바로가기 메뉴
본문 바로가기
대메뉴 바로가기

TECH M

암호화폐거래소 보안, 투자 늘었지만 우려는 여전

2018-02-25강진규 기자


비트코인 등 암호화폐 거래가 과열되면서 암호화폐를 둘러싼 다양한 우려가 제기되고 있다. 특히 전문가들은 보안 문제가 불거질 수 있다고 본다. 거래소가 해킹을 당해 개인정보가 유출되거나 최악의 경우 해킹으로 인해 거래소가 파산할 경우 막대한 피해가 발생할 수 있다는 것이다. 

실제로 2014년 일본 암호화폐 거래소 마운트곡스는 해킹으로 인해 85만 비트코인을 분실했다며 파산을 선고했다. 85만 비트코인은 1월 초 시세(1900만 원)를 기준으로 계산하면 16조 원에 달하는 막대한 금액이다. 국내에서도 비슷한 사례가 있었다. 2017년 12월 유빗거래소는 해킹을 당해 172억 원 상당의 피해를 당했다고 발표했다.

개인정보 유출로 인한 논란도 있었다. 2017년 6월 빗썸 거래소가 사이버공격을 당해 직원 PC를 통해 3만1000여명의 휴대전화번호, 이메일 등이 유출된 사건이 있었다. 범죄자들이 거래소 이용자 개인정보를 이용해 보이스피싱, 해킹 등 추가 범죄를 시도해 논란이 됐었다.

보안 강화 나선 거래소들

국내외에서 연이어 거래소 보안 문제가 불거지면서 거래소들도 자체적인 대응책을 마련하고 있다. 국내 5대 거래소로 꼽히는 빗썸, 업비트, 코인원, 코빗, 코인네스트 등은 가입 시 이메일 인증, 휴대폰 인증, 계좌번호 인증 등 다양한 인증을 시행하고 있다. 

또 거래 시 로그인 비밀번호와 거래 비밀번호를 따로 하는 2중 비밀번호를 두고 있었다. 이와 함께 고객들에게 거래 시 일회용비밀번호(OTP) 사용을 권고하고 로그인이나 거래가 이뤄질 경우 문자메시지와 이메일 등으로 내용을 통보하는 서비스도 제공하고 있다.

개별적으로 특화된 보안 강화 노력을 기울이는 곳들도 있다. 코인원은 보안업체 그레이해쉬(Grayhash)의 전문적인 보안 컨설팅을 적용했다. 그레이해쉬는 카카오뱅크 보안 강화에 기여한 보안업체다. 코인원은 모의해킹 등을 통해 구조적인 보안성을 점검하고, 발생 가능한 해킹에 대비하기 위한 전문적인 보안 컨설팅을 받았다.
또 SK인포섹이 제공하는 금융기관 수준의 전문적인 보안관제 서비스를 도입했다. 이를 통해 실시간으로 코인원의 시스템을 점검하고 보안 관제 및 위험 모니터링 시스템을 제공받고 있다.

빗썸은 고객들이 직접 자신의 접속정보를 확인할 수 있도록 서비스를 제공하고 있다. 접속정보를 통해 고객들은 접속 위치, 접속 시간 등을 확인해 다른 사람의 접속 여부를 확인할 수 있다. 또 빗썸은 400명의 직원을 신규 채용해 화제를 모았는데 보안 전문인력도 충원해 보안을 강화할 방침이다. 빗썸은 만약의 사고에 대비하기 위해 개인정보 피해 보장보험에도 가입했다. 이밖에도 빗썸은 개인정보 보호 캠페인을 벌이는 등 보안을 강화하고 있다.

카카오가 지분을 보유한 두나무가 운영하는 업비트 거래소는 카카오페이 인증을 거래소 인증에 적용해 보안성을 높이고 있다. 카카오페이 금융서비스에 이용되는 인증을 적용해 보안을 강화했다는 것이다. 또 업비트는 24시간 보안 시스템으로 모니터링을 강화하고 있다.

