를 놓고 ‘자작극’ 의혹이 제기됐다. 마침 해킹 사건을 수습하던 이들이 2016년 5월 뜬금없이 “해커가 훔쳐간 비트코인 80만 개 가운데 20만 개를 찾았다”고 발표하면서 이런 의혹에 더욱 불을 질렀다. 

    마운트곡스는 비트코인 20만 개를 현금으로 바꿔 피해 고객 2만4000명에게 현금 보상하겠다고 공언했다. 파산할 때(2014년)와 비교해 비트코인 시세가 많이 올랐기 때문에 가능한 일이다. 실제로 마운트곡스는 올해 2월 28일부터 3월 6일까지 고객에게 현금 보상을 시행했다. 

    널리 알려졌듯 2017년은 비트코인을 비롯한 암호화폐의 2차 거품 시기다. 2017년 1월 1일 997달러(약 100만 원)이던 1 비트코인은 12월 16일 1만9343달러(약 2166만 원)를 찍었다. 이런 세계적인 거품에는 한국의 투자 열기가 한몫했다. 그리고 그 중심에는 ‘빗썸’으로 대표되는 한국 암호화폐 거래소가 있었다. 

    하지만 빗썸도 마운트곡스의 악몽을 피하지는 못했다. 암호화폐에 돈이 한창 몰리던 2017년 6월 30일 빗썸은 약 3만 명(당시 전체 회원의 3%)의 회원 정보가 유출된 사실을 세상에 알렸다. 어처구니없게도 해커는 빗썸 직원의 개인 컴퓨터를 해킹해 그 안에 있던 회원의 개인정보(휴대전화 번호, e메일 주소) 등을 확보했다. 

    이후 일어난 일은 고전적인 보이스 피싱이나 e메일을 통한 악성코드 유포 수법과 똑같다. 같은 해 7월 9일 한 회원이 빗썸에서 온 e메일을 확인했다. 그러고 나서 그는 2100만 원 정도의 암호화폐 ‘이더리움’이 무단 인출된 사실을 확인했다. e메일에 심어진 악성코드를 통해서 그 회원의 빗썸 접속 정보가 유출돼 피해가 발생한 것이다. 

    보이스 피싱 피해 사례도 한두 건이 아니다. 6월 21일 한 회원은 빗썸 직원으로 속인 범죄 집단의 전화를 받았다. 그 회원은 자기 개인정보를 줄줄 읊는 직원에게 무심코 개인 OTP(One Time Password)를 말했다. 그 순간 이 회원 빗썸 계정에서 비트코인이 빠져나갔다. 비유하면 현금 인출기 앞에서 대기하던 범죄 집단에 통장 비밀번호를 알려준 것이다. 

    이런 빗썸 해킹 사례는 앞에서 살펴본 마운트곡스의 반복 같다. 마운트곡스 초기에 일어난 중요 해킹 사고는 옛 운영자의 접속 계정 정보 관리 부실 때문이었다. 빗썸도 직원의 개인 컴퓨터에 들어 있는 회원 정보가 유출됐다. 둘 다 보안의 ‘기본’을 지키지 않아 생긴 사고였다. 

    하지만 이 시점에 빗썸은 되레 이렇게 반박했다. “이번 사고는 서버 및 암호화폐 지갑과는 무관한 빗썸 직원 개인 컴퓨터에 대한 외부 침입으로 발생한 사고다. 회원의 비밀번호, 계좌번호 등의 정보는 모두 암호화돼 빗썸 내부 보안망 서버에만 저장되므로 원천적으로 유출할 수 없다.” 

    빗썸은 애초 내부에만 있어야 할 회원 개인 정보가 직원의 개인 컴퓨터에 있었던 사실이야말로 보안의 기본을 지키지 않은 훨씬 더 큰 실책이었음에도, 자사의 보안망은 안전하다고 목소리를 높였다. 아니나 다를까. 1년이 지나고 나서 빗썸은 훨씬 더 심각한 해킹 사고에 직면한다. 

    2018년 6월 20일, 빗썸은 해킹으로 “350억 원 규모의 암호화폐를 도난당했다”고 밝혔다. 빗썸 해킹 소식에 한국을 비롯한 각국 정부의 규제로 연초부터 숨죽였던 암호화폐 시장은 더욱 얼어붙었다. 이 사고는 7월 초 현재 경찰과 한국인터넷진흥원(KISA)이 수사 중이라 명확한 원인은 밝혀지지 않았다.

