암호화폐 거래소가 취약한 보안 수준으로 해커 먹잇감이 되면서 피해 규모도 눈덩이처럼 불어났다. 지난해부터 올해까지 피해액을 합치면 1100억원이 넘을 것으로 추산된다.
조원진 대한애국당 국회의원이 경찰청으로부터 제출받은 '최근 3년간 가상통화 거래소 해킹 피해 현황 및 조치내역'에 따르면 2016년 이후 7번의 해킹사건이 발생했다. 7번의 공격으로 부정인출된 금액만 무려 1121억원에 달한다.
암호화폐 거래소를 겨냥한 해킹 공격은 2016년 리틀포유가 3억원의 피해를 입은 사건을 제외하면 모두 지난해와 올해 몰렸다. 최근 2년 사이에만 총 1118억원의 피해가 발생한 것이다. 지난해 4월 야피존을 시작으로 6월 빗썸, 9월 코인이즈, 12월 유빗까지 해킹 공격을 당했다. 이어 올해 6월 일어난 코인레일과 빗썸의 해킹사건에서는 건당 피해액이 더 커지는 모습을 보였다. 경찰과 관련 업계에서는 일련의 공격 중 상당수가 북한 소행으로 추정한다.
공격자들이 이렇듯 암호화폐 거래소를 집중적으로 노린 이유는 간단하다. 돈이 되는데 뚫기는 쉬웠기 때문이다. 암호화폐 열풍이 불면서 급격히 자금이 유입됐지만, 대부분 스타트업이나 중소기업으로 출발했기에 정보보안 조치는 미흡한 상황이다. 암호화폐의 익명성으로 자금세탁이 비교적 용이하다는 점 또한 공격자들의 구미를 당겼다. 해킹 추적도 어렵고 피해보상 관련 제도도 미비하다.
문종현 이스트시큐리티 이사는 “북한은 국제사회의 지속적인 금융제재로 외화수입이 고갈되면서, 암호화폐 거래소, 금융기관 관계자를 집중 공략했다”면서 “공격자는 외화벌이 등 금전적 목표가 뚜렷하고, 특정 수익이 달성될 때까지 APT 공격을 꾸준히 수행한다. 보안위협이 노출된 곳을 중심으로 해킹 피해가 연달아 보고되는 양상을 띤다”고 설명했다.
공격자는 주로 네트워크 연결 상태에서 실시간 거래가 이뤄지는 핫월렛(hot wallet)을 공격해 이용자 개인키를 탈취했다. 내부로 침투해 목표에 접근하는 데는 사회공학적 기법도 적극 악용했다. 해외로 우회해 국내 포털사이트 계정을 생성하고, 위·변조한 공문서나 업무서류에 악성코드를 심어 메일을 보내는 식이다. 관심 가질만한 이슈를 언급하고 도용한 신분증을 내걸며, 문서 파일도 hwp와 doc를 함께 첨부하면서 수신자를 현혹시킨다.
암호화폐 거래소의 해킹 피해가 잇따르면서 은행이나 증권과 같은 금융업 수준의 보안 조치를 갖추도록 규제해야 한다는 목소리도 높다. 지난달 이상민 더불어민주당 국회의원 주최로 열린 '암호화폐의 폐해 극복대응 및 혁신전략' 세미나에서는 FDS(이상거래탐지시스템) 적용이 대표적인 방안으로 거론됐다. 데이터를 기반으로 비정상적인 거래를 실시간으로 파악해 즉각적인 조치를 취함으로써 피해를 줄일 수 있다는 주장이다. 업계의 입장은 아직 엇갈린다.
한 정보보안업계 관계자는 “암호화폐 거래소의 법적 지위가 모호해서 FDS 적용 의무화 등의 조치를 금융업과 같이 일괄 적용하기에는 무리가 따를 수 있다. 아직 암호화폐 자체도 통화로서 입지가 명확하지 않다”면서 “요즘 들어 ISMS 인증을 받은 곳이 하나둘 등장하는 등 전반적으로 보안이 강화되고 있지만, 여전히 대다수 거래소들의 보안 수준은 좋다고 할 수 없다. 기업으로서 갖춰야 할 기본적인 보안 조치부터 선행될 필요가 있다”고 지적했다.
팽동현기자 paing@etnews.com
