안타깝게도 또 다른 거래소 해킹이 발생했다. 최근 발생한 보안해킹은 지난 9월 14일 일본의 암호화폐거래소인 Zaif에서 일어났다. 자그마치, 도난당한 피해액은 미화 6천만 달러 (한화 약 684억)에 육박하는 규모이다. 2014년 Mt. Gox의 대규모 해킹을 시작으로 크고 작은 해킹사건들이 지속적으로 발생하고 있으며, 지금 이 순간에도 암호화폐 보유자들의 막대한 피해와 손실은 계속되고 있다.

블록체인이 안전하다고 하지만, 왜 계속 이런 일들이 발생하는 것일까?

다시 말하지만, 블록체인 기술 자체는 보안적 측면에서 안전한 기술이다. 다만, 문제는 이 블록체인과 연계하여 서비스 되는 어플리케이션들의 취약성에 있다. 더불어, 보안수준이 낮은 암호를 사용하거나, 전자메일/SNS 등의 소셜엔지니어링을 통한 피싱 사기를 당하는 경우, 그리고 인터넷상에 개인 키를 노출시키는 것과 같은 잘못된 보안 관행들이 수 많은 암호화폐 보유자들을 곤경에 처하게 하는 것이다.

그렇다면 우리는 이러한 해킹에 어떻게 대처할 수 있을까?

악성 이메일 스피어 피싱: 가장 성공률이 높은 공격 방법
이러한 해킹을 방지하기 위해, 우리는 먼저 이것이 어떻게 발생하는 지부터 알아볼 필요가 있다. 해킹은 여러 가지 방법으로 발생하지만 그중 현재까지 가장 성공률이 높은 악의적 공격 방법은 소셜 엔지니어링(이메일, SNS 등을 통해 악의적으로 탈취한 개인정보를 활용하여 피싱/스캠에 활용하는 방법)기법으로 악성코드를 유포하는 스피어피싱 이메일이다.

스피어 피싱이란 특정 개인이나 회사를 대상으로 한 피싱(phishing) 공격을 말하며 (주로 암호화폐거래소에서) 도용한 이메일을 통해 해당 개인이나 기관의 중요정보를 탈취하는 것이다.

이러한 피싱이메일은 진짜처럼 보일 수 있으며, 특히 해커가 소셜 엔지니어링 기법을 사용했을 경우 더욱 구분하기 어렵다. 만일 피해자의 프로필 정보가 Facebook과 Twitter와 같은 소셜 미디어에서 공개적으로 노출되어 있는 경우, 해커는 해당 정보를 이용하여 피해자에게 피싱이메일을 보낼 수 있으며, 이러한 방법은 일명 ‘소셜 엔지니어링기법’으로 알려져 있다.

피해자가 도용된 이메일의 지시 사항을 따를 때, 해커는 거래소의 지갑에 접근이 가능하고, 결국 지갑정보를 탈취할 수 있게 된다. 또한 소셜 엔지니어링 기법은 피해자들의 공개키나 패스프레이즈(PassPhrase) 정보를 획득함으로써 개인 지갑을 해킹하는데도 이용된다.

암호화폐서비스 제공자들이 사용자들을 보호하기 위해 반드시 해야 하는 것
현재까지 거래소들은 외부의 위협에 대처하고 방어하는 역할은 잘 수행해 왔지만, 반면 내부로부터의 위협을 막는 것에는 한계를 보이고 있다. 웹 어플리케이션의 보완을 강화 시키는 것과는 별개로, 모든 이해당사자들은 외부 뿐만 아니라 내부로부터의 공격을 방지하기 위한 보안 인식 프로그램을 반드시 거쳐야 한다.

또한 자금세탁(Wash Trading)에 대한 방지책도 필요하다. 일단 해커들이 암호화폐자금을 탈취하면, 이를 작은 단위의 암호화폐로 쪼개고 일정한 순서에 따라 반복적으로 사고 파는 방식을 통해, 탈취한 암호화폐 추적을 차단하고 현금화를 시도하기 때문이다.

지갑 서비스 기업 역시 전통적인 은행이나 카드사가 취했던 방식처럼, 지갑 소유자로부터 어떠한 의심스러운 활동이 발견 될 경우, 해당 지갑 소유자에게 관련 내용을 고지할 의무가 필요하다. 예를 들면, 아시아 지역에서 주로 낮 시간 동안 해당 지갑을 통해 거래를 하던 지갑 소유자가 평상시와는 달리 한밤 중에 거래를 발생시킨다면 해당 거래는 사전 보안수준 약관에 따라 이러한 의심스러운 거래 행위는 우선 차단하고, 그 지갑 소유자에게 경고 알림을 전달하는 조치가 이에 해당된다.

