‘빗썸’ 해킹, 가상화폐 거래 과연 안전한가?

상습적인 해킹 사태…‘거래소가 문제?’

김범준 기자 | 기사입력 2018/07/03 [18:50]

‘빗썸’ 해킹, 가상화폐 거래 과연 안전한가?

상습적인 해킹 사태…‘거래소가 문제?’

김범준 기자 | 입력 : 2018/07/03 [18:50]

올해 초 거세게 불던 가상화폐 열풍이 어느 정도는 식었지만, 여전히 수많은 투자자들이 존재한다. 상당수는 ‘일확천금’의 꿈을 꾸고 투자에 나섰지만 현실은 녹녹치 않은 상황이다. 가격 안정성이 매우 떨어진다는 점에서, 아직까지 ‘화폐’라는 명칭을 붙여주기 민망하다는 목소리도 있다. 특히, 가상화폐 업무를 중계해주는 ‘가상화폐 거래소’의 해킹 문제는 끊임없이 발생하고 있다. 이번에는 국내 1,2위를 다투는 ‘빗썸’이 해킹을 당해 논란이 커져버렸다.


국내 최상위권의 거래소 빗썸 해킹으로 350억 피해봐
사흘 전부터 낌새느끼고 준비했지만…막기에는 역부족
대형 거래소로 옮겨가는 해킹…‘안전지대’ 사실상 없어
투자자 겨냥한 ‘유사수신 사기’도 지속…수사력 역부족

 

▲ 국내 대형 가상화폐 거래소인 ‘빗썸’이 해킹당해 350억원의 피해를 입었다. <사진출처=Pixabay>

 

국내 최대 가상화폐(암호화폐) 거래소인 빗썸이 해킹 당해 350억원 가량의 피해를 입었다. 이용자 자산에는 영향이 없다고 해명했지만, 가상화폐 거래소 전반에 미칠 여파는 크다.

 

해킹당한 가상화폐


지난 6월20일 빗썸은 공지를 통해 “6월19일 늦은 밤부터 6월20일 새벽 사이 약 350억원 규모 일부 가상화폐가 탈취당한 사실이 확인됐다”며 가상화폐 입출금을 전면 중단한다고 밝혔다. KISA는 이날 오전 9시 50분 신고를 접수한 뒤 경찰 등 관계기관과 함께 조사에 착수했다.


해킹이 구체적으로 어떤 부분에서 발생했는지는 알려지지 않았으나, 빗썸은 우선 가상화폐 지갑 시스템을 새로 구축한 뒤에 다시 입출금 서비스를 진행한다는 계획을 공지했다.


빗썸은 가입자들에게 단체 문자메시지를 통해 “별도 공지가 있을 때까지 가상화폐 입금을 즉각 중단해달라”며 “신규 가상화폐 지갑 시스템 완료시까지 입금처리가 되지 않는다”고 공지했다.


피해가 발생한 가상화폐에 대해서는 “전부 회사 보유분으로 충당할 예정”이라고 밝혔다. 피해가 발생한 자산이 전량 거래소 보유분으로, 일반 이용자의 자산에는 영향이 없다는 설명이다.


빗썸 관계자는 “최근 비정상적인 접근이 많아 회원 보유분을 100% 콜드월렛 보관에서 해두고 있었다”며 “이번 해킹에도 다행히 회원 보유분에는 영향이 없는 것으로 파악하고 있다”고 설명했다. 당초 회원 보유분의 70%만 콜드월렛에 보관하고 있었으나 최근 안전조치를 강화하면서 이용자 피해가 발생하지 않았다는 의미다.


빗썸은 현재 피해를 입지 않은 자산은 전부 인터넷 연결이 차단된 전자지갑(콜드월렛)으로 이동해 보관하고 있다고 설명했다.


이러한 해명에도 가상화폐 시세는 큰 폭으로 하락하며, 투자자들이 큰 피해를 입기도 했다.

 

커져가는 불신


이처럼 국내 최대 가상화폐 거래소 빗썸이 해킹 피해를 본 사실이 드러나면서 업계 전반에 불신이 커지고 있다. 검·경 수사에 잇따른 해킹까지 사건·사고가 겹치면서 가상화폐 거래에서 정부 규제 필요성이 제기되고 있다.


이번 해킹 사고는 중소 가상화폐 코인레일에서 해킹 공격으로 400억원 상당의 가상화폐가 유출된 지 채 열흘도 되지 않은 시점에 발생했다.


