침해사고/위협동향

블록체인 안전하다는데··· 암호화폐 거래소는 왜 뚫릴까

이종현
[디지털데일리 이종현기자] 암호화폐의 대표 격인 비트코인 가격이 1750만원을 넘었다. 2018년 1월 이후 역대 최고 가격을 갱신하는 중이다. 페이팔과 JP모건 등 주요 금융회사가 암호화폐를 도입하거나 발행하면서 신뢰도가 생겼다는 평가다. 코로나19와 미국 대통련 선거 등으로 인한 증시 불확실성의 반사 혜택을 누렸다는 관측도 제기된다.

시장이 상승세를 탔지만 ‘보안’은 암호화폐 업계의 여전한 약점으로 꼽힌다. 보안을 무기로 내세운 블록체인 기반의 암호화폐가 정작 사이버 공격에는 더 취약하다는 것이 아이러니다. 이를 두고 박찬암 스틸리언 대표는 “암호화폐의 보안에 문제가 있는 것이 아니라, 이를 관리하는 거래소에 문제가 있다”고 꼬집었다.

박 대표는 금융보안원이 11일부터 13일까지 개최하는 금융정보보호컨퍼런스 ‘피스콘 2020’에서 ‘디지털금융 환경의 취약점 시연과 보안 방안’을 주제로 특별강연을 진행했다.

그는 “안전하다고 하는 블록체인이 왜 뚫리는가, 많은 분들이 자주 물어보는 질문”이라며 “암호화폐에 대한 해킹 이슈는 대부분 블록체인이 아니라 기반이 되는 인터페이스, 거래소가 뚫리는 경우”라고 전했다.

암호화폐는 현실 화폐인 동전, 지폐에 해당한다. 화폐를 위조하기 어렵게 만들면 위조화폐로 인한 피해는 막을 수 있을지 모르더라도, 이를 이용한 사기나 도난 등까지 막을 수는 없다. 이를 막아야 하는 것음 금융회사의 역할을 하는 암호화폐 거래소다.

박 대표는 암호화폐 거래소의 대표적인 취약점으로 ▲거래소 플랫폼(웹, 애플리케이션(앱)) ▲거래소 개발자/관리자 PC ▲거래소 로직상의 문제 등을 꼽았다.

거래소의 마진거래 취약점을 이용한 실제 사례도 소개했다. 마진거래는 가진 돈을 담보로 돈을 빌려 투자하는 방식인데, 이 과정의 취약점을 이용할 경우 적은 돈으로 엄청난 돈의 투자를 한 사례다.

가령 잔고 100만원으로 암호화폐 거래소에서 마진거래를 할 경우 거래소에 100만원을 빌려 총 200만원을 투자할 수 있게 된다. 투자 직전 0.x초의 짧은 시간 동안 잔고가 200만원이 되는데, 이때 다시 마진거래를 해 200만원을 추가로 빌리는, 잔고 100만원에 300만원을 빌리는 형태의 투자가 가능해진다. 이를 반복할 경우 배수로 금액이 커진다.

박 대표는 “파이선(Python) 스크립트로 마진거래 주문&취소를 반복하고, 거래소 웹 사이트에서 잔액이 2배가 되는 시점에 맞춰 마진거래를 함으로써 통상 한 번만 가능해야 할 마진거래가 반복해서 이뤄지는 취약점”이라며 “REST API와 Web API간 거래 중복 체크를 하지 못해 생긴 문제”라고 설명했다.

그는 이어서 “우리가 사용하고 있는 기존의 암호기술도 상당히 안전한 편이다. 그럼에도 해킹 피해가 발생하는 것은 이 기술을 활용할 때의 문제”라며 피력했다.

지난해 국내 암호화폐 거래소 빗썸과 업비트가 해킹돼 800억원가량의 암호화폐가 유출됐다. 이는 위조가 어려운 화폐라고 하더라도 이를 어떻게 관리, 거래하느냐가 중요하다는 것을 보여준 사례다. 실제 블록체인 기반의 암호화폐에 비해 덜 안전한 기존 화폐를, 훨씬 더 많은 공격을 받는 상황에서 금융회사는 현금 유출과 같은 피해 없이 서비스를 이어가고 있다.

암호화폐 거래소의 보안 수준이 일반 금융회사에 비해 떨어진다는 지적은 어제오늘의 일이 아니다. 기술적 수준의 보안뿐만이 아니라 전체적인 보안 정책 수립, 관리 등에서 취약하다는 비판이 꾸준히 제기된다. 보안 우려를 해소하는 것이 암호화폐 업계의 최대 과제로 꼽히는 이유다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널