더 나은 방법: 집단지성의 공격 데이터로 사전대책을 취하기
비트코인이 화폐의 가치로서 거래 되기 시작할 때부터 지금까지, 수 많은 암호화폐 거래소와 지갑서비스 기업들은 스캠/피싱/해킹 등과 같은 악의적인 보안공격에 계속해서 대응하는 노력을 해오고 있다.

하지만 이제는 더욱 추가적인 노력이 필요할 때이다.

해커들은 계속해서 공격 방법을 교묘히 수정하고 있기 때문에, 보안의 취약성을 단지 그때 그때 땜질하는 식의 사후 대응하는 것 만으로는 충분치 않게 되었다. 이제는 피해를 당한 후에 수습에 급급해 하기보다 해커들 보다 한 발 앞선 사전대책을 강구해야 하는 때이다.

분권화된 데이터베이스를 사용하여 최신 사이버 보안 위협 추적
Sentinel Protocol은 세계 각지의 집단지성으로부터 취합된 위협 정보 데이터를 수집하고 저장하기 위해 분권형 위협 평판 데이터베이스(Threat Reputation DataBase : TRDB)를 만들었다.

TRDB의 가장 큰 특징은 위협 정보가 담겨 있는 데이터베이스가 크라우드소스(Crowdsourced) 네트워크에 기반하고 있다는 것이다. 즉 누구나 사이버 공격과 의심스러운 활동을 포착한다면, Sentinels로 알려진 사이버 보안 전문가 팀에 보고할 수 있다는 의미이다.
Sentinels는 각 사례 보고서를 검증하고 새로운 위협 데이터를 TRDB에 저장함으로써 다른 사용자가 해당 정보를 접근할 수 있게 한다. 또한 검증된 안전 도메인과 악성 도메인, URL 및 지갑 주소를 각각 최신으로 업데이트 한다.

새롭게 런칭된 API를 이용함으로써 암호화폐서비스 제공자들에게 실시간 위협데이터에 대한 접근 가능
Sentinel Protocol은 암호화폐 거래소와 지갑 서비스의 보안을 강화하기 위해 모든 플랫폼에 이용 가능한Interactive Cooperation Framework API(ICF API)을 런칭 하였다.

8월에 출시된 UPPward Chrome Extension 제품과 달리, 새로운 ICF API는 암호화폐서비스 제공업체가 TRDB와 더불어 화이트리스트 및 블랙리스트를 실시간으로 확인할 수 있도록
한다.

하지만, 향후의 모든 해킹공격에 대한 예방을 TRDB 하나에만 의존할 수 없으므로, 암호화폐서비스 제공자는 데이터 사용을 위해 필요한 사이버 보안 전문지식을 보유해야 한다. PayPal, Facebook, 그리고 Citibank와 같이, 암호화폐 거래소는 자체 사이버 보안 센터(Cybersecurity Operations Centers)를 운영하면서 의심스러운 활동을 지속적으로 모니터링하고 해킹을 방지하기 위해 노력해야 할 것이다.

이제 암호화폐거래소들도 도난당한 자금을 회수하고 해커를 잡을 수 있다
ICF API를 사용함으로써, 암호화폐 서비스 제공자들은 사용자들의 자산이 더 이상 도난 당하지 않도록 보호할 수 있을 뿐만 아니라, 안전한 거래소에 대한 그들의 명성과 신뢰를 보존할 수 있다. 그것이 가능한 이유는 거래를 진행하기 전에 TRDB를 통해 발신자 및 수신자의 지갑 주소가 안전한 것인지 즉시 확인할 수 있기 때문이다.

초기에 검사를 수행함으로써 사전에 위협요소가 있는지를 체크할 수 있을 뿐 만 아니라, 사후에도 다른 의심스러운 행적들이 감지되는지 확인할 수 있게 된다.

이전에 안전한 지갑으로 확인된 주소가 거래에 사용된 후 의심스러운 행동이 포착된다면, 해당 내용은 보안 위협으로 인지되어 TRDB에 보고, 블랙리스트에 추가되며 이후 모든 거래가 격리(차단)될 것이다.

끝으로, 새로운 ICF API는 향후 업데이트에 머신러닝 모듈을 추가할 수 있는 방법을 제공할 예정이다. 이러한 머신러닝(Machine Leaning) 방식의 실시간 위협분석 및 대응은 특정 지갑 주소에 대한 비정상행위를 거래소가 선제적으로 분석하고, 해킹 등의 사고에 실시간으로 대응할 수 있도록 도움으로써 도난 당한 암호화폐자금을 동결하게 하는 것도 가능하게 할 것이다.

글= Nobel Tan, Head of Security, Sentinel Protocol

정리= 한경닷컴 뉴스팀 newsinfo@hankyung.com