가상화폐 거래소, 해커의 먹잇감 된 이유

가상화폐와 달리 거래소는 블록체인 기술 적용하지 않아

(가상화폐 노컷뉴스 자료사진)

지난 26일 일본에서 5천 648억 원 규모의 가상화폐가 해킹당한 사건이 발생했다. 역대 최대 규모의 해킹 사건을 조사중인 일본 당국은 해커들이 동유럽 등 복수의 해외 서버 경유 가능성을 열어두고 있다.

국내 가상화폐 거래소도 해커에게 끊임없이 공격받고 있다. 2017년 4월 국내 가상화폐 거래소인 야피존(현 유빗)은 해킹으로 3,831 비트코인을 탈취당했다. 원화 가치로 따지면 약 55억 원 수준이다. 9월에는 거래소 코인이즈가 해킹으로 약 21억 원의 손해를 입었다.

가상화폐를 탈취당하진 않았지만 거래소 빗썸은 2017년 6월 해킹으로 3만 6,000명의 회원정보가 유출됐다.

해외에서도 지난 2011년부터 크고 작은 가상화폐 해킹 피해 사례가 30여 건이 넘는 실정이다.

◆ 블록체인 기술 쓰지 않는 가상화폐 거래소

서울 중구 가상화폐 거래소 빗썸 시세 전광판의 모습 (자료사진=이한형 기자)

가상화폐가 블록체인 기술을 이용한 것은 모두가 알고 있는 사실이다. 블록체인 기술은 거래에 참여하는 사람 모두가 내역을 공유해 해킹이 거의 불가능하다.

해커들이 먹잇감으로 노리고 있는 가상화폐 거래소는 블록체인 기술을 사용하지 않는다. 현재 대부분 가상화폐는 거래소라고 불리는 일종의 상점에서 거래되고 있다. 거래소는 거래하는 사람들에게 가상화폐를 보관하는 전자지갑을 만들어 준다. 거래자는 가상화폐를 자신의 컴퓨터에 가지고 있는 것이 아니라 거래소에 맡겨 놓은 셈이 된다.


가상화폐 거래소는 일정한 요건만 갖추면 누구나 설립할 수 있다. 사이트 보안이 낮아도 은행처럼 높은 수준을 강제할 수 없다. 아직 국내에서는 가상화폐 거래소에 대한 법적인 규제가 없기 때문이다. 해킹으로 피해를 당했더라도 법적 보상이 불가능하다.

덕분에 해커들은 보안성이 낮은 가상화폐 거래소를 골라 DDoS, 악성코드, 피싱, 스캠 등의 방법으로 해킹하고 있다.

◆ 몸값 급등한 가상화폐

미국 사이버 보안 업체인 체이널리시스(Chainalysis))의 2018년 1월 리포트 '가상화폐 범죄의 본질적 변화(The Changing Nature of Cryptocrime)'에 첨부된 가상화폐 해킹 피해 현황표. (사진=체이널리시스 보고서 캡처)

2018년 1월 현재 대규모 가상화폐 해킹 사례는 국내외를 통틀어 30여 건 이상이 된다. 대부분 가상화폐 거래소를 해킹한 것이다.

자료에 따르면 해킹, 스캠, 협박 등으로 탈취 당한 비트코인 규모가 2013년 300만 달러(32억 원)에서 2016년 9천500만 달러(1천13억 원)에 달해 32배로 늘어난 것을 알 수 있다. 2017년에도 약 9천만 달러가 탈취됐다.

사실상 공식적으로 확인된 첫 가상화폐 해킹은 2011년 6월에 발생했다. 당시 해커들은 윈도우 기반의 컴퓨터를 해킹해 하드디스크에 들어 있던 비트코인을 2만 5000개를 훔쳐갔다.

2011년 6월 13일 비트코인 포럼에 등록된 첫 해킹 피해 사례(사진=비트코인 포럼 캡처)

2011년만 하더라도 비트코인은 일부 사람들의 취미생활 수준이었다. 집에서 쓰는 평범한 컴퓨터로 채굴도 할 수 있었다. 관심도 적었고 가치도 낮았다. 당시 1비트코인의 가치는 약 1페니(약 10원) 수준으로 2만 5000개의 비트코인이 없어져도 피해 금액은 적었다.

시간이 가면서 비트코인 채굴이 점점 어려워지고 가상화폐 대한 관심이 높아지면서 가치가 급등하기 시작했다. 동시에 피해 금액은 눈덩이처럼 불어났다.

◆ 국내 가상화폐 거래소 대부분 보안 취약



눈덩이처럼 불어나는 가상화폐 규모에 비해 국내 거래소 보안 수준은 취약한 수준이다. 덕분에 가상화폐 거래소는 해커들의 손쉬운 먹잇감이 되고 있다.

더불어민주당 변재일 의원이 과학기술정보통신부와 한국인터넷진흥원으로부터 제출받은 자료에 따르면 국내 가상화폐 거래소의 보안 수준이 취약한 것으로 나타났다.

과학기술정보통신부와 한국인터넷진흥원은 20017년 9월부터 12월까지 우리나라 주요 가상화폐 거래소인 리플포유, 비즈스토어, 빗썸, 씰렛(코인피아), 야피안(유빗), 업비트, 이야랩스(EYA BIT), 코빗, 코인원, 코인플러그 등 10개사를 대상으로 보안취약점을 점검했다.

하지만 10곳 중 보안 점검 기준을 만족한 거래소는 단 한 곳도 없었다. 대부분의 거래소에서 망분리 및 시스템 접근통제 관리, 정보보호시스템(방화벽 등) 구축 수준이 미흡했다.

변 의원은 "국내 가상화폐 거래소의 연 수익은 1조 원이 넘어서는 것으로 추정되는데 반해 보안 수준은 심각할 정도로 취약하다"고 말하며 개선조치가 시급한 상황이라고 강조했다.

◆ 가상화폐 거래 시장에 개입 시작한 정부

가상화폐인 비트코인의 시세. 가격이 급등하던 비트코인 시세는 가상화폐 거래 실명제 이후 급락했다 (사진=빗썸 홈페이지 캡처)

가상화폐의 문제점을 지켜보던 정부도 1월 30일 부터 가상화폐 거래 실명제를 실시했다. 이제 가상화폐 거래소 이용자는 기존 가상계좌를 반납하고 실명확인 절차를 거친 후 새롭게 받은 가상계좌를 통해서만 거래할 수 있다.

가상화폐 거래 실명제로 대부분 종목은 폭락 후 하락세를 보인다. 장기적으로 거래 실명제가 가상화폐 투기 분위기를 잠재울 수 있을지 주목된다.

앞서 금융위원회는 지난 23일 가상화폐거래소 이용자가 하루 1000만 원 이상 거래하는 경우 등을 의심거래로 보고 금융정보분석원에 보고하도록 하는 등의 '가상통화 관련 자금세탁방지 가이드라인'을 마련해 시행하기로 했다.

가상화폐 거래 실명제 실시 이후 급락하고 있는 가상화폐 시세 (사진=빗썸 홈페이지 캡처)

실시간 랭킹 뉴스