최근 시가총액 2조달러를 돌파하는 등 가상화폐시장이 급속도로 성장하고 있다. 이에 따라 가상화폐가 미래엔 달러처럼 화폐의 기준이 될 수 있을지 관심이 모아지고 있다. 하지만 이를 위해선 가상화폐가 일단 해킹 등 보안문제가 어느 정도 보장되는지 알아볼 필요가 있다./ 그래픽=박설민 기자

시사위크=박설민 기자  ‘비트코인’을 필두로 ‘가상화폐(암호화폐)’시장이 급속도로 성장하면서 미래 화폐의 모습이 바뀌는 것 아니냐는 예측이 나오고 있다. 실물 지폐 대신, 가상화폐를 사용하게 된다면 도난과 파손, 위조의 위험에서 자유로울 뿐만 아니라, 실물 지갑을 들고 다녀야하는 불편함도 사라질 수 있다는 기대감에서다.

하지만 가상화폐가 디지털 정보로 이뤄진 전자화폐인만큼, 해킹 등 정보보안 문제에 대한 우려의 목소리도 큰 상황이다. 과연 가상화폐는 4차 산업혁명시대에 ‘달러(Dollar)’를 넘는 새로운 기준 화폐가 될 수 있을까.

◇ 절대 뚫리지 않는 방패 ‘블록체인’

화폐에서 가장 중요한 것은 ‘위조 등의 보안 문제로부터 얼마나 자유로운가’라고 볼 수 있다. 현재 모든 국가의 지폐는 위조와 도난을 막기 위해 엄청나게 많은 기술과 인력을 투입하고 있지만, 범죄를 완전히 뿌리 뽑지는 못한 상황이다.

이런 측면에서 봤을 때 가상화폐는 확실히 보안능력이 뛰어난 화폐라고 볼 수 있다. 일반적으로 가상화폐는 분산 컴퓨팅 기술 기반의 데이터 위변조 방지 기술 ‘블록체인(blockchain)’이 적용돼 사실상 해킹이 불가능하다는 것이 블록체인 분야 및 IT 분야 전문가들의 공통된 의견이다.

블록체인이란 P2P방식을 기반으로 소규모 데이터들을 ‘블록’에 데이터를 담은 후 무수히 많은 체인 형태로 연결해 이를 복제한 후 저장하는 분산형 데이터 기술이다. 수많은 컴퓨터에 동시에 이를 복제해 저장해서 누구도 임의로 해당 데이터를 수정할 수 없고, 누구나 변경 결과를 열람할 수 있도록 만들어주기 때문에 ‘공공 거래 장부’라고도 불린다. 

블록체인이 미래 가상화폐의 핵심 기술로 꼽히는 이유는 사실상 해킹이 불가능하기 때문이다. 블록체인은 새로운 블록이 생성될 때 이전 블록이 가진 고유값인 ‘해시’를 저장하는데, 이 해시를 통해 모든 블록들은 서로 연결돼 있다.

만약 어떤 해커가 가상화폐의 거래 내역이나 보유 숫자 등을 임의로 조작하기 위해선 해당 해시 값이 변경해야 하는데, 그렇게 되면 해당 해시 값을 가지고 있는 다음 블록의 해시 값도 변경될 수밖에 없다. 

따라서 블록체인 기반의 가상화폐를 해킹하고자 하는 해커는 해킹에 성공한 첫 번째 블록뿐만 아니라 연쇄적으로 바뀌는 수억 수조개에 이르는 엄청나게 많은 블록들의 해시 값을 전부 변경해야 하기 때문에 사실상 해킹이 불가능한 것이다. 

하지만 ‘보안이 핵심’인 블록체인 기반의 가상화폐의 해킹 사례 및 피해는 분명히 존재하는 상황이다. 지난 11일 발생한 폴리네트워크 가상화폐 거래소 대규모 해킹사건처럼 말이다. 미국의 해커조직들은 글로벌 가상화폐 거래소인 폴리네트워크에서 6억달러, 한화 약 6,940억원에 이르는 가상화폐를 해킹한 것으로 알려졌다. 

