[전선익의 재팬톡!] 해커가 본 가상화폐 해킹은 "보안 수칙 안 지킨 인재"

- [재팬톡 외전: 코인톡!] 가상화폐 붐을 파헤쳐 보자.③
- 日 사상 최악의 ‘코인체크’ 5600여억원 해킹 사건
- 화이트해커 출신 美 스티브 배시(Steve Bassi) 폴리스웜 CEO 인터뷰
- 왜 거래소 해킹 사건은 끊이지 않는가?
- 투자자들이 지켜야 할 안전 수칙은?
- 체계화 되는 일본의 가상화폐 시장

기자회견하는 코인체크 와다 고이치로(和田晃一良) 사장 /사진=마이니치신문 스샷

【도쿄=전선익 특파원】“기술적인 어려움과 인력 부족으로 피해를 끼쳐 죄송합니다.”
검은 정장에 검은 넥타이를 하고 26일 심야 기자회견장에 등장한 와다 코이치로 ‘코인체크’ 거래소 사장은 숙연해 보였습니다. 그의 굳은 표정에서 사태의 심각성이 바로 전해졌습니다.

일본의 가상화폐 거래소 코인체크는 580억엔(한화 약 5710억원) 상당의 ‘NEM’을 해킹당해 도둑맞았습니다. 역대 최악의 사고로 기록될 이번 해킹 사건은 거래소의 보안시스템이 얼마나 취약한지를 여실히 보여줬습니다.

코인체크가 그나마 잘한 것은 재빠른 수습인 것 같습니다.

코인체크는 사과 기자회견과 함께 가상화폐 NEM을 도둑맞은 피해자 약 26만명 전원에게 약 460억엔(약 4529억원) 보상을 약속했습니다. 구체적인 보상 시기와 절차는 아직 밝혀지지 않았지만 수습 능력만은 칭찬해야 할 것 같습니다.

일본 가상화폐 거래소 관계자는 “코인체크가 한 번에 보상하려한다면 코인체크는 파산신청을 하게 될 것”이라며 “순차적으로 일정부분의 보상금을 제시할 것”이라고 말했습니다.

일본의 투자자들은 끊이지 않는 거래소 사고에 불안해하면서도 내심 안심하는 분위기입니다. 일본의 한 투자자는 “가장 안전해야 할 가상화폐 거래소가 연일 해킹을 당하고 있는데 왜 대비책을 만들지 않는지 모르겠다”며 “하지만 피해를 보상해 준다는 거래소 측의 입장 발표와 발 빠른 금융청의 대응능력을 보니 이제는 어느 정도 제도권에 안착한 것 같아 안심이 된다”고 말했습니다.

거래소 해킹사건은 이번이 처음이 아닙니다. 일본의 마운트콕스 사건(2014년, 피해액 480억엔)을 시작으로 홍콩의 빗피넥스(2016년, 7200만달러), 한국의 유빗(2017년, 170억원) 등 매년 굵직한 해킹 사건이 하나씩 터지고 있습니다. 마운트콕스와 유빗은 해킹 사건이후 피해자들에게 배상도 하지 못한 채 파산신청을 하고 문을 닫아야 했습니다.

스티브 배시(Steve Bassi) 나프인더스트리즈 & 폴리스웜 CEO /사진=fnDB

거래소 해킹사건은 왜 끊이지 않고 일어나는 것일까요? 미국의 유명 정보보안업체 ‘나프 인더스트리즈(Narf Industries)’와 ‘폴리스웜(Polyswarm)’의 스티브 배시(Steve Bassi) 대표에게 물었습니다. 그는 화이트해커 출신으로 미국 정부와 국방부 산하 ‘방위고등연구계획국(DARPA)’에서 정보보안(Information Security) 업무를 진행한 경험이 있는 전문가입니다.

