거래소 보안, 공정하게 평가할 기관과 기준 필요
거래소, 금융기관 또는 통신사업자 여부 결정하고 보안수준 강화해야
[보안뉴스= 김형중 고려대학교 사이버국방학과 교수] 한국의 암호화폐 거래소가 거래량으로는 세계최고 수준에 등극했다. 1등을 좋아하는 민족의 관점에서 자랑스러운 일이라고 해야 할까. 그런데 별로 경축하는 분위기는 없다. 아무튼 빗썸이 1위이고, 2위의 거래량은 빗썸의 절반 수준이다. 빗썸이 단연 압도적인 1위를 달리고 있다.
[이미지=iclickart]
재미있는 것은 1등인 빗썸은 그 많은 코인 중 9개만 취급한다. 비트코인 캐쉬는 한국의 3대 거래소에서 전세계 거래량의 59%, 리플은 무려 63%가 교환될 정도이다. 리플의 70%이 한국에서 거래될 때도 있었다. 한국의 위상이 그만큼 커졌다.
그런데 보안수준은 어느 정도일까? 지난 6월 빗썸에 접속자가 폭증하며 서비스가 중단되는 일이 발생했다. 코인 가격이 요동치는 상황에서 접속장애는 바로 서비스 거부 공격으로 간주된다. 거래자들이 무차별적으로 공격을 한 게 아니라 거래소가 충분히 처리할 수 있는 여력을 비축하지 않은 게 문제다. 미필적 고의에 의한 서비스 거부 공격 방임 현상이랄까?
그런데 그 용감하던 한국의 고객들과 언론들은 조용했다. 악의를 가진 공격자들에 의한 서버 다운이 아니라서 기왕의 서비스 거부 공격 사례와 달랐기 때문에 면도날 필봉을 휘두르기에 주저한 것 같다. 그렇지만 이런 게 보안사고다. 그것도 심각한 보안사고라고할 수 있다. 과도하게 많은 피난민이 몰려들자 모두 배에 승선시켰다가 침수시킨 것과 같은 사례라고 할 수 있을지 모르겠다.
거래소에는 현금에 해당하는 다량의 코인들이 모여있기 때문에 해커들의 표적이 되고 있다. 2014년 전세계 비트코인 거래액의 70%를 담당했던 마운트 곡스가 파산했다. 무책임한 이 거래소는 약 85만 BTC와 고객의 돈 2천8백만 달러를 분실했는데, 그게 내부직원의 도둑질인지 외부 해커의 공격에 의한 유출인지 의견이 분분했다.
2015년 일본의 보안업체 위즈섹(WizSec)은 분실한 대부분의 비트코인은 마운트 곡스의 인터넷에 연결된 지갑에서 도난 당한 것이라고 결론을 내렸다. 지난 7월 위즈섹이 발표한 짤막한 보고서에 따르면 그리스에서 체포된 38세의 러시아계 알렉산더 비닉이 이 사건에 연루되어 있다고 했다.
2011년 6월에는 마운트 곡스의 보안 취약점으로 인해 비트코인 가격이 17달러에서 순식간에 거의 껌 값 수준으로 폭락하기도 했다. 2011년 9월에는 인터넷에 연결된 마운트 곡스의 지갑에서 개인키가 담긴 파일이 유출됐다. 그때까지는 개인키를 암호화하지 않았다. 물론 그 전에도 보안사고가 있었고 그 이후에도 사고가 있었다. 그런데도 마운트 곡스 사건은 온갖 공격의 백화점이었던 데다가 피해규모 또한 컸다.
마운트 곡스 사태 이후 많은 변화가 생겼다. 개인키는 암호화되었고, 콜드 스토리지, 멀티 시그니쳐 등 보안이 강화됐다. 그런데도 지금도 여전히 거래소 사고가 이어지고 있다. 불과 몇 달 전인 6월에도 빗썸에서 무더기 개인정보 유출로 인해 많은 금전적 피해가 발생했다.
국내에만 이미 10여 개 거래소가 문을 열었고, 거래소를 준비하는 기업이 줄을 섰다. 그런데 거래소 보안을 담당할 기관이나 매뉴얼이 없다. 사고 후 빗썸은 개인정보 유출 고지에서도 뒷북을 쳤고, 배상책임보험이 만료된 것도 뒤늦게 알았다. 그런데도 감독기관이 손을 놓고 있는 이유는 가상화폐 거래소가 금융회사가 아니라 쇼핑몰과 같은 통신판매업자로 분류되기 때문이다.
