해커들, 보안 취약한 '전자지갑' 노리고
거래소는 비용 아끼려 최신기술 적용 안해
거래소는 비용 아끼려 최신기술 적용 안해
블록체인 기술의 장점은 거래 내역 위변조와 해킹이 불가능할 정도로 강력한 보안 기능을 갖췄다는 것이다. 하지만 가상화폐거래소는 기존 웹사이트와 마찬가지로 중앙 서버를 두고 운영하기 때문에 외부 공격에 취약하다. 코인체크를 공격한 해커들은 2014년 당시 세계 최대 가상화폐거래소 ‘마운트곡스’ 해킹 사태 때와 마찬가지로 거래소 지갑에 보관된 이용자들의 가상화폐를 노린 것으로 드러났다.
보안업계에서는 코인체크가 최신 보안기술을 적용하지 않은 것을 이번 사태의 핵심 원인으로 지적하고 있다. 일본 지지통신은 가상화폐 기술을 보급하는 국제단체가 2016년 코인체크 측에 거래 시 이중 전자 서명을 채택해 안전성이 높은 ‘멀티시그(multisig)’ 기술 사용을 권장했지만 코인체크가 대응을 미뤘다고 지난 27일 보도했다.
멀티시그는 지갑의 열쇠를 여러 개 만들어 신뢰할 수 있는 관계자들이 나눠 가지는 방식이다. 지갑을 열려면 두 사람 이상의 키를 모두 가져와야 한다. 해당 키를 가지고 있는 사람이 전부 해킹당하지 않는 한 지갑을 열 수 없는 구조라 안전하다는 평가를 받는다.
하지만 코인체크는 이 같은 기술을 쓰지 않고 보안 수준이 낮은 ‘핫월렛(hot wallet)’에 투자자의 가상화폐를 보관했다. 핫월렛은 온라인에 연결된 가상화폐 거래용 지갑이다. 와다 고이치로 코인체크 사장은 기자회견에서 이를 인정하고 “보안 기술이 어려운 데다 그걸 도입할 수 있는 인재도 부족했다”고 말했다.
해커들이 이처럼 가상화폐를 새로운 표적으로 삼는 것은 상대적으로 현금화하기 쉬운 특성 때문이다. 가상화폐 보안 업체 레저월렛의 에릭 라르슈베크 최고경영자는 CNBC 방송에서 “은행 계좌나 비밀번호는 해킹했다고 해도 곧바로 돈이 되는 것이 아니지만 비트코인은 현금이나 마찬가지”라며 “전 세계 해커들이 가상화폐를 노리고 있다고 본다”고 경고했다.
유하늘 기자 skyu@hankyung.com
보안업계에서는 코인체크가 최신 보안기술을 적용하지 않은 것을 이번 사태의 핵심 원인으로 지적하고 있다. 일본 지지통신은 가상화폐 기술을 보급하는 국제단체가 2016년 코인체크 측에 거래 시 이중 전자 서명을 채택해 안전성이 높은 ‘멀티시그(multisig)’ 기술 사용을 권장했지만 코인체크가 대응을 미뤘다고 지난 27일 보도했다.
멀티시그는 지갑의 열쇠를 여러 개 만들어 신뢰할 수 있는 관계자들이 나눠 가지는 방식이다. 지갑을 열려면 두 사람 이상의 키를 모두 가져와야 한다. 해당 키를 가지고 있는 사람이 전부 해킹당하지 않는 한 지갑을 열 수 없는 구조라 안전하다는 평가를 받는다.
하지만 코인체크는 이 같은 기술을 쓰지 않고 보안 수준이 낮은 ‘핫월렛(hot wallet)’에 투자자의 가상화폐를 보관했다. 핫월렛은 온라인에 연결된 가상화폐 거래용 지갑이다. 와다 고이치로 코인체크 사장은 기자회견에서 이를 인정하고 “보안 기술이 어려운 데다 그걸 도입할 수 있는 인재도 부족했다”고 말했다.
해커들이 이처럼 가상화폐를 새로운 표적으로 삼는 것은 상대적으로 현금화하기 쉬운 특성 때문이다. 가상화폐 보안 업체 레저월렛의 에릭 라르슈베크 최고경영자는 CNBC 방송에서 “은행 계좌나 비밀번호는 해킹했다고 해도 곧바로 돈이 되는 것이 아니지만 비트코인은 현금이나 마찬가지”라며 “전 세계 해커들이 가상화폐를 노리고 있다고 본다”고 경고했다.
유하늘 기자 skyu@hankyung.com