이보다 앞서 지난해 4월에는 야피존이 55억원 상당의 해킹 피해를 봤다. 12월에는 야피존이 사명을 바꾼 유빗이 재차 해킹으로 172억원 상당의 가상화폐가 도난당했다.


그간 해킹사건이 중소 거래소에 발생해 파급력이 크지 않았지만 이번엔 상황이 다르다. 빗썸은 업계 1위 거래소인 데다가 그간 보안분야에 투자를 많이 했다고 자부해왔기에 업계와 투자자의 충격이 한층 더 크다.


빗썸은 지난 2월 제1금융권에서 적용 중인 통합보안 솔루션 ‘안랩 세이프 트랜잭션’을 가상화폐 거래소 업계에서는 처음으로 도입했다고 보도자료를 배포했다.


지난 5월에는 금융업계 대표적인 정보보호 조항인 '5.5.7 규정'을 준수한다고도 했다. 이 규정은 전체 인력의 5%를 IT(정보기술) 전문인력으로, IT 인력의 5%를 정보보호전담 인력으로, 전체 예산의 7%를 정보보호에 사용하도록 금융당국이 금융사에 권고한 사항이다.


빗썸에 따르면 5월 IT 인력은 전체 임직원의 21%이며, IT 인력 중 정보보호를 담당하는 비율은 약 10%다. 또한, 연간 지출예산에서 약 8%가 정보보호 관련 활동에 사용된다.


하지만 빗썸의 전체 인력이 300명으로 거래소 이용자 수와 비교하면 적은 상황이다. 한국블록체인협회 차원에서 인터넷과 연결되지 않은 ‘콜드월렛’에 가상화폐의 70%를 옮겨두도록 하는 등 자율규제로 보안성 강화에 초점을 맞추고 있지만 역부족이다.


업계 자율이다 보니 거래소가 이를 준수할 의무가 없고 규제 수준을 높게 설정할 수도 없다. 협회가 자율규제 심사를 진행하는 거래소는 14곳으로 전체 회원 거래소 23곳의 절반이 조금 넘는다.


빗썸을 비롯한 업비트, 코빗, 코인원 등 주요 거래소 4곳은 올해 공인 정보보호관리체계(ISMS) 인증 의무대상에 지정됐으나 아직 한곳도 인증을 받지 않았다.


빗썸은 지난 5월 사전신청서를 냈고, 업비트는 3분기 심사를 받기 위해 준비 중이라고 해명했다. 코인원은 하반기 신청해 연내 인증을 받는 것이 목표라고 밝혔다.


코인레일과 빗썸의 해킹 피해에 시차가 크지 않다는 점은 다른 거래소 추가 피해를 의심해보게 하는 대목이다.


빗썸 측은 코인레일 해킹 이후 비정상적인 공격이 증가했다고 밝혔다. 코인레일 해킹 세력이 빗썸으로 방향을 틀었다고 추론해볼 수 있다.


단, 업비트나 코인원 등 다른 주요 거래소에는 이상 공격 징후는 없는 것으로 알려졌다. 가상화폐 주요 거래소 대부분이 사건·사고에 얽힌 점은 업계 자율 규제의 한계를 보여준다.


업비트는 가상화폐를 실제로 보유하지 않고 '장부상 거래'를 했다는 혐의로 검찰의 압수수색을 받았다. 코인원은 고객에게 제공한 마진거래가 도박에 해당한다며 대표와 임원 등이 경찰에 불구속 입건됐다.


한 IT 전문가는 “국내 거래소를 들여다보면 기술적인 면에서나 (보안) 투입 인력 수에서도 은행·증권 시스템보다 열악하다”며 “현재는 거래소가 법적 틀 안에 있지 않으니 자발적으로 책임감을 느끼고 인력·장비·예산을 투자하는 수밖에 없다”고 지적했다.


이어 “정부의 역할론이 나오는데 가상화폐 거래소를 규제하려면 가상화폐 성격을 정의해야 하고 법적 테두리에 집어넣어야 한다”며 “아직 정부가 가상화폐를 법적 테두리에 넣을지조차 결정하지 않았기 때문에 쉽지 않은 상황”이라고 설명했다.

 

▲ 가상화폐 거래소 ‘빗썸’의 로고.