일부에서는 스캠어드바이저의 평가 결과 빗썸의 보안수준이 65점, 폴로니스 95점이라며 단순비교를 하지만 사실 스캠어드바이저 사이트 역시 신뢰할 만하지 못하다는 점이다. 유령 사이트의 보안수준도 알려준다는 사이트(Quora)의 평가도 있다. 중요한 것은 거래소 보안을 공정하게 평가할 기관과 기준이 필요하다는 점이다.
거래소 사고의 대부분은 내부자의 비행이 원인으로 밝혀졌다. 거래소가 갑자기 돈 버는 하마로 바뀌면서 거래소 엔지니어가 ‘귀하신 몸’ 대접을 받고 있다. 그런데 개중에는 함량미달의 윤리의식을 지닌 엔지니어들이 간혹 있다. 그래서 인성을 평가하고 윤리교육을 강화할 필요가 있다. 또한, 내부자의 비리를 예방할 수 있는 기술적·제도적 장치가 필요하다.
.jpg)
▲ 고려대 사이버국방학과 김형중 교수
[사진=김형중 교수]
고객의 개인정보보호 수준, 거래소 사이트의 보안수준은 물론이고 금융기관으로서 갖추어야 할 책임에 대한 각종 규정이 필요하다. 예를 들어, 은행으로서 각종 리스크에 대비할 수 있는 능력을 갖추었는지 점검할 필요가 있다. 많은 고객이 동시에 많은 코인을 원화로 교환하려 할 경우 원화 지불여력, 거래소가 해킹 등으로 파산했을 때 고객에게 지불을 보장할 수 있는 최소의 한계에 대해서도 논의가 필요하다. 이를 위해 보험 가입의 최소한도를 규정할 필요도 있다. 마운트 곡스 사태 이후 75만 BTC는 주인에게 돌려지지 않았다. 2013년 마운트 곡스는 달러 인출을 중지시킨 바 있다.
그래서 거래소를 금융기관으로 볼지 계속 통신사업자로 볼지도 시급히 결정해야 한다. 동시에 보안수준을 강화할 수 있는 방안을 마련해야 한다. 거래소는 이미 공룡처럼 덩치가 커져 적절한 규제가 필요하다.
[글_ 고려대학교 사이버국방학과 김형중 교수(boan3@boannews.com)]
거래소, 금융기관 또는 통신사업자 여부 결정하고 보안수준 강화해야
[보안뉴스= 김형중 고려대학교 사이버국방학과 교수] 한국의 암호화폐 거래소가 거래량으로는 세계최고 수준에 등극했다. 1등을 좋아하는 민족의 관점에서 자랑스러운 일이라고 해야 할까. 그런데 별로 경축하는 분위기는 없다. 아무튼 빗썸이 1위이고, 2위의 거래량은 빗썸의 절반 수준이다. 빗썸이 단연 압도적인 1위를 달리고 있다.
[이미지=iclickart]
재미있는 것은 1등인 빗썸은 그 많은 코인 중 9개만 취급한다. 비트코인 캐쉬는 한국의 3대 거래소에서 전세계 거래량의 59%, 리플은 무려 63%가 교환될 정도이다. 리플의 70%이 한국에서 거래될 때도 있었다. 한국의 위상이 그만큼 커졌다.
그런데 보안수준은 어느 정도일까? 지난 6월 빗썸에 접속자가 폭증하며 서비스가 중단되는 일이 발생했다. 코인 가격이 요동치는 상황에서 접속장애는 바로 서비스 거부 공격으로 간주된다. 거래자들이 무차별적으로 공격을 한 게 아니라 거래소가 충분히 처리할 수 있는 여력을 비축하지 않은 게 문제다. 미필적 고의에 의한 서비스 거부 공격 방임 현상이랄까?
그런데 그 용감하던 한국의 고객들과 언론들은 조용했다. 악의를 가진 공격자들에 의한 서버 다운이 아니라서 기왕의 서비스 거부 공격 사례와 달랐기 때문에 면도날 필봉을 휘두르기에 주저한 것 같다. 그렇지만 이런 게 보안사고다. 그것도 심각한 보안사고라고할 수 있다. 과도하게 많은 피난민이 몰려들자 모두 배에 승선시켰다가 침수시킨 것과 같은 사례라고 할 수 있을지 모르겠다.
거래소에는 현금에 해당하는 다량의 코인들이 모여있기 때문에 해커들의 표적이 되고 있다. 2014년 전세계 비트코인 거래액의 70%를 담당했던 마운트 곡스가 파산했다. 무책임한 이 거래소는 약 85만 BTC와 고객의 돈 2천8백만 달러를 분실했는데, 그게 내부직원의 도둑질인지 외부 해커의 공격에 의한 유출인지 의견이 분분했다.
