(자료=국회 과기정통위 소속 신용현 의원실)
[디지털머니=장원주 기자] #. 지난달 23일 가상화폐 거래소 비트소닉에서 비정상적인 코인 출금과 OTP(일회용 패스워드) 인증 비활성화 현상이 포착됐다. 피해를 입었다고 주장한 사람은 본인이 OTP를 비활성화한 사실이 없는데 OTP 비활성화 메일이 왔고 자신의 가상화폐가 누군가에 의해 출금된 것을 확인할 수 있었다. 현재 이 같은 해킹 피해를 입었다는 이들은 수십명에 달한다.
보안과 개인정보보호를 생명으로 하는 가상화폐 시장이 해킹에 무빙한 것으로 나타나 대책마련이 시급하다는 지적이다.
기존 메모리 방식에서 탈피한 메모리끼리 연결되는 블록체인은 해킹이나 다른 외부적인 침입에 대해 보안이 강하다는 강점이 있다. 블록체인을 기반으로 하는 가상화폐 역시 해킹 방지와 조작을 할 수 없다는 점 때문에 초기 각광을 받았다.
하지만 지속적으로 가상화폐 거래소 해킹이 발생하고 있어 보안 기술에 대한 회의적 시각이 점점 짙어 지고 있다.
이에 국내외 가상화폐 거래소들은 경쟁적으로 보안 및 개인정보보호에 총력을 기울이고 있다. 보안에 취약하다는 점은 결국 투자자 및 시장의 불신으로 이어지기 때문이다.
■가상화폐 거래소, 3년간 해킹으로 1200억원 피해 발생 추정
1일 국회 과학기술정보방송통신위원회 소속 바른미래당 신용현 의원이 과학기술정보통신부로부터 제출받은 자료에 따르면 최근 3년간 가상화폐 취급업소에서 발생한 해킹사건은 총 8건으로 확인됐다. 이 가운데 암호호폐 유출 피해가 7건, 개인정보 유출 피해가 1건이다.
언론보도를 통한 경제적 피해 추정 규모는 약 1200억원에 달한다. 2017년 4월 발생한 해킹사고로 코인빈(야피존)은 약 55억원, 같은해 12월 일어난 사고로 유빗은 약 170억원의 경제적 피해를 본 것으로 추정됐다. 지난해 6월 코인레일 해킹사고 당시에는 약 500억원, 같은 달 빗썸 해킹사고 때는 350억원이 유출된 것으로 알려진다.
과기정통부 등에서는 일정 규모 이상의 가상화폐 취급업소에 대해 정보보호관리체계(ISMS) 인증의무를 부과하고 이행을 요청하고 있다.
하지만 빗썸의 경우 지난해 말 ISMS를 취득했음에도 불구하고 올해 3월 가상통화가 유출되는 해킹사고가 또 다시 발생해 ISM이 능사가 아니라는 점을 방증했다.
신용현 의원은 "빗썸처럼 ISMS를 받고도 해킹으로 인한 가상통화 유출 피해가 발생할 수 있다"며 "과기정통부 등 정부당국에서는 가상통화 취급업소에 대한 보안강화를 위한 대책을 강구해야 할 것"이라고 말했다.
■보안 강화만이 살 길..거래소들 너도 나도 기술 보안
가상화폐 거래소들은 보안 강화가 경쟁력 및 신뢰 확보라는 두 토끼를 잡는다는 인식 하에 치열한 기술력 경쟁을 펼치고 있다.
국내 최초로 금융권 수준의 개인방화벽, 키보드 보안 등을 적용했던 가상화폐 거래소 비트인은 거래소의 보안 강화, 편의성 개선 등의 UI(사용자 환경) 리뉴얼을 단행해 지난달 24일 오픈했다.
이번 리뉴얼을 통해 비트인은 기존 이메일 인증 방식에서 휴대전화 인증을 추가 연동함으로써 보안이 한층 강화했다. 아울러 2단계 보안 인증 절차까지 원스톱으로 이루어지도록 했다. 추가적으로 인증번호 발송 시에 UDM 방식을 구현해 해킹이 불가능에 가까운 환경으로 만들었다. UDM 방식은 모바일 환경에서 가장 안전하다고 알려져 있는 유심 내부에서 신호를 주는 방식을 의미한다.
이번 리뉴얼을 이끌었던 김도현 본부장은 "각종 해킹 등 보안 사고로 얼룩졌던 가상화폐 업계에서 고객의 디지털 자산을 최우선으로 보호한다는 비트인 거래소의 슬로건에 걸맞은 업데이트"라고 설명했다.
같은 날 가상화폐 거래소 비트레이드를 운영하는 블록체인컴퍼니도 거래소 UI 및 거래 편의성과 보안성을 강화하고 24일 리뉴얼 오픈했다.
비트레이드는 가상화폐 지갑의 개인키를 비트레이드의 핵심 보안 기술이 적용된 별도 저장소에 분리 보관해 이용자 자산을 안전하게 보호할 수 있다고 강조했다. 또 보이스피싱 등 금융 사고를 방지하기 위해 자동 출금 관리와 같은 차별화된 보안 시스템도 적용할 예정이다.
업비트의 경우 지난 8월부터 특정 조건의 로그인이 발생할 경우 고객들에게 카카오톡 알림톡 메시지를 발송해 업비트 계정 접근에 대한 보안 수준을 강화했다. 메시지 발송 조건은 △대한민국 외 국가에서 로그인 시 △가상사설망(VPN)을 통한 로그인 시 △의심스러운 IP 주소를 통한 로그인 시 등이다.
알림톡 메시지에는 모든 디바이스에서 즉시 로그아웃 할 수 있는 버튼을 추가했다. 본인이 아닌 로그인으로 확인되면 즉각 조치할 수 있다.
본인 로그인 이력 확인을 원하는 고객은 업비트 서비스 내 ‘내정보-회원정보-로그인 관리’ 페이지를 통해 로그인 일시와 운영체제 및 브라우저, 로그인 IP 등 상세하게 확인할 수 있다.
업계 관계자는 "현금이 오고 가는 가상화폐 거래소는 보안이 경쟁력이자 생명줄"이라며 "유저들의 유입 방안만 고민할 게 아니라 고도의 보안 강화 기술 개발에도 매진해야 한다"고 강조했다.
이어 "해킹 등 보안이 뚫리면 가상화폐 시장은 투자자들의 외면을 받을 수밖에 없다"며 "현재 조금씩 살아나고 있는 가상화폐 시장을 활성화하는 가장 기본은 보안"이라고 덧붙였다.
<저작권자> 디지털 세상을 읽는 미디어 ⓒ디지털머니 | 재배포할 때에는 출처를 표기해 주세요.