코빗은 로그인 보안을 특히 강화했다. 가짜 사이트로 접속을 막기 위해 로그인 시 진짜 주소를 확인할 수 있도록 하고 있다. 또 자동화 도구에 의한 로그인 접속을 막기 위한 기능도 첨부했다. 고객들에게 파밍으로 인한 가짜 사이트 방문을 막기 위한 가이드도 제공하고 있다. 

성장 속도 걸맞은 보안 투자 미흡

거래소들의 보안 강화 노력에도 불구하고 불안감은 여전하다. 암호화폐를 거래하는 30대 직장인 A씨는 “암호화폐를 거래해봤는데 돈이 오고가는 것인데 계좌이체나 주식거래와는 달라서 이렇게 해도 되는 것인지 솔직히 걱정이 된다”며 “개인적으로 보안에 신경을 쓰고 있지만 거래소가 해킹을 당해 파산되는 것이 두려운 것이 사실”이라고 말했다.

보안업계 관계자 B씨도 “암호화폐 거래소에서 거래량이 급격히 늘고 있는데 그에 맞춰 시스템, 보안 역량이 강화되고 있는지 솔직히 의문”이라며 “거래소들이 보안 인력을 채용하려고 노력하고 있지만 갑자기 많은 인력을 증원하는 것이 현실적으로 어려울 것”이라고 설명했다.

이같은 우려가 기우만은 아니라는 지적이다. 지난해 12월 21일 한국인터넷진흥원(KISA)은 10개 암호화폐 거래소를 점검한 결과를 공개했다. KISA에 따르면 10개 거래소 대부분이 접근통제장치 설치·운영, 개인정보의 암호화 조치 등의 관리적·기술적 보안조치가 전반적으로 미흡한 것 나타났다. 또 대부분의 거래소가 제대로 된 보안체계를 갖출 여력도 없이 급격히 거래규모가 성장해 해커의 공격위협에 노출돼 있는 상황이다.

이에 KISA는 거래소를 대상으로 한 사이버공격에 대비해 거래소가 제공하는 서비스 전반에 대한 취약점 점검을 실시하고 홈페이지 취약점 점검 도구를 무료 배포하는 등 보안 강화를 지원하고 있다. 빗썸, 코인원, 코빗, 업비트 등 의무 대상 거래소를 중심으로 정보보호관리체계(ISMS) 인증을 받는 것도 권고할 방침이다.

거래소 점검을 진두지휘했던 이동근 KISA 침해사고분석단장은 거래소들이 금융권 수준으로 보안을 강화해야 한다고 지적했다. 이동근 단장은 “은행 등 금융권에서 접근통제, 망분리 등 다양한 보안 대책을 적용하고 있다”며 “거래소 역시 돈이 관련된 만큼 앞으로 금융권 수준으로 보안을 강화하는 방향으로 가야한다고 본다”고 말했다.

그는 또 “거래소 보안은 서버만 잘 지킨다고 되는 것이 아니고 사용자들도 주의해야 한다”며 “사용자들은 은행 거래를 하는 것만큼 신경을 써야 한다. 아이디, 비밀번호, OTP 등이 유출되지 않도록 주의해야 하며 보이스피싱으로 인해 정보를 알려줘서는 안 된다”고 설명했다. 

전문가들은 거래소들이 보안 수준을 높이고 피해 발생 시 보상 방안도 마련해야 한다고 지적했다. 유진호 상명대 지식보안경영학과 교수는 “솔직히 그동안 (거래소들이) 보안 인식이 부족했다. 거래소에서 보안인력들을 더 뽑는다고 하는데 이제는 필수적으로 정보보안책임자를 임명하고 보안조직을 운영해야 한다”며 “또 거래소들이 어떻게 보안을 하고 있는지 고객들에게 투명하게 공개해야 한다”고 지적했다.

그는 또 “만약 해킹을 당했을 때 대비책도 마련해야 한다”며 “거래소들이 개인정보 유출과 해킹에 대해 각각 명확히 보험에 가입을 해야 한다. 보험과 위험 보장 내역도 고객들에게 투명하게 공개돼야 한다”고 말했다. 

[테크M = 강진규 기자(viper@techm.kr)]

<본 기사는 테크M 제58호(2018년 2월) 기사입니다>