“빗썸은 빙산의 일각” 해커 모이는 가상화폐 거래소 ‘시한폭탄’
[디지털데일리 최민지기자] 국내 최대 비트코인 거래소 ‘빗썸’에서 발생한 개인정보 유출 사건 파장이 점차 커지고 있다. 해커들의 공격에 상당히 노출돼 있지만, 보안문제부터 피해자 구제까지 모두 사각지대처럼 방치돼 있는 실정이다.
보안전문가들은 이번 빗썸 사건을 ‘빙산의 일각’이라고 평가하고 있다. 해커들은 가상화폐 거래소에 대한 공격을 꾸준히 늘려오고 있다. 비트코인 등 가상화폐를 통해 금전을 취득하면서 추적까지 불가능하다는 점을 악용할 수 있기 때문이다. 사용자 계정 탈취뿐 아니라 직접적인 거래소 공격까지 이뤄지고 있다.
이번 빗썸 개인정보 유출도 거래소를 노린 공격이다. 단순히 한 개인의 계정을 털어 금전을 취득한 것과 달리, 내부 직원의 자택에 있는 개인용PC 내에 있는 3만여명의 회원정보를 탈취했다. 이후 비트코인이 사라지는 등 금전적 피해부터 보이스피싱까지 회원들의 항의가 쏟아지고 있다. 이에 방송통신위원회·한국인터넷진흥원을 비롯해 경찰 및 검찰까지 나서 수사에 한창이다. 빗썸도 개인정보 유출 피해를 입은 회원들에게 10만원씩 보상키로 했다.
보안업계 관계자는 “가상화폐 거래소는 시한폭탄이나 마찬가지로, 조만간 해커들의 공격으로 인해 폭탄처럼 터질 것”이라며 “이미 공격정황이 보이고 있으며, 빗썸뿐 아니라 다른 거래소도 모두 해커들의 대상”이라고 말했다.
◆공격은 또 온다…피해자만 울상=지난해 국내 비트코인 거래액만 7조원에 육박하고 있다. 가상화폐에 대한 뜨거운 관심의 방증이다. 가상화폐가 부상하고 있지만, 투기 및 범죄적 성격도 강하다. 투기 과열로 가상화폐로 돈이 모이고 있는 동시에, 추적이 어렵다는 점 때문에 돈 세탁부터 해커들의 금전 취득 수단으로도 악용된다.
앞서, 지난 4월에는 비트코인 거래소 야피존이 해킹을 당해 거래소에 보관 중인 코인지갑 4개를 탈취당했다. 피해규모는 3831비트코인으로, 당시 약 55억원에 해당한다.
범죄자들이 활개 치기 좋은 환경이라는 것. 최대 비트코인 거래소였던 마운트곡스는 사상 초유의 해킹사태가 벌어졌다며 2014년 2월 파산했다. 그러나 당시 일본 경시청은 비트코인 해킹이 마운트곡스 최고경영자의 자작극으로 판단, 비트코인 잔액을 조작한 혐의로 체포했다.
보안업계 관계자는 “해킹으로도 거래소를 파산시킬 수 있다”며 “거래소 직원들이나 가입된 사람들의 계정을 해킹하면 서버를 노리지 않아도 내부 정보를 수집해 악의적 목적으로 활용하고 있고, 보이스피싱 등 다양한 범죄조직이 가상화폐로 모이고 있다”고 설명했다.
이어 “비트코인이 블록체인으로 인해 구조적으로 안전하다고 말하지만, 거래소를 통한 공격기법에는 속수무책”이라며 “앞으로도 연쇄적으로 보안사고가 발생할 것”이라고 덧붙였다.
또다른 보안업계 관계자는 기존에 국내에서 인터넷뱅킹 파밍하던 중국 해커조직이 가상화폐 거래소를 파밍해 정보를 가로챈 후 금전을 탈취하는 사태가 발생할 수 있다고 주의를 요청했다. 이들 조직은 수익적 목적으로만 움직이는데, 인터넷뱅킹보다 보안상태가 취약한 가상화폐 거래소로 시선을 돌릴 수 있다는 것이다.
◆“거래소 보안부터 재정비해야”=범죄자들은 가상화폐 거래소를 향해 모이고 있지만, 현재 거래소들의 보안상태로는 이를 막기에 역부족이라는 지적도 제기된다.
현재 거래소들이 보안 시스템을 재정비하고 관련 인력을 충원하려는 노력을 하고 있지만, 기존 금융권 보안수준에는 미치지 못하고 있다.
이 관계자는 “거래소들의 보안상태는 생각보다 허술한 곳이 많다”며 “ISMS 인증이나 모의해킹도 하지 않고, 일반 사이트 수준에 불과하기 때문에 해커들이 마음만 먹는다면 충분히 뚫을 수 있다”고 우려했다.
이번 빗썸의 경우도 직원의 개인용 PC에 회원정보를 저장했다는 점부터 보안상태가 낮다는 것을 보여준다.
이번 사태로 가상화폐 거래소를 제도권에 넣어야 한다는 의견도 나오고 있다. 거래소에 대한 보안을 검증할 수 있는 방안이 마련되면 사용자들의 정보와 금전이 좀 더 안전하게 보관할 수 있게 된다.
현재 가상화폐는 금융당국의 관리대상도 아니고, 현재 전자금융거래법상에 비트코인은 공식적인 지급수단으로 인정받지 못하고 있다. 이에 피해자들의 지갑에서 비트코인 등이 사라져도 제대로 된 보상을 받기가 힘들다. 문제는 이러한 가상화폐에 대한 규제를 만들더라도 정부조차 제대로 관리할 수 없다는 점이다.
보안업계 관계자는 “비트코인은 추적이 불가능하기 때문에 계정 세탁, 해외송금, 마약·무기 등 다양한 범죄 목적으로 이용되고 있는 화폐라 제도권 내에 포함시킬 때 고민이 많을 것”이라며 “수사기관에서 다양한 수사기법을 개발하고 있으나 완벽하지 않고 초보들 정도만 겨우 잡을 수 있는 수준이라, 현재 제도권에 포함시킨다 해도 결국 제대로 관리할 수 없을 것”이라고 지적했다.
<최민지 기자>cmj@ddaily.co.kr
[尹정부 ICT점검] ‘디지털정부 1위’ 성과 이면에 장애대응·격차해소 과제로
2024-11-16 10:39:44임종훈 대표, 한미사이언스 주식 105만주 매각… 상속세 납부 목적, 이면에 불가피한 속사정?
2024-11-15 18:04:20최윤범 고려아연 회장 “이사회 의장직 내려놓겠다”… 삼성∙보잉 사례 참고했나
2024-11-15 17:19:23[DD퇴근길] 네이버 밴드, 美 MAU 600만 돌파…IT서비스업계, 연말인사 포인트는
2024-11-15 16:53:04비트코인이 불지른 가상화폐 ‘불장’… 금융당국, '이상거래' 모니터링 강화
2024-11-15 16:20:20