2018년 8월호

4차 산업혁명과 미래

암호화폐 담는 ‘개인 지갑’ 뜬다

  • 유성민| IT칼럼니스트

    입력2018-08-08 17:00:01

  • 글자크기 설정 닫기
    • 암호화폐 거래소 해킹이 잇따른다. 손해 입는 건 투자자다. 거래소 보안을 불신하는 이들은 ‘개인 지갑’을 장만해 대응한다. 하드웨어 월렛이 특히 인기다. 어떤 원리를 이용해 해킹·탈취를 막는 걸까.
    6월 10일 암호화폐 거래소 코인레일이 해킹으로 400억 원가량의 피해를 봤다고 공지했다. 핀디엑스, 엔피, 에스톤 등 암호화폐 9종을 탈취당했다. 코인레일은 한국에서 일곱 번째로 큰 암호화폐 거래소다. 이번 사건은 지금껏 국내에서 발생한 암호화폐 거래소 해킹 피해 중 규모가 가장 크다. 

    충격이 가시기 전 해킹 사고가 잇따랐다. 1위 암호화폐 거래소 빗썸이 해킹 당한 것이다. 코인레일이 피해 본 지 열흘 만의 일. 피해 규모는 코인레일 다음으로 큰 190억 원가량이다. 빗썸 해킹은 꽤 충격적이다. 거래소 보안에서 최고라고 광고하던 빗썸이 해커의 먹잇감이 됐기 때문이다. 

    올해 들어 정부는 암호화폐 거래소 보안 강화를 위해 빗썸, 코인원, 코빗, 업비트를 대상으로 정보보호관리체계(ISMS) 인증을 받도록 했으나 4곳 중 ISMS 인증을 받은 곳은 전무하다. 

    보안 전문가로서 말하면 ISMS 인증을 받는 것은 까다롭지만 어렵지는 않다. 인증을 받기까지 기간이 길 뿐 전산 시스템 담당자 중 보안 관리자만 있으면 받을 수 있는 인증이다. 이러한 인증조차 받지 않은 것은 보안이 허술하다는 뜻이다.

    잇따른 해킹 사고 후 암호화폐 가격 떨어져

    ISMS 인증을 받았다고 해서 시스템이 안전한 것은 아니다. 최소한의 조건일 뿐이다. ISMS 인증을 받고도 해킹당한 사례가 많다. 보안 규정이 엄격한 금융기관이 해킹 피해를 본 사실로 미루어 알 수 있다. 해킹은 암호화폐 시세에도 영향을 미치는 듯하다. 비트코인, 이더리움, 이오스 등의 시세가 하락세다. 코인레일 해킹이 발생하기 하루 전인 6월 9일 비트코인은 900만 원에 근접했으나 7월 초 기준으로 700만 원 선으로 하락했다. 



    암호화폐 거래소 해킹은 한국만의 문제는 아니다. 마운트곡스(Mt.Gox) 거래소 해킹이 피해액이 가장 컸다. 마운트곡스는 비트코인 최대 거래소다. 2014년 2월 해킹당해 85만 비트코인을 잃었다. 당시 기준으로 5700억 원에 달하는 암호화폐가 사라진 것이다. 비트코인 시세가 높던 지난해 12월 기준으로는 20조 원을 잃어버린 격이다. 

    올해 2월에도 이탈리아 암호화폐 거래소 비트그레일(BitGrail)이 해킹을 당해 1700만 개가량의 암호화폐 나노(Nano)가 무단으로 인출됐다. 피해액은 1633억 원. 뒤이어 코인체크(Coincheck)도 해킹돼 넴(NEM) 5억 개를 잃어버렸다. 해킹 당시 시세로 5600억 원에 달하는 피해 규모다. 

    이 같은 연이은 해킹 탓에 암호화폐 거래소에 대한 불신이 깊어간다. 특히 일본에서는 보안에 대한 우려뿐 아니라 내부에서 조작한 게 아니냐는 의혹도 제기됐다. 암호화폐는 탈(脫)중앙 특성을 가졌기에 누가 해킹했는지 알아내기 어렵다. 마운트곡스 해킹 사건 때도 내부 조작을 통해 비트코인을 빼돌린 후 해킹을 당했다고 속이고 파산했다는 음모론이 나왔다. 

    사정이 이러니 ‘하드웨어 월렛(Hardware Wallet)’이 각광받는다. 하드웨어 월렛은 ‘암호화폐를 안전하게 보호하는 지갑’이다. 암호화폐를 거래소에 맡기지 않고 하드웨어 월렛에 보관하는 이들이 는다. 일본에서 특히 암호화폐 지갑 인기가 하늘을 찌른다. 아사히신문은 “하드웨어 월렛을 판매하는 일본 내 대리점 곳곳에서 품절 사태가 발생했다”고 보도했다(2월 6일자). 암호화폐를 전문적으로 다루는 매체 코인텔레그래프(Cointelegraph)에 따르면 지난해 10월 기준 하드웨어 월렛 상품인 나노 레저(Nano Ledger)가 컴퓨터 용품 분야에서 베스트셀러 8위에 올랐다.

