블록체인(Blockchain)에 기반하여 생성된 암호화폐(Cryptocurrency)는 그 기술적 특성상 해킹이 불가능하다고 알려져 있습니다. 그렇다면 다음과 같은 수많은 암호화폐 해킹 관련 뉴스는 어떻게 보아야 할까요?
- 日최대 가상화폐 거래소 ‘코인체크’ 해킹…피해규모 5659억원 추정
- 가상화폐 거래소 또 해킹…이탈리아서 1천800억원 무단인출
- 가상화폐 거래소 ‘유빗’ 또 해킹…파산 절차 진행
- 미국 가상화폐 거래소, 이더델타 해킹…가상화폐 거래소 공격 긴장고조 – 전자신문
1. 분산화된 원장(Ledger) vs. 중앙화된 거래소(Exchange)
암호화폐 그 자체는 분산원장 형태로 수많은 노드(컴퓨터)에 복사본으로 저장되어 있기 때문에 사실상 모든 복사본을 해킹하기란 불가능에 가깝습니다. 하지만 암호화폐의 거래를 담당하는 거래소(Exchange)는 이와는 달리 중앙에서 사용자의 계정과 암호화폐 지갑 정보를 보관하고 있습니다. 따라서 거래소의 암호화된 데이타베이스만 해킹할 수 있다면 쉽게 고객의 계정에서 암호화폐를 인출해 갈 수 있는 것입니다.
2. 거래소 해킹 문제, 어제 오늘의 일이 아니다
거래소 해킹 사건은 어제 오늘의 일이 아닙니다. 최초로 거래소 해킹 문제가 처음으로 크게 불거진 것은 2014년 일본의 마운트 곡스(Mt. Gox)해킹 사건이었습니다. 당시 세계 최대 규모의 거래소였던 마운트 곡스에서 시가 5억달러어치에 해당하는 비트코인이 해킹당했습니다. 이 사건으로 인해 마운트 곡스는 파산했으며 다른 수많은 거래소들에게 좋은 방향이든 나쁜 방향이든 선례를 남기게 되었습니다.
그 후로도 거래소 해킹은 끊이지 않았으며 최근의 사례만 보더라도 지난 해 한국의 거래소인 유빗, 빗썸 등이 해킹당했고, 올해 들어서만 이탈리아의 BitGrail과 일본의 CoinCheck에서 대량의 알트코인이 해킹당하는 사건이 일어났습니다.
3. 거래소 해킹, 대책은 없는 것인가?
사실 이러한 거래소 해킹은 이미 예견된 일이었다고 보는 시각이 많습니다. 일본의 CoinCheck만 하더라도 유명 거래소에서는 이미 기본으로 사용하고 있는 보안 수칙을 지키지 않아서 생긴 사건이라는 지적이 나오고 있습니다.
거래소 보안에 관련해서는 여러 가지 보안 시스템이 준비되어 있으며 이러한 보안 시스템을 철저히 지키고 있는 거래소의 경우에는 수많은 공격에도 불구하고 실제 해킹으로 연결되는 사고는 발생하지 않았습니다.
거래소 해킹을 방지하기 위한 보안책으로는 다음과 같은 것들이 있습니다.,
Cold Wallet – 인터넷과 분리된 별도의 서버에 저장된 지갑에 코인을 저장하는 방식입니다. 콜드 월렛에 저장된 코인은 즉각적인 외부 인출이 불가능하게 설계되어 있으므로 해킹이 사실상 불가능하며 설사 내부자에 의해 해킹이 되더라도 지정한 시간내에 발견되면 외부 인출 이전에 차단할 수 있습니다. 안전한 거래소들은 일정액 이상의 자금을 반드시 콜드 월렛에 저장해 두는 것을 원칙으로 하고 있습니다.
MultiSig – 여러 개의 사인을 거쳐야 인출이 가능한 방식으로 한 사람의 아이디와 비밀번호만 가지고는 해킹이 불가능하도록 하는 방식입니다.
DDos Protection – Ddos 공격은 여러 대의 좀비 PC로 하여금 순간적으로 무차별적인 접속을 시도하여 서버가 다운되도록 한 다음 이 때 발생한 틈을 통해 서버를 해킹하는 방식입니다. 역시 보안이 철저한 거래소는 DDos에 대한 방지 솔루션을 운영하고 있습니다.
4. 거래소 보안에는 규제가 필요하다.
사실상 해킹을 방지하기 위한 수많은 방법들이 사용되고 있고 이들 대부분의 방법들이 제 역할을 하고는 있지만 여전히 여기 저기서 해킹 사고가 발생하는 것은 수많은 암호화폐 거래소들이 규제 없이 자발적으로 성장한 태생적 한계를 지니고 있기 때문으로 보입니다.
즉 아무도 규제하지 않는 환경 속에서 거래소를 운영하다보니 보안에 들이는 비용보다는 눈앞의 이익이 앞서 정작 반드시 지켜야 할 보안 수칙이 제대로 지켜지지 않았다는 지적입니다. 최근 한국에서 사단법인블록체인협회가 창립되고 자율 규제안을 마련하고 있는 것도 이러한 노력의 일환으로 보입니다. 늦었지만 한국 정부의 금융감독원이 바람직한 규제 방향을 설정한 것도 환영할만한 일입니다.
5. 해킹 방지를 위한 개인의 역할은 무엇인가?
거래소는 기본적으로 개인의 자산을 위탁해서 관리하는 곳이기 때문에 개인이 할 수 있는 일은 비밀번호를 잘 관리하고 2FA(2 factor authentication)를 사용하여 거래소 계정 접근 권한을 안전하게 확보하는 것입니다. 하지만 거래소 자체의 부실로 인한 손해는 개인이 미리 방지할 수 있는 일이 아니므로 가급적이면 이름있고 보안 관리가 충실하다고 알려진 거래소 위주로 사용하는 것 또한 중요합니다.
장기적으로 보관하거나 액수가 큰 코인을 보관하는 경우에는 거래소에 코인을 그대로 두는 것보다는 (거래소에서 제공하는 경우) 콜드 월렛을 사용하거나, 자신이 직접 개인 월렛을 설치하여 관리하는 방법이 권장됩니다.
단 개인 월렛은 거래소에 코인을 보관하는 것보다 훨씬 안전하기는 하나 충분한 보안상식이 없거나 월렛 관리 지식이 없는 경우에는 교묘한 피싱에 의해 탈취될 수도 있으므로 충분한 공부와 철저한 이해를 전제로 해야 소중한 자산을 안전하게 보호할 수 있습니다.
다음 글에서는 개인 지갑의 이용과 이에 따른 보안 수칙에 대해 설명하도록 하겠습니다.
좋은 글 감사합니다.