2015년 일본의 보안업체 위즈섹(WizSec)은 분실한 대부분의 비트코인은 마운트 곡스의 인터넷에 연결된 지갑에서 도난 당한 것이라고 결론을 내렸다. 지난 7월 위즈섹이 발표한 짤막한 보고서에 따르면 그리스에서 체포된 38세의 러시아계 알렉산더 비닉이 이 사건에 연루되어 있다고 했다.
2011년 6월에는 마운트 곡스의 보안 취약점으로 인해 비트코인 가격이 17달러에서 순식간에 거의 껌 값 수준으로 폭락하기도 했다. 2011년 9월에는 인터넷에 연결된 마운트 곡스의 지갑에서 개인키가 담긴 파일이 유출됐다. 그때까지는 개인키를 암호화하지 않았다. 물론 그 전에도 보안사고가 있었고 그 이후에도 사고가 있었다. 그런데도 마운트 곡스 사건은 온갖 공격의 백화점이었던 데다가 피해규모 또한 컸다.
마운트 곡스 사태 이후 많은 변화가 생겼다. 개인키는 암호화되었고, 콜드 스토리지, 멀티 시그니쳐 등 보안이 강화됐다. 그런데도 지금도 여전히 거래소 사고가 이어지고 있다. 불과 몇 달 전인 6월에도 빗썸에서 무더기 개인정보 유출로 인해 많은 금전적 피해가 발생했다.
국내에만 이미 10여 개 거래소가 문을 열었고, 거래소를 준비하는 기업이 줄을 섰다. 그런데 거래소 보안을 담당할 기관이나 매뉴얼이 없다. 사고 후 빗썸은 개인정보 유출 고지에서도 뒷북을 쳤고, 배상책임보험이 만료된 것도 뒤늦게 알았다. 그런데도 감독기관이 손을 놓고 있는 이유는 가상화폐 거래소가 금융회사가 아니라 쇼핑몰과 같은 통신판매업자로 분류되기 때문이다.
일부에서는 스캠어드바이저의 평가 결과 빗썸의 보안수준이 65점, 폴로니스 95점이라며 단순비교를 하지만 사실 스캠어드바이저 사이트 역시 신뢰할 만하지 못하다는 점이다. 유령 사이트의 보안수준도 알려준다는 사이트(Quora)의 평가도 있다. 중요한 것은 거래소 보안을 공정하게 평가할 기관과 기준이 필요하다는 점이다.
거래소 사고의 대부분은 내부자의 비행이 원인으로 밝혀졌다. 거래소가 갑자기 돈 버는 하마로 바뀌면서 거래소 엔지니어가 ‘귀하신 몸’ 대접을 받고 있다. 그런데 개중에는 함량미달의 윤리의식을 지닌 엔지니어들이 간혹 있다. 그래서 인성을 평가하고 윤리교육을 강화할 필요가 있다. 또한, 내부자의 비리를 예방할 수 있는 기술적·제도적 장치가 필요하다.
▲ 고려대 사이버국방학과 김형중 교수
[사진=김형중 교수]
고객의 개인정보보호 수준, 거래소 사이트의 보안수준은 물론이고 금융기관으로서 갖추어야 할 책임에 대한 각종 규정이 필요하다. 예를 들어, 은행으로서 각종 리스크에 대비할 수 있는 능력을 갖추었는지 점검할 필요가 있다. 많은 고객이 동시에 많은 코인을 원화로 교환하려 할 경우 원화 지불여력, 거래소가 해킹 등으로 파산했을 때 고객에게 지불을 보장할 수 있는 최소의 한계에 대해서도 논의가 필요하다. 이를 위해 보험 가입의 최소한도를 규정할 필요도 있다. 마운트 곡스 사태 이후 75만 BTC는 주인에게 돌려지지 않았다. 2013년 마운트 곡스는 달러 인출을 중지시킨 바 있다.
그래서 거래소를 금융기관으로 볼지 계속 통신사업자로 볼지도 시급히 결정해야 한다. 동시에 보안수준을 강화할 수 있는 방안을 마련해야 한다. 거래소는 이미 공룡처럼 덩치가 커져 적절한 규제가 필요하다.
[글_ 고려대학교 사이버국방학과 김형중 교수(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg)
 TH.png)
.jpg)
.jpg)
.jpg)
 TH.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