    ‘암호화폐 지갑’ 일본서 특히 각광받아

    중앙 개입 없이 개인 간 거래를 가능케 한 블록체인.

    중앙 개입 없이 개인 간 거래를 가능케 한 블록체인.

    하드웨어 월렛은 보안성을 어떻게 담보하기에 이렇듯 인기를 끄는 것일까. 하드웨어 월렛을 이해하려면 우선 블록체인과 관련된 오해를 해소하고 암호화폐의 보안 취약점을 먼저 알아야 한다. 

    ‘블록체인’ 분야에서 전문가로 활동하다 보니 엉뚱한 질문을 받는 경우가 많다. 그중 하나가 “블록체인은 완벽한 보안 기술인데 어떻게 암호화폐 거래소가 해킹될 수 있는지 말해달라”는 것이다. 보안을 모르는 이들이라면 이 같은 질문을 할만도 하다. 그런데 보안 전문가로부터 비슷한 질문을 받으면 어이가 없어 쓴웃음이 난다. 

    결론부터 얘기하면 블록체인은 보안 기술이 아니다. 블록체인이 등장한 배경만 봐도 알 수 있다. 비트코인을 보호하고자 블록체인을 적용한 게 아니라 거래의 탈중앙화를 위해 블록체인을 도입한 것이다. 블록체인은 모든 참여자에게 거래 내용을 투명하게 보여주는 동시에 거래 내역 조작을 막고자 다수결 기반으로 내역을 증명하는 알고리즘을 갖고 있다. 정리하면, 비트코인은 블록체인을 기반으로 해 투명한 방식으로 거래 내역을 보호하게 된 것이다. 이로써 중앙(국가 등)의 개입이 필요 없게 됐다. 

    그렇다면 생뚱맞게, 블록체인을 보안 기술로 오해하는 사람이 많아진 까닭은 뭘까. 증명 알고리즘이 지나치게 주목받은 게 이유인 것으로 보인다. 거래 내역 조작이 절대적으로 어려운 블록체인의 특성에 주목하다 보니 보안 기술로 인식한 것이다. 

    거듭 강조하건대 블록체인은 거래 내역을 완벽하게 보호하는 데 탁월한 도구일 뿐이다. 이를 과장해 ‘완벽 보안’이라고 오해해선 안 된다. 보안에 필요한 요구 사항은 더 많다. 접근제어, 무결성, 익명성, 가용성 등이 있는데, 블록체인은 무결성(데이터의 위·변조 방지 등)에서만 우수할 뿐이다. 무결성을 갖게 된 배경 또한 보안을 위한 것이 아니라 탈중앙화를 실현하기 위한 것이다.

    ‘프라이빗 키’ 해킹하면 모든 게 끝

    e메일 서비스를 예로 들어보자. e메일 내용이 조작되지 않도록 보장하는 데 블록체인을 활용할 수 있으나 메일 서비스 접근을 위한 아이디와 비밀번호를 보호하는 것은 다른 차원의 문제다. 결론적으로 암호화폐 보안과 블록체인은 관련이 없다. 블록체인은 거래 내역을 보증하는 수준에서 보안을 활용할 뿐 다른 보안 요소는 제공하지 않는다. 

    여기까지 읽은 분들은 암호화폐 탈취 및 해킹과 블록체인은 별개의 주제라는 것을 알았을 것이다. 그렇다면 암호화폐 탈취 및 해킹은 어떻게 일어나고, 이를 막으려면 어떻게 해야 할까. 

    암호화폐 본인 인증 수단으로 ‘프라이빗 키(Private Key)’를 사용한다. 프라이빗 키는 암호화폐 소유권을 인증하기 위한 것으로 송금할 때 주로 사용된다. 

    암호화폐 이용 시 개인 정보를 요구하지 않는 경우가 많은데 이렇게 하면 프라이빗 키 해킹만으로 암호화폐 소유권을 변경할 수 있다. 본인 인증 수단이 프라이빗 키밖에 없기 때문이다. e메일 서비스를 예로 들었듯 블록체인은 프라이빗 키를 보호하지 않는다. 

    결론적으로 해킹 및 탈취를 막으려면 프라이빗 키를 보호하는 게 가장 중요하다. 실제로 지금껏 발생한 암호화폐 해킹 및 탈취는 프라이빗 키가 해커에게 유출된 것이 원인이다. 해커는 프라이빗 키를 탈취한 후 퍼블릭 키(Public Key)를 사용해 해킹한 것이다. 퍼블릭 키는 프라이빗 키에서 생성된 임시 키다. 은행 서비스에 비유하면 임시로 발급된 암호계좌 정도로 이해하면 된다.