 

상습적인 해킹


문제는 이같은 가상화폐 거래소에 대한 해킹 시도 등 사이버 범죄·공격 행위와 피해는 국내·외를 통틀어 계속 반복되고 있다는 점이다.


지난 6월10일에는 국내 7위 규모 거래소로 평가되는 코인레일이 해킹으로 인해 400억원대 피해를 입은 것으로 추산된다. 현재까지 유출된 가상화폐의 80% 가량을 다시 돌려받는 등 복구했다고 밝혔으나 투자자들의 불만은 수그러들지 않고 있다. 공식 트위터 계정을 통해 코인레일은 오는 7월15일까지는 거래 서비스를 재개한다고 밝힌 상태다. 한달 이상 거래가 정지되는 셈이다.


이보다 앞서서는 중소 국내 거래소인 유빗(구 야피존)이 지난해 말과 올해 초 두 차례 해킹으로 각각 55억원과 172억원의 피해를 입고 파산해 소비자들이 직·간접적 피해를 입기도 했다. 특히 보험사가 보안 대응 체계를 제대로 갖추지 않았다고 지적하며 보험금 지급을 거부해 피해 보상에 애를 먹고 있다.


빗썸도 앞서 지난해 7월 직원 PC를 통한 해킹으로 가입자 개인정보가 유출되는 사고가 발생한 바 있었다. 당시 3만 여명에 대한 개인정보 유출로 인해 일부 이용자는 2차 피해를 겪기도 했다. 다만, 당시에는 서버나 가상화폐 지갑 자체가 해킹당하지는 않아 거래에는 영향을 주지 않았다.


일본에서도 올 1월 코인체크에서 580억엔(약 5835억원)의 해킹 유출 피해가 발생했으나 역시 실질적인 피해 보상이 충분히 이뤄지지 않았다는 지적이 이어졌다.


보안 전문가들은 그동안 중소형 거래소에 집중되던 해킹 피해가 점차 대형 거래소로 옮겨가는 점에 우려를 나타낸다. 해킹 공격 세력이 금전적 목적으로 보다 큰 규모의 거래소를 노리고 있다는 지적이다.


거래소들도 이에 대비한 준비를 꾸준히 진행해왔다. 올해 들어 빗썸과 업비트, 코인원, 코빗 등 국내 상위 4대 거래소는 과학기술정보통신부의 정보보호관리체계(ISMS) 인증 의무 대상자로 지정돼 인증 준비를 진행 중이었다. 코인레일 등 다른 거래소도 자율적으로 인증을 준비하던 상황이었다.


보안 업계 전문가들은 금융권 수준의 보안 체계를 통한 이용자 보호를 위해 체계적인 대응을 주문했다.


한 IT 전문가는 “빗썸 등 ISMS 인증 의무 대상자인 국내 대형 거래소는 비교적 보안에 대한 시스템 투자를 적극적으로 한다고 평가받아왔다”며 “회사 내부의 보안 정책 수립이나 여러 이상징후를 종합 분석하는 역량을 더 강화해야 한다”고 말했다. 이어 “공격자들(해커)은 보안 담당자들의 생각보다 더 많은 준비를 통해 허점을 노리는 ‘비대칭 상황’에 있다고 본다”며 “계정 도용 등 다방면에 대한 준비 체계를 갖추고, 외부 공격뿐 아니라 내부자에 대한 접근제어 통제 등에 대한 요소도 고려해야 한다”고 조언했다.

 

▲ 가상화폐 연관된 범죄는 끊임없이 발생하는 상황이다. <사진출처=KBS 뉴스 캡처>

 

사기 범죄 기승


이처럼 가상화폐의 해킹 위험성이 커지면서, 가상화폐의 위험성이 다시 한 번 떠오르고 있다. 특히, 갈수록 진화해 가는 가상화폐의 관련 범죄에 대한 대책이 시급해지고 있다.


일단 ‘다단계 사기’로 불리는 유사수신 사기범죄가 기승을 부리고 있어 검찰이 주의를 촉구하고 나섰다. 특히 가상화폐 투자자를 겨냥한 유사수신 사기가 지속해서 늘고 있다는 점에 검찰은 주목하고 있다.


검찰은 지난해 적발된 유사수신 사기범이 총 1294명으로, 2016년 1085명에 비해 19.2%가 증가했다고 밝혔다.


검찰은 가상화폐 관련 유사수신 사기범죄가 지속해서 증가하고 있다며 가상화폐 관련 투자에 각별한 주의가 요구된다고 강조했다.


