[김우람의 가상화폐 스토리텔링] 코인거래소가 망하는 이유

“가상화폐(암호화폐) 거래소는 돈을 못 벌어 망하지 않는다. 해킹으로 망한다.”

한 가상화폐 거래소 개발자는 자산 보호와 정보보안의 중요성을 이렇게 표현했습니다. 가상화폐 업계에서 잊힐 만하면 다시 터져나오는 해킹 사태입니다. 규모도 수백억 원으로 큰 금액이라 시장과 블록체인 산업에 대한 인식에도 악영향을 끼치죠. 블록체인 낙관론자들조차도 씁쓸함을 감출 수 없게 만듭니다.

◇보안 자신하던 업비트마저 해킹 = 업비트(운영사 두나무)가 해킹됐을 것이란 추정은 지난달 26일 오후 1시 6분께 가상화폐 전송 추적 사이트 웨일얼러트(Whale Alert)가 업비트 주소에서 34만2000이더(당시 약 586억 원)가 익명의 주소로 이체됐다고 한 것에서 나왔습니다.

워낙 많은 양이 이체됐는데도 업비트는 이를 설명하는 공지가 없었기 때문이죠. 이더리움의 대규모 이체 후 30분 정도 지나 업비트는 공지와 함께 서버 점검으로 가상화폐 입출금을 중단했습니다.

업비트 측으로부터 점검 사유에 대해 물었지만, “알수 없다”는 답만 돌아왔습니다. 코인거래소에서 대규모 이체가 발생했는데, 당사자가 이 사유에 대해 설명하지 못하는 이상한 상황이었죠. 업비트 사용자들은 갑작스러운 코인 입출금 중단으로 혼란이 가중되고 있었습니다.

그렇게 몇 시간이 흐르고 오후 6시께 업비트는 자사 이더리움 핫월렛(온라인으로 바로 전송 가능한 지갑)에서 34만2000이더(ETH)가 알 수 없는 지갑으로 전송됐다고 공지했습니다. 자산 해킹이 발생한 것이죠.

업비트 해킹의 충격이 더 크게 다가온 것은 업비트가 그동안 글로벌 가상화폐 마켓 평가 분석기관인 ‘CER(Crypto Exchange Ranks)’에서 국내 1위를 홍보했기 때문입니다.

업비트는 도난 물량에 대해 자사 자산으로 충당하겠다고 밝혔습니다.

◇내부자 소행? 외부 해킹? = 아직 해킹이 어떤 경로로 이뤄졌는지는 밝혀지지 않았습니다.

크게 두 가지로 볼 수 있을 텐데요. 외부 해커가 보안망을 뚫고 이더리움 암호(프라이빗키)를 획득했거나, 암호를 알고 있던 전·현직 내부자가 전송한 것입니다.

우선 외부 해커의 침입입니다. 해커가 보안망을 뚫었다 해도 특정 코인의 암호를 획득하는 것은 너무 어려운 일로 보입니다. 왜냐하면 키 관리를 외부에서 접속해 확인하기란 여간 쉽지 않기 때문입니다.

내부자 소행도 쉽지는 않습니다. 다른 코인거래소들을 문의한 결과 대량 자산 이체와 같은 중요 업무가 이뤄지려면, 최소 두 명 혹은 세 명이 모여야 가능하다고 합니다. 혼자서 대량 이체를 할 수 없는 구조가 일반적이라네요.

블록체인 전문 보안업체 슬로우미스트(SlowMist)는 “업비트에서 발생한 34만2000이더(ETH) 규모 가상화폐 분실은 내부자 소행 가능성도 배제할 수 없지만 외부 해커들의 APT(지능적 지속 위협) 공격에 의한 것일 가능성이 크다”고 진단했습니다.

◇장물 코인은 어디로 = 어느새 가상화폐 업계에서 해킹은 흔한 일이 돼 버렸습니다. 세계 최대 코인거래소였던 일본 마운트곡스는 2014년 2월 해킹으로 85만 비트코인을 도난당한 후 문을 내렸습니다. 이후 비트파이넥스와 폴로닉스, 바이낸스 등 글로벌 거래소들에서도 해킹이 일어났습니다. 국내에서도 2017년 야피존, 코인이즈, 빗썸, 코인빈 등에 해킹이 있었습니다. 전 세계 군소 코인거래소까지 고려하면 셀 수 없을 정도의 사건·사고입니다.

앞으로 업비트가 도난당한 34만2000이더(ETH)는 어떻게 되는 것일까요. 이더리움 통계 사이트 이더스캔에선 이미 업비트에서 흘러 들어간 이더리움 주소에 ‘업비트 해커’라는 꼬리표가 붙었습니다. 해커는 계속해서 다른 주소로 분할해 전송하고 있는데요. 이들 주소에도 계속 꼬리표가 붙어 다닙니다.

아마도 특정 거래소에 도난 코인을 전송해 다른 코인으로 교환하거나 현금화를 노릴 텐데요. 다른 거래소에서도 업비트 도난 코인이 거래될 경우 평판이 크게 하락할 수 있기 때문에 예의주시하고 있습니다. 도난 코인이 거래소 유입 과정에서 해커의 계정이나 인터넷 접속주소(IP)가 노출될 수 있습니다.

비교적 신분 노출이 덜한 탈중앙화거래소를 통해 다른 코인으로 교환하거나, 범죄자들이 거래하는 국제 암시장(다크웹)에서 처분하는 것도 예상해볼 수 있습니다.