배시 대표는 “거래소들은 다량의 가상화폐를 보관하고 있고 바로 전송이 가능하게 시스템이 잡혀 있어 해커들의 좋은 먹잇감이 되고 있다”며 “사람이 24시간 지키고 있는 일이 아니기에 위험할 수밖에 없다”고 말했습니다. 이어 “거래소는 종종 유동성의 문제로 고객들의 가상화폐를 핫월렛(Hot Wallet)에 보관하는데 핫월렛은 온라인에 연결돼 있어 해커들에게 노출될 가능성이 높다”고 강조했습니다.

실제로 이번 코인체크 해킹 사건도 거래소가 고객들의 NEM을 핫월렛에 보관해 벌어진 일입니다. 코인체크가 콜드월렛(Cold Wallet, 인터넷이 단절된 지갑 스토리지)에 보관한 비트코인과 이더리움 등의 가상화폐는 해킹으로부터 안전했습니다.

배시 대표는 “해커들이 거래소를 해킹함으로써 얻는 수익이 대단하다는 것을 알기 때문에 해킹수법이 날로 정교해지고 있다”며 “거래소들이 보안에 더욱 투자를 해야 한다”고 말했습니다.

그는 “거래소가 유동성 때문에 핫월렛에 일정부분의 가상화폐를 저장해야 한다면 동일한 네트워크에서 이메일이나 트랜잭션 관리 작업 등을 절대 하지 말아야 한다”며 “이것은 기본 중에 기본”이라고 강조했습니다.

배시 대표에게 투자자들에게도 조언을 해달라고 부탁을 하자 “투자자들 역시 트레저(Trezor)와 같은 하드웨어 월렛(Hardware Wallet)을 사용하는 것이 좋다”며 “꼭 정품을 취급하는 매장에 가서 사야 안전하다”고 충고해 줬습니다. 중고(Open Box Item)제품을 사거나 정품 매장이 아닌 곳에서 살 경우 해킹의 위험이 있기 때문입니다.

이어 “컴퓨터 하나를 정해놓고 거기서만 가상화폐 지갑에 엑세스하는 것이 좋다”며 “2차 인증 보안과 SMS 인증 등도 꼭 설정해 놔야 한다”고 강조했습니다. 구글 계좌가 있다면 구글 어드밴스 프로텍션(Google Advance Protection)을 사용하는 것도 좋다고 귀뜸해줬습니다.

아울러 최근에는 교묘한 피싱사이트들도 늘고 있어 자신이 거래하는 거래소나 온라인 지갑 등은 꼭 북마크 링크로 저장해 들어가는 것이 안전하다고 보충 설명도 해줬습니다.

일본 가상화폐 거래소 코인체크 홈페이지 /사진=코인체크 홈페이지 스샷

세계에서 가장 안전한 기술이라 칭송받는 블록체인. 이번 사건은 아무리 뛰어난 기술이라도 결국 그것을 사용하는 것은 사람이라는 사실을 증명한 사건이 아닌가 싶습니다.

일본은 지난 2017년 4월 개정법 시행으로 가상화폐 거래소가 등록제로 바뀌었습니다. 코인체크는 등록 심사 중이었던 업체로 자산의 안전 관리 등에 대한 심사를 받고 있던 중이었습니다. 금융청은 코인체크의 안전 관리를 지적하고 승인을 보류하고 있던 상황이었다고 합니다. 코인체크는 개정법 시행 전인 2012년 8월 창업됐기에 ‘간주업자’로 분류돼 심사 중이어도 운영을 할 수 있었습니다.

이번 사건은 참 많은 것을 느끼게 해줬습니다. 수천억에 달하는 자산을 운영하는 거래소들의 취약한 보안 수준에 경악을 금치 못하면서 피해가 보상되려 하는 일본의 체계가 참 안정적이라는 생각이 들었습니다.

투자자들의 안전을 위해 발 빠르게 법을 만들고 꾸준히 노력한 일본 정부의 노력이 아닌가 싶습니다. sijeon@fnnews.com 전선익 기자