    ‘프라이빗 키’ 지키는 ‘하드웨어 월렛’

    암호화폐 인기와 더불어 프라이빗 키 보호 기술이 각광받는다. 이 칼럼의 주인공 ‘하드웨어 월렛’이 그중 하나다. 

    콜드월렛(Cold Wallet)이라고 하는 암호화폐 지갑도 있다. 해킹당한 거래소를 방문해보면 공지 사항에 “나머지 암호화폐는 콜드월렛에 보관해 안전하다”는 문구를 볼 것이다. 콜드월렛에 대단한 보안 기술이 적용된 것으로 여기기 십상이나 사실 별거 없다. 영어 표현을 한국어로 풀면, 지갑을 꽁꽁 얼려 잠그는 것이다. 지갑에 있는 자금은 안전하겠으나 돈을 빼 쓰기가 어렵다. 녹여야 쓸 수 있어서다. 

    콜드월렛은 다른 말로 오프라인 월렛(Off-line Wallet)이라고 한다. 말 그대로 네트워크에서 차단된 기기에 프라이빗 키를 보관하는 것이다. 네트워크가 차단됐기에 해커가 해당 기기를 해킹할 방법은 거의 없다. 물론 아주 정교한 해킹 전략을 구상해 외장 하드를 거치는 방법으로 해킹할 수는 있으나 쉽지는 않다. 

    콜드월렛의 반대 개념은 핫월렛이다. 온라인 월렛(On-line Wallet)이라고도 한다. ‘지갑에 있는’ 암호화폐를 사용해야 하기에 프라이빗 키를 담은 기기가 네트워크에 연결돼 있다. 

    콜드월렛 개념을 여기서 언급한 이유는, 하드웨어 월렛과 혼용해 잘못 언급하는 경우가 많아서다. 하드웨어 월렛을 콜드월렛이라고 잘못 지칭하는 언론 기사와 보안 전문가가 많다. 하드웨어 월렛은 콜드월렛도 아니고 핫월렛도 아니다. 굳이 따지면 중간에 해당한다. 보안성이 우수하면서 암호화폐를 거래할 수도 있기 때문이다. 

    하드웨어 월렛은 어떻게 프라이빗 키를 보호할까. 하드웨어 월렛은 보통의 경우 USB와 모양이 비슷하다. 컴퓨터와 연결해 암호화폐를 거래하게 한 것이다. 컴퓨터와 연결돼 있지 않으면 오프라인 환경을 유지한다. 하드웨어 월렛에는 네트워크 상태에서 암호화폐 거래가 이뤄질 때 프라이빗 키를 지키기 위한 보안 기술이 적용돼 있다. 보안 전문가의 눈으로 볼 때 가장 눈에 띄는 것은 암호 환경 기반의 보안 기술이 탑재된 것이다. 이 기술은 USB 등에 저장된 정보가 외부로 유출되지 못하게 막는다. 이를 통해 프라이빗 키가 외부로 유출되지 않게 하는 것이다. 영어 학원에서 배포하는 USB에 해당 기술을 적용한 경우가 많은데 이는 USB에 담긴 자료를 유출할 수 없게 한다.

    신용카드처럼 생긴 ‘쿨월렛’

    하드웨어 월렛 ‘나노 레저’. [Flickr
]

    하드웨어 월렛 ‘나노 레저’. [Flickr ]

    프라이빗 키를 화면에 노출하지 않고도 거래할 수 있기에 컴퓨터 화면 해킹으로 인한 프라이빗 키 유출 위험도 전혀 없다. 암호화폐 송금 시 하드웨어 월렛의 버튼을 누르도록 해 보안을 더욱 견고하게 했다. 또한 하드웨어 월렛을 잃어버렸을 때를 대비해 동작 시 비밀번호를 입력하게 돼 있다. 

    나노 레저, 트레저(Trezor), 킵키(Keep Key) 등이 이러한 기능을 제공한다. 물론 하드웨어 월렛이 앞서 언급한 방법으로만 프라이빗 키를 보호하는 것은 아니다. 갖은 방법으로 프라이빗 키를 보호하는 하드웨어 월렛이 다양하게 나와 있다. 쿨월렛(Cool Wallet)이 그중 하나다. 쿨월렛은 신용카드처럼 생겼는데, 스마트폰과 블루투스를 연결해 암호화폐 거래가 가능토록 했다. 지갑에도 넣을 수 있기에 나노 레저 같은 하드웨어 월렛보다 보관이 더 쉽다. 

    암호화폐 열풍과 해킹 위협 증가로 인해 하드웨어 월렛은 더욱 주목받고 관심도 더욱 커질 것으로 보인다. 또한 다양한 방법으로 프라이빗 키를 보호하는 기술이 등장할 것으로 예상된다. 암호화폐 열풍으로 보안 시장도 달아오르는 것이다.



    댓글 0
    닫기

    매거진동아

    • youtube
    • youtube
    • youtube

    에디터 추천기사