스피어피싱에 사상누각된 암호화폐거래소...KISA, 코인레일 실태 조사 착수

English Translation
ⓒ게티이미지
ⓒ게티이미지

지난해 발생한 빗썸, 유빗 해킹 사태에 이어 업계 7위 암호화폐거래소 코인레일까지 해킹 피해가 발생하면서 비트코인을 비롯한 주요 암호화폐 가격이 줄줄이 폭락했다.

일각에서는 일본처럼 정부가 모든 거래소 대상으로 긴급 실태 조사를 해야 한다는 주장까지 제기됐다.

해킹 피해 발생 후 소비자 보상 대책 근거도 불명확, 암호화폐 가격 급락을 부추기고 있다.

11일 업계에 따르면 거래소 코인레일 해킹 피해 발생 후 세계 암호화폐 가격이 10% 안팎으로 폭락했다.

코인레일이 보유한 암호화폐 지갑에서 펀디엑스, 엔퍼, 애스톤, 트론, 스톰 등 암호화폐 9종 약 36억개가 40분에 걸쳐 인출됐다. 해킹 당한 암호화폐 시세는 대부분 개당 수십원으로, 모두 합하면 400억원대 규모로 추산된다. 이미 시장에 해커가 탈취한 코인 상당량을 매각한 정황이 속속 드러나고 있다.

그러나 연이은 거래소 해킹 사태가 불거져도 정확한 피해 보상 근거와 원인 규명이 되지 않아 소비자 혼란만 가중되고 있다.

보안업계는 빗썸, 유빗, 코인레일 해킹 사례 모두 '스피어피싱'에 당했을 확률이 높다고 추정했다.

스피어피싱은 작살로 물고기를 잡듯 특정인을 표적으로 삼아 지속 공격하는 수법이다. 암호화폐거래소 직원, 회원을 표적으로 악성코드가 담긴 이메일을 보낸다. 해커는 한글과컴퓨터 HWP 문서와 마이크로소프트 DOCX 문서 등의 취약점을 활용한다. 해커는 공문서·이력서 등을 위장해 공격을 시도하고, 암호화폐거래소 직원 한 명이라도 해당 메일을 열면 감염된다. 공격자는 감염된 계정을 이용해 다른 팀이나 동료에게 업무를 위장한 2차 공격을 가해 내부 시스템에까지 침입한다. 이를 통해 개인 키를 탈취하거나 내부 암호화폐 데이터베이스(DB)를 변조, 자산을 탈취한다.

코인레일 해킹 피해도 유사한 정황이 발견된 것으로 알려졌다. 실제 이달 초 북한 공격자로 추정되는 조직으로부터 암호화폐거래소 회원, 임직원을 겨냥한 해킹 메일이 발송된 바 있다.

보안업체 고위 관계자는 “코인레일에 대한 직접 해킹 시도는 발견되지 않았지만 최근 다른 암호화폐거래소 회원을 노린 공격이 감지됐다”면서 “정확한 원인은 조사해 봐야 알겠지만 스피어피싱은 동시다발로 해킹을 시도한 후 해킹에 성공한 곳을 집중 공략하는 특성이 있는 만큼 해당 가능성을 배제하기 어렵다”고 말했다.

코인레일은 10일 사건 발생 후 한국인터넷진흥원(KISA)에 해킹 피해 사실을 신고한 것으로 확인됐다. KISA는 신고 접수 후 조사단을 파견, 실태 조사에 들어갔다. 조사 결과는 앞으로 관계 부처 등과 협의해 발표할 예정이다. 최종 결과 발표까지는 최대 약 3개월 소요될 것으로 전망된다.

암호화폐 거래소 약관 변경
암호화폐 거래소 약관 변경

한편 해킹 피해로 인한 소비자 배상 문제도 논란이 될 것으로 보인다.

코인레일은 해킹 사건 20여일 전에 소비자 손해 배상 관련 약관을 변경했다. 약관 제20조(손해배상 및 특약) 부분에서 '회원이 회사에게 본 조에 의하여 손해의 배상을 청구할 경우, 회사는 회원의 의사와 관계없이 회원이 최종적으로 보유한 것으로 확인되는 전자지갑 내 가상화폐 또는 KRW 포인트를 지급하는 방법으로, 회원의 손해를 배상할 수 있습니다'라고 명시한 4항을 삭제했다. 이후 5월 말에는 '회사의 고의 또는 과실로 인해 발생하지 않은 손해에 대하여는 책임을 부담하지 않는다. 어떠한 구체적인 사항에 관련하여 본 약관에 명시되지 않은 어떠한 구체적인 사항에 대하여도 약정이나 보증을 하지 않습니다'라고 이용 약관을 변경했다. 일각에서는 거래소 지갑과 해커 지갑 등 코인 이동 경로를 추적하면서 '자작극' 가능성도 배제하지 않은 것으로 감지됐다.

코인레일은 약관 삭제 및 변경과 관련해 “사실이 맞다”고 인정하면서도 “이번 해킹 사건과 관련해서는 어떤 배상이나 책임 범위 등이 결정된 것은 없다”고 밝혔다.

암호화폐거래소의 불공정 약관 문제는 전부터 꾸준히 제기됐다. 공정거래위원회는 4월 암호화폐거래소 12곳에 대해 불공정 약관 조항을 발견하고 시정을 권고했다. 당시 코인레일 운영사인 '리너스' 역시 입출금 제한 조항과 일반 면책 조항 등을 시정 권고 받았다.

길재식 금융산업 전문기자 osolgil@etnews.com, 박정은기자 jepark@etnews.com, 정영일기자 jung01@etnews.com