    하지만 현재까지 밝혀진 정황만 봐도 1년 전의 해킹 사고보다 문제가 훨씬 심각하다. 해커가 빗썸 내부 서버에 직접 접속해 키(열쇠)를 얻어서, 서버에 올라와 있던 지갑에서 암호화폐를 탈취했다. 1년 전 ‘우리 보안망은 안전하다’고 목소리를 높였던 빗썸은 비판을 면치 못하게 됐다.

    “보안 불감증이 문제다”

    박상기 법무부 장관이 1월 11일 오전 정부과천청사에서 열린 기자 간담회에서 암호화폐 거래소 폐쇄를 위한 입법 추진 방침을 밝히고 있다 [동아DB]

    박상기 법무부 장관이 1월 11일 오전 정부과천청사에서 열린 기자 간담회에서 암호화폐 거래소 폐쇄를 위한 입법 추진 방침을 밝히고 있다 [동아DB]

    그렇다면 이런 암호화폐 거래소의 사고는 왜 반복되는 것일까? 아직 한 번도 해킹 사고를 당한 적 없는 국내의 한 암호화폐 거래소 보안 시스템 설계에 관여했던 개발자와 만나 이야기를 들어봤다. 그의 진단은 간단했다. “보안의 기본을 지키지 않았기 때문”이라는 것이다. 다음은 일문일답. 

    은행이나 증권회사에서는 상대적으로 해킹 피해가 드물다. 암호화폐 거래소만 이렇게 크고 작은 해킹 피해가 반복되는 이유가 무엇인가? 

    “은행이나 증권회사와 규모가 큰 암호화폐 거래소의 보안 시스템은 질적으로 차이가 없다. 비슷한 경력의 보안 컨설턴트에게 의뢰해서 시스템을 마련한다. 가장 다른 점은 시스템의 기술적인 측면이 아니다. 은행이나 증권회사는 오랜 시간 축적된 보안 시스템 운영의 인적(人的) 노하우가 있다. 지금 암호화폐 거래소는 바로 그 보안 시스템 운영의 인적 노하우가 부족하다.” 

    보안 시스템 운영의 인적 노하우? 정확히 어떤 의미인가? 

    “고객 개인정보를 보안이 취약한 직원의 개인 컴퓨터에 담아두는 일이 은행이나 증권회사라면 가능했을까? 그런 일이 불가능한 분위기야말로 바로 보안 시스템 운영의 인적 노하우다. 최근 암호화폐 거래소의 내부 보안망은 삼중 장벽으로 구성된다. 당연히 그 장벽 하나하나의 보안 담당자가 모두 달라야 하고, 상호 교류가 없어야 한다. 그래야 한쪽에서 인간적·기술적 실수로 장벽 하나가 뚫리더라도 다른 장벽을 지킬 수 있다.” 

    기본만 지켜도 암호화폐 거래소의 보안을 은행이나 증권회사 수준으로 높일 수 있다는 말인가?
     
    “그렇다. 해커가 충분한 자원(노력, 비용, 시간 등)을 들여서 뚫을 수 없는 절대 안전한 보안 시스템은 없다. 하지만 해커는 투입 자원과 얻을 수 있는 보상(경제적 이득이나 상징적 명성)을 비교하면서 공격 대상을 물색한다. 해커 처지에서 보면, 국내 암호화폐 거래소는 얻을 수 있는 보상은 적지만 보안 시스템이 엉망이라서 상대적으로 투입 자원이 적다. 국내 암호화폐 거래소 보안이 좀 더 강화되면 해커가 볼 때 매력적인 공격 대상이 아니다. 얻을 수 있는 보상에 비교해 투입해야 할 자원이 많아지니까. 더구나 암호화폐 거래소가 보안 시스템을 좀 더 강화하지 않으면 고객에게 외면받을 뿐 아니라, 암호화폐의 신뢰까지 갉아먹을 것이다.” 

    정부의 관리 감독은 어떤가?

