日도 5600억원 털렸는데… 한국 거래소 8곳 보안 '낙제'

조선일보

日도 5600억원 털렸는데… 한국 거래소 8곳 보안 '낙제'

기사입력2018.01.29 오전 3:12

 

[오늘의 세상] 가상화폐 日 최대거래소, 최악 해킹사고… 26만명 피해

 

해커, 8시간 걸쳐 '넴' 몽땅 빼가… 11시간이나 모른 '구멍가게 보안'

 

한국, 신고만 하면 누구나 운영… 가상화폐 보안 규정도 없어

"투자자, 열쇠도 없는 금고에 뭉칫돈 넣어두고 있는 셈"

 

 

전 세계적인 가상 화폐 열풍에 찬물을 끼얹는 초대형 사건이 발생했다.

 

일본 최대 가상 화폐 거래소 '코인체크(coincheck)'가 26일 해킹을 당하면서 고객들이 맡겨놓은 580억엔(약 5600억원) 상당의 가상 화폐를 탈취당했다. 피해자만 26만명에 이른다. 지난 2014년 일본 가상 화폐 거래소 마운트곡스에서 480억엔 상당의 가상 화폐가 도난당한 것을 뛰어넘는 역대 최악의 사고이다.

 

이번 사건은 가상 화폐 거래소가 기본적인 보안 수칙도 지키지 않은 것이 원인으로 드러났다. 가상 화폐 핵심 정보를 보관하는 서버(대형 컴퓨터)를 외부 인터넷망과 연결된 상태로 방치하면서 해커들이 마음대로 드나들 수 있게 했다는 것이다.

 

하루 거래액이 10조원을 넘나드는 한국 가상 화폐 거래소들의 보안 수준도 나을 게 없다. 방송통신위원회가 지난해 말 국내 주요 가상 화폐 거래소들을 대상으로 실시간 보안 점검에서 모두 낙제점을 받았다. 방통위는 당시 "거래 사이트만 열어놓고 기본적인 보호 조치조차 준수하지 않는 곳이 많았다"고 밝혔다.

 

◇블록체인 아닌 거래소 공격하는 해커들

 

코인체크는 26일 밤 12시 무렵 기자회견을 열고 "26일 새벽 가상 화폐 정보를 보관한 서버에 외부인(해커)이 침입해 고객 26만명의 계좌에서 가상 화폐인 '넴(NEM)' 5억2300만개(580억엔 상당)를 빼돌렸다"고 밝혔다. 코인체크는 피해액을 현금으로 보상하겠다고 밝혔지만 산케이신문은 "코인체크가 충분한 보상을 하지 못하거나 폐업할 가능성도 있다"고 비판했다.

 

가상 화폐의 기반이 되는 '블록체인(blockchain)' 기술은 수많은 사람이 함께 거래를 인증하고 복사본을 여러 곳에 저장하기 때문에 이론적으로 해킹이 불가능하다. 하지만 가상 화폐 거래소들은 거래 편의를 위해 자신들이 보유하고 있는 가상 화폐를 고객들에게 사고파는 식으로 거래한다. 블록체인 기술과 상관없는 일종의 가상 화폐 전용 인터넷 쇼핑몰을 만든 셈이다. 해커들은 이런 약점을 파고들고 있다.

 

이번에 해킹 피해를 입은 코인체크는 가상 화폐 '넴'과 관련한 모든 정보를 외부 인터넷망에 연결된 서버에 보관했다. 고객의 신상과 결제 관련 정보는 외부 인터넷망과 분리된 별도 서버에 보관하는 게 최소한의 보안 수칙인데도 제대로 지키지 않은 것이다. 여기에 코인체크는 26일 0시 2분 첫 해킹이 발생한 지 10시간이 지나도록 인지조차 못한 것으로 나타났다고 현지 언론들은 보도했다. 해커들이 첫 침입 이후 5차례에 걸쳐 넴5억개를 탈취하고, 이후 8시간에 걸쳐 나머지 2300만개를 빼돌릴 때까지도 전혀 몰랐을 정도로 보안 수준이 엉망이었다는 것이다. 와다 고이치로 코인체크 사장 스스로도 "(넴을) 인터넷과 분리해 운영하는 것에 기술적인 어려움이 있었고 인력도 부족했다"고 실토했다.

 

◇한국도 언제든 대형 사고 터질 수 있어

 

전문가들은 한국 거래소도 일본 거래소 못지않게 해킹 위험에 노출돼 있다고 지적한다.

 

일본은 지난해 4월 자금결제법 개정안을 시행하면서 거래소 등록을 의무화하는 최소한의 규제 장치를 두고 있지만 한국은 통신 판매 업체로 신고만 하면 누구나 운영할 수 있고, 별도의 보안 규정도 없다. 방송통신위원회가 지난해 10월부터 12월까지 국내 가상화폐 거래소들을 대상으로 실시한 보안 점검에서도 8곳 모두 미흡 판정을 받았다. 개인 정보 해킹을 막을 시스템이 아예 없거나 주요 정보를 백업하지 않은 것은 물론이고 코인체크처럼 인터넷과 연결된 서버에 고객 정보를 보관한 업체들도 적발됐다. 보안업계의 한 전문가는 "서버를 분리하는 것은 개인정보 보호에 가장 기본적인 원칙"이라면서 "투자자들로서는 열쇠 없는 금고에 돈을 넣어둔 셈"이라고 말했다.

 

소규모 인터넷 쇼핑몰 수준의 보안 시스템을 갖춘 거래소에 뭉칫돈을 맡기는 투자자들도 경각심을 가져야 한다는 지적도 있다. 이한상 고려대 경영대학 교수는 "현재 거래소를 통한 거래에서는 가상 화폐의 암호화 기반 기술이 적용되지 않기 때문에 거래소가 해커들의 집중 공략 타깃이 될 수밖에 없다"고 말했다. 이군희 서강대 경영학과 교수는 "가상 화폐가 제도권 밖에 있는 현 상황에서 거래소 해킹이 발생해도 투자자들이 보상을 받을 길이 전혀 없다"면서 "가상 화폐 거래 규모가 유가증권시장에 버금갈 정도로 커진 만큼 투자자 보호를 위한 규제도 논의할 때가 됐다"고 말했다.

 

[박건형 기자 defying@chosun.com] [임경업 기자]

[조선닷컴 바로가기]

[조선일보 구독신청하기]