“암호화폐 거래소, ‘보안’은 의무”
상태바
“암호화폐 거래소, ‘보안’은 의무”
  • 김선애 기자
  • 승인 2018.04.13 17:18
  • 댓글 0
이 기사를 공유합니다

거래소 위협 정보 공유 모델 시급…금융권 수준 보안 마련해야

암호화폐 보안 문제가 보안 시장 ‘태풍의 눈’으로 등장했다. 암호화폐 가치가 급등락하면서 공격자들이 암호화폐를 탈취하거나 채굴을 통해 수익을 얻으려고 하고 있다. 특히 하루 수조원 규모의 거래가 이어지는 암호화폐 거래소는 해커들이 쉴새없이 공격하고 있어 거래소 보안이 매우 민감한 사안으로 인식되고 있다.

“암호화폐는 해킹으로부터 안전하다는 신뢰가 있을 때 가치가 올라갈 수 있다. 특히 암호화폐 거래소는 보안 수준을 높여야 고객에게 선택을 받을 수 있다. 거래소는 안전한 거래환경을 조성해야 할 의무가 있다.”

이석우 두나무 대표는 13일 열린 ‘제 24회 정보토신망 정보보호 컨퍼런스(NetSec-KR) 2018’ 초청강연에서 이 같이 강조하며 “암호화폐 거래소는 보안을 최우선 순위에 두어야 하고 금융기관 수준의 보안을 갖춰야 한다”고 역설했다.

▲이석우 두나무 대표는 “거래소에서 발생하는 위협을 공유하는 모델이 필요하다. 고객과 고객의 자산을 보호하는 대책을 마련하지 않으면 거래소가 경쟁력을 가질 수 없다”고 강조했다.

“OTP 사용해도 암호화폐 탈취 당할 수 있어”

암호화폐 거래소 보안이 취약하다는 것은 누구도 부인할 수 없는 사실이다. 지난해 말 방송통신위원회가 국내 거래소 보안 점검을 실시한 결과 모든 거래소가 ‘미흡’ 판정을 받았다. 그 동안 암호화폐 거래소는 폭발적으로 증가하는 거래 요청을 처리하는데 바빴으며, 끝없이 이어지는 해킹시도를 막지 못했다. 각종 취약점 공격을 당하고 스피어피싱과 서버 접근 통제 실패 등의 이유로 해킹을 당했으며, 일부 이용자들은 OTP를 사용했어도 암호화폐를 탈취당했다고 주장하기도 한다.

SK인포섹이 12일 주최한 ‘암호화폐 거래소 보안 담당자 초청 세미나’에서 사용자가 OTP를 사용해도 암호화폐를 탈취당할 수 있다는 사실이 지적됐다. 거래소가 OTP 서버를 잘못 구축했다면 OTP로 멀티인증을 수행한다 해도 암호화폐를 안전하게 지킬 수 없다.

암호화폐 거래소는 사용자의 금융자산을 다루는 만큼, 금융사 수준의 보안을 갖춰야 한다. 이 때문에 많은 거래소들이 금융보안 전문가를 영입하면서 금융사 보안 체계를 적용하려고 노력하고 있으며, 거래소들이 참여하고 있는 한국블록체인협회에서는 자율규제안을 마련하고 거래소 보안을 강화하고자 하는 노력을 전개하고 있다.

협회가 마련한 자율규제안에는 ▲투자자 예치자산 보호장치 마련 ▲신규 코인 상장 프로세스 강화·투명성 제고 ▲본인계좌 확인 강화·1인 1계좌 입출금 관리 ▲오프라인 민원센터 운영 의무화 ▲거래소 회원 요건 강화 ▲임직원 윤리 강화 등의 내용이 담겨있다.

이석우 두나무 대표는 “보안 문제를 해결하지 않고 거래소를 운영하는 것은 해커에게 좋은 먹잇감을 제공하는 것이다. 거래소는 암호화폐가 보관된 서버와 프라이빗 키를 보호해야 하며, 망분리로 업무망과 인터넷망을 나누고 절대 인터넷에 연결되지 않는 콜드월렛에 암호화폐의 70% 이상을 보관해야 한다”며 “또한 모니터링 체계를 구축해 이상거래를 차단하고 내부직원 교육을 통해 보안 인식이 약한 직원을 이용하는 스피어피싱 공격을 차단해야 한다”고 말했다.

거래소, 금융보안 수준 갖추려면 50억 이상 소요

SK인포섹이 분석한 바에 따르면 거래소가 금융보안 수준으로 보안 체계를 갖추기 위해서는 50억~100억원에 이르는 투자를 해야 하는 것으로 나타났다. 보안 투자 여력이 없는 신생 거래소나 중소 거래소에게는 상당히 부담되는 투자 규모이다. 그러나 보안 대책을 마련하지 않고 거래소를 오픈하는 것은 더 위험한 일이다.

SK인포섹은 ▲스타트업: 정보보호 전담인력 지정, 정보보호 정책을 포함한 내부규정 마련, 보안 인프라 투작 계획 수립 ▲중소형 거래소: 정보보호 체크리스트를 통한 내부 현황파악과 분석, 자가 점검, 정보보호 개선과제 이행 계획 수립 ▲대형 거래소: 정보보호 관리체계 수립, 정보보호 규정과 지침 재개정, 정보보호 최고 책임자 지정, 보안 전담조직과 전문 인력 구성, 중장기 보안 계획 수립 등의 로드맵을 갖춰야 한다고 조언했다.

거래소 해킹은 APT 공격 방식을 사용하고 있으며, 개인 사용자를 대상으로는 보이스피싱 등의 공격을 이용한다. 따라서 거래소에서 모니터링을 하면서 수집한 위협 정보를 공유하고, 공격에 이용되는 계좌를 추적해 이상거래를 차단하면 보안사고 위협을 크게 줄일 수 있다.

이석우 두나무 대표는 “거래소에서 발생하는 위협을 공유하는 모델이 필요하다. 고객과 고객의 자산을 보호하는 대책을 마련하지 않으면 거래소가 경쟁력을 가질 수 없다”고 강조했다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.