암호화폐와 거래소에 사이버 공격이 집중되고 있다. 지난달 일본 코인체크에 이어 최근 이탈리아 비트그레일이 해킹을 당해 수천억원 상당의 암호화폐를 도난당했다. 국내에서도 지난해 빗썸, 리플포유, 야피존-유빗이 연이어 해킹당하면서 수많은 피해가 발생했다.
공격이 집중되는데도 암호화폐 거래소들이 보안에 투자하지 않는다는 비판이 거세게 일어나자 대형 거래소들이 참여하고 있는 한국블록체인협회는 자율규제안을 마련하고 회원사에 대한 정기적인 보안성 심사를 진행한다고 발표했다.
거래소는 사용자들의 금융자산을 책임지고 있는 만큼, 금융권 수준의 보안을 갖춰야 하며, 망분리, 중요 시스템에 대한 강력한 접근제어, 중요정보와 고객정보 암호화 등의 시스템과 보안 체계를 갖춰야 한다. 이러한 시스템을 갖추는데 필요한 비용이 50억원 이상이며, 금융보안 분야 경력을 가진 보안조직을 마련해야 한다.
중소 거래소들은 실명제 실시 이후 은행에서 신규계좌를 발급받지 못하게 됐으며, 이후 회원들이 급격하게 빠져나가고 있는데다가 보안문제까지 겹치면서 심각한 어려움을 겪고 있다. 그 불만이 한국블록체인협회를 향해 터져나오면서 협회가 거래소의 문제를 적극적으로 해결하지 못한다고 항의하며 제 3의 협회를 설립해야 한다는 등의 갈등도 나오고 있는 상황이다.
APT·랜섬 공격 방식 이용하는 범죄자
암호화폐 거래소의 보안 투자가 미흡하다는 것은 주지의 사실이다. 방송통신위원회, 과학기술정보통신부, 한국인터넷진흥원이 국내 거래소 10곳에 대한 현장조사를 실시해 지난달 발표한 결과를 보면, 모든 거래소가 기본적인 보안 조치조차 갖추지 않았던 것으로 나타났다. 이 보고서에서는 개인정보 불법접근을 차단하기 위해 침입차단시스템 등 접근 통제장치 설치·운영 ▲접속기록의 위·변조를 방지하기 위한 조치 ▲개인정보의 안전한 저장·전송을 위한 암호화 조치 등 기술적·관리적 보호조치 기준 위반 등의 문제가 지적됐다.
이처럼 취약한 보안 체계로 인해 ▲개인키를 탈취해 코인 출금 ▲전자지갑서버에 랜섬을 걸고 합의를 유도 ▲시스템에 직접 침입해 거래 원장을 위·변조하여 출금 시도 ▲개인정보를 탈취해 피싱 ▲사이트 파밍 공격 등 일반적인 해킹 기법으로 해킹이 가능하다.
암호화폐 거래소 에스코인의 CTO인 노유변 전무는 “공격자들은 경제적 이익을 취하기 위해 암호화폐 거래소를 공격한다. 이들은 해킹, 랜섬, APT, 피싱, 파밍 등 여러 방법을 동원해 암호화폐거래소의 전자지갑을 탈취하려고 한다”며 “공격자들이 사용하는 공격 방법은 무수히 많으며, 현재도 해커들은 알려지지 않은 다른 방법 들을 연구하고 시도 하고 있다”고 말했다.
거래소, 고객 보호 위한 투자 미흡
암호화폐 거래소 해킹은 예정된 사고나 다름없다. 거래소 보안이 취약하다는 지적은 계속 제기됐으나 거래소는 보안 투자에 소극적이었다. 많은 거래소가 기본적인 정보보안 체계를 갖추지 않았으며 보안 시스템도 거의 없고 보안관제도 미미하다. 특히 고객센터 상담원 대부분 보안교육을 받지 않았으며, 그들이 사용하는 PC에는 보안정책이 거의 설정돼 있지 않다. 부정행위에 대한 모니터링 시스템도 갖추고 있지 않다.
암호화폐 보안 솔루션 기업 웁살라의 존 커크(John Kirch) 글로벌 사업 전무는 “한국 암호화폐시장이 급격하게 팽창한 것은 지난해 상반기 이후로 1년이 채 되지 않은 짧은 기간 동안 하루 거래량 1조원을 훌쩍 넘어서는 놀라운 현상을 보이고 있다”며 “거래소들은 하루 수만명의 신규 가입자와 수십배씩 커지는 거래량을 처리하기 위해 많은 리소스를 투입 시키고 있다. 그러나 대부분의 투자는 서비스 안정화를 위한 것일 뿐, 수백만명의 고객을 보호하기 위한 기술적, 제도적인 체계는 매우 부족하다”고 비판했다.
안경진 포티넷코리아 차장은 “탈중앙화된 암호화폐를 운영하는 거래소는 아이러니하게도 전통적인 중앙집중적인 운영체제를 갖고 있다. 게다가 거래소들은 보안 전문가와 솔루션이 부족하고 금융 시스템 운영 노하우도 부족한 상황이다. 그래서 해킹당하기 쉽고 거래 폭증 시 서비스가 중단되는 등의 문제가 발생하고 있다”며 “거래소는 공격을 방어할 수 있는 견고한 시스템을 마련하고 금융거래 시스템 운영 전문 역량을 확보하는데 많은 투자를 해야 할 것”이라고 강조했다.
개인 투자자 타깃 공격 극성
개인 투자자를 타깃으로 하는 공격도 극성을 부리고 있다. 암호화폐를 탈취하기 위한 악성코드, 스피어피싱, 피싱·파밍이 급속도로 늘고 있으며, 개인 사용자 PC 리소스를 이용해 암호화폐를 채굴하는 채굴봇도 유행하고 있다.
SK인포섹이 조사한 바에 따르면 지난해 11월 암호화폐 채굴봇으로 인한 피해가 전체 보안사고의 31%에 이르렀으며, 최근 탐지하는 악성코드의 40%는 채굴봇인 것으로 나타났다.
암호화폐 채굴 봇은 개방된 원격관리 포트 취약점 등 공격 가능한 취약점을 스캐닝해 사용자 PC나 서버에 암호화폐 마이너를 설치하고, 채굴한 암호화폐를 공격자 지갑으로 전송하는 방식을 사용한다. 공격에 이용하는 취약점은 아파치 스트러츠, 레디스 등 오픈소스 취약점과 RDP/SSH와 같은 무차별 대입 공격, 오라클, 웹로직 등의 DB 취약점 익스플로잇을 사용한다.
이재우 SK인포섹 이큐스트 그룹장은 “채굴봇에 감염되면 CPU 리소스 사용이 높아지면서 시스템 사용이 어려워지는 피해를 입게 된다. 채굴봇 감염된 후 공격자 지갑으로 전송하는 것을 SK인포섹 위협 인텔리전스에서 탐지해 분석하고 있으며, 지난해 말 부터 공격 빈도가 크게 늘어나고 있다”고 말했다.