     
    “은행이나 증권회사는 보안에 구멍이 뚫릴 경우 규제 당국으로부터 심각한 제재를 받는다. 이런 사정 때문에 은행이나 증권회사는 고객 자산이나 개인 정보 보호뿐만 아니라 금융 서비스를 계속 유지하기 위해서라도 보안을 강화할 수밖에 없다. 암호화폐 거래소가 제도권 안으로 들어와서 규제 당국의 관리 감독을 받아야 하는 것도 이 때문이다. 보안 등 질 관리가 안 되는 암호화폐 거래소는 자연스럽게 해커의 표적이 된다. 그리고 그런 해킹 사고는 고스란히 고객 피해로 이어진다. 규제 당국의 적극적인 대응이 필요하다.”

    암호화폐 보안 강화법

    암호화폐 투자자는 보안을 위해 개인키를 하드웨어 지갑 등에 보관하는 것이 좋다.

    암호화폐 투자자는 보안을 위해 개인키를 하드웨어 지갑 등에 보관하는 것이 좋다.

    실제로 2014년 2월 마운트곡스 해킹 사고 이후 세계 암호화폐 거래소 보안 수준은 계속 높아졌다. 지금의 혼란스러운 과도기를 지나면 (완벽하지 않겠지만) 은행이나 증권회사 수준으로 보안이 강화된 암호화폐 거래소가 국내외에 등장할 것이다. 정부 규제까지 덧붙여진다면 그 속도는 훨씬 더 빨라질 개연성이 크다. 

    그렇다면 지금 암호화폐를 거래하는 사람은 어떻게 행동해야 할까? 가장 먼저 할 일은 거래소 의존을 줄이는 것이다. 현재 대다수 암호화폐 보유자는 자신의 ‘개인키(Private Key)’를 거래소에 맡겨둔다. 거래소에서 실시간으로 거래할 때 편리하기 때문이다. 자신의 개인키를 따로 보관할 자신이 없다면 그냥 이렇게 둬도 된다. 

    하지만 만약 암호화폐 보유액이 많거나 거래 없이 장기간 보유만 하거나 잦은 해킹 사고 등으로 거래소를 믿을 수 없다면 개인키를 직접 보관해야 한다. 개인키를 관리하는 가장 간단한 방법은 종이에 출력해 보관하는 것이다. 이렇게 개인키가 출력된 종이를 분실하면 자신의 암호화폐 자산에 영원히 접근할 수 없다.(그래서 금고에 보관하기도 한다.) 

    개인키가 적힌 종이를 제대로 관리할 자신이 없다면 개인 컴퓨터나 USB에 저장하는 방법도 있다. 하지만 개인 컴퓨터나 USB도 해킹 위험에서 안전하지 않을 뿐 아니라, USB를 분실하면 개인키 종이를 잃어버리는 일과 마찬가지로 자신의 암호화폐 자산에 접근할 수 없다. 

    그래서 최근에는 개인키가 포함된 텍스트 파일을 다시 한번 암호화해 저장하거나, 아예 암호화폐 개인키를 물리적으로 보관할 수 있도록 고안된 ‘레저 지갑(Ledger Nano S)’ 같은 하드웨어 지갑을 이용하는 사람이 늘고 있다. (하드웨어 지갑 이용법은 ‘구글’ 등에 ‘암호화폐 하드웨어 지갑’ 등을 치면 확인할 수 있다.) 

    마지막으로 한 가지만 덧붙이자. 요즘 제일 많이 듣는 질문은 암호화폐 전망이다. 자산 시장의 앞날을 예측하는 일은 사실상 불가능하다. 하지만 이런 질문을 던지는 일은 가능하다. 

    해커가 왜 기를 쓰고 암호화폐 거래소를 뚫으려고 노력할까? 그리고 지금 암호화폐 거품은 꺼진 것일까, 아니면 억지로 누르고 있는 것일까? 상반기에 블록체인 테크놀로지 사업 자금을 모집할 목적으로 진행된 ICO(Initial Coin Offering)가 100% 가깝게 성공한 사실은 어떻게 봐야 할까? 

    이런 질문에 하나씩 답하다 보면 블록체인 테크놀로지나 암호화폐 시장의 미래를 놓고도 나름의 견해를 가질 수 있을 것이다. 마침 이 글을 마무리할 즈음 한국 정부가 7월 안에 암호화폐 거래 등을 산업으로 인정하기로 했다는 뉴스가 나왔다. 암호화폐와 거래소의 미래는 어떻게 될까?



    댓글 0
    닫기

    매거진동아

    • youtube
    • youtube
    • youtube

    에디터 추천기사