대검에 따르면 금융감독원이 경찰에 수사 의뢰한 가상화폐 관련 유사수신 사기범죄는 2015년 12건에서 2016년 23건, 2017년 38건으로 증가세를 보였다.


유사수신 사기범들은 주로 비트코인을 모방한 가짜 가상화폐에 투자하도록 속여 투자금을 가로챈 것으로 조사됐다. 수원지검이 2016년 7개월 만에 2배의 고수익을 낼 수 있다고 속여 1200여명으로부터 투자금 370억원을 가로챈 가상화폐 판매업체 대표를 구속기소한 사건이 대표적인 사례다.


또 가짜 비트코인 채굴기 사업에 투자하라는 식으로 돈을 빼앗은 사례도 있다. 지난해 인천지검은 피해자 1만8000명으로부터 2700억원을 투자받아 가로챈 사기조직 36명을 적발해 18명을 구속기소 했다. 이들은 미국에 본사를 설립하고 국내에 수개의 계열사를 만들어 54개국에서 투자자를 모집한 것으로 조사됐다.


검찰은 “법의 사각지대에 있는 가상화폐 관련 투자는 각별히 주의가 요망된다”며 “수익창출 구조 등 사업설명 내용을 녹음하고, 계약서 등 자료를 반드시 확보할 필요가 있다”고 당부했다.


검찰은 또 “여러 외국 통화를 동시에 사고팔아 환차익을 얻는 ‘FX마진거래’나 금융컨설팅 등 금융업을 사칭한 유사수신 사기, 부동산 개발사업을 빙자한 유사수신 사기범죄도 급증하고 있다”며 “가격 변동성이 큰 거래임에도 고정 수익을 보장하는 경우 특히 주의가 요망된다”고 말했다.


검찰은 오는 4월30일까지를 ‘유사수신 및 불법 사금융 일제 단속·집중 신고 기간’으로 지정해 범죄에 엄정 대처할 방침이다. 적발된 유사수신 업체는 범죄단체조직 혐의를 적용해 중형을 구형할 계획이다.


금융감독원 불법사금융피해신고센터에도 가상화폐 사기 신고 접수가 급증하고 있다. 지난해 유사수신 신고건수중 가상화폐 신고만 453건으로 전체의 63.6%를 차지했다. 금융당국은 불법사금융피해신고센터를 통해 피해사기를 신고를 받고 있지만 수사당국에 신고하는 방법 말고는 마땅한 해결책을 제시하지 못하고 있는 실정이다.


그나마 소비자단체에서 투자사기를 당한 피해자를 구제하기 위해 발벗고 나섰다. 금융소비자연맹은 가상화폐 거래 도중 거래소의 불법행위, 거래소를 사칭한 사기, 불법 다단계 등으로 피해를 본 소비자들을 위해 지난 1월22일부터 ‘가상화폐거래 피해 소비자 신고센터’를 개설해 운영하고 있다.


금소연은 가상화폐 투자자 수가 급증하면서 그에 따른 거래 피해자들도 크게 늘어나고 있지만, 피해사례조차 파악이 되어있지 않고 정부의 대책도 전무한 실정이라고 지적했다.


가상화폐 거래 투자로 인한 손해는 전적으로 투자자의 책임이지만, 정부규제의 사각지대에서 투기조장 이나 불법거래, 거래소의 취약한 보안으로 피해를 본 투자자들은 어느 곳에도 신고하거나 접수조차 할 수 없고, 피해보상을 받지 못한 채 이러지도 저러지도 못하는 상황이라고 설명했다.


이에 따라 금소연은 가상화폐거래 피해 소비자 신고센터를 신규로 설치 운영해 피해소비자들이 가상화폐거래소 등의 불법행위로 인한 피해에 대해 제대로 된 보상을 받고 금융소비자로서의 권리를 찾도록 도울 예정임은 물론 피해사례를 바탕으로 정부에 합리적인 정책마련을 위한 정책제안도 할 방침이다.

 

penfree1@hanmail.net 

닉네임 패스워드 도배방지 숫자 입력
내용
기사 내용과 관련이 없는 글, 욕설을 사용하는 등 타인의 명예를 훼손하는 글은 관리자에 의해 예고 없이 임의 삭제될 수 있으므로 주의하시기 바랍니다.
 
광고