재미있는 점은 해커 집단은 거의 대부분의 가상화폐를 돌려준 후 “돈에 큰 관심이 없으며, 네트워크를 보호하는 방법을 알려주고 싶다”고 말하며 가상화폐 거래의 보안성 문제를 지적했다는 것이다. 그동안 강력한 보안을 자랑한다고 전문가들이 입을 모아 말하던 가상화폐가 해킹의 위협에 시달리고 있는 이유는 무엇일까.

분산 컴퓨팅 기술 기반의 데이터 위변조 방지 기술 ‘블록체인(blockchain)’이 적용된 가상화폐를 해킹하는 것은 사실상 불가능하다는 것이 블록체인 분야 및 IT 분야 전문가들의 공통된 의견이다./사진=Gettyimagesbank

◇ ‘절대 방어’ 블록체인 있음에도 가상화폐가 해킹당하는 까닭

보안업계 전문가들은 가상화폐가 해킹의 위협에서 자유로울 수 없는 이유를 가상화폐가 ‘전자지갑’이라는 거래 방식이 보안의 빈틈을 지니고 있기 때문이라고 지적한다. 블록체인 자체를 해킹하는 것은 사실상 불가능하기에, 가상화폐 자체를 해킹할 위협은 거의 없으나 이를 보관하고 거래하는 전자지갑을 해킹하는 것은 가능하다는 것.

전자지갑은 가상화폐를 보관하고 관리하기 위해 공개키와 개인키를 저장하고 있는 지갑으로 비트코인 등 가상화폐를 거래하기 위해서는 전자지갑을 생성해야 하는데, 일종의 계좌·비밀번호라고 할 수 있는 공개키와 개인키가 이 전자지갑의 보안을 담당한다. 그런데 여기서 가상화폐 거래를 위해 사용되는 거의 대부분의 전자지갑은 ‘핫 월렛(Hot wallet)’이라는 것이 문제다. 

USB 등으로 이뤄진 오프라인에서 이용 가능한 전자지갑 ‘콜드 윌렛(Cold wallet)’과 달리, 온라인 상에서 이용이 가능한 핫 월렛은 입출금 및 송금이 바로바로 가능해 매우 편리하지만, 동시에 해킹의 위협에서 자유롭지 못하다. 핫 윌렛 속 보관되고 있는 가상화폐 자체를 해킹하는 것은 불가능할지라도 이용자가 사용하는 공개키와 개인키를 해킹하는 것은 해커들에게 그리 어려운 일이 아니기 때문이다.

쉽게 말하면, 절대 복제할 수 없는 지폐가 있어 위조 등의 위협에서는 안전하지만 이를 보관하는 지갑(핫 월렛)의 지폐가 도난당할 가능성은 충분히 있다는 것. 만약 소매치기(해커)들이 나의 지갑을 훔친 후 들어있는 지폐를 가져간다면 지폐 자체의 보안 문제가 발생한 것은 아니지만 결국 막대한 금전적 피해와 강도들이 부당한 금전적 이익을 가져가는 것은 마찬가지라 볼 수 있다.

실제로 대표적인 가상화폐 거래소 해킹 사건으로 꼽히는 2014년 일본 마운트곡스 사건도 핫 윌렛 기반 전자 지갑을 해커들이 해킹해 발생했다. 당시 마운트곡스는 85만개에 달하는 비트코인, 한화 약 5,660억원에 달하는 금액을 도난당하고 파산됐다.

홍성혁 백석대학교 ICT학부 정보보호전공 교수도 ‘가상화폐 거래소 해킹 공격 분석 및 해결 방안 연구(2019)’ 논문을 통해 “기술정보의 가치가 높아짐에 따라 해킹을 통한 기술정보를 탈취하려는 해킹 공격이 늘어나고 있다”며 “최근 가상화폐 거래소의 해킹은 기존의 기술정보보다 훨씬 현금화가 쉬워 해커들의 주요 공격 대상이 되고 있다”고 지적했다.

그러면서 “블록체인 기술은 해킹이 불가능하지만, 가상화폐 거래소에서 트레이딩 되는 가상화폐 거래내역은 블록체인에 기록되지 않고 단순한 거래소 내부 거래이기 때문에 내부자가 시세를 조작해 차액을 남기거나 외부로 유출되는 사례가 빈번히 발생하고 있다”고 우려했다.

전문가들은 가상화폐 자체의 보안은 걱정할 필요가 없지만, 가상화폐를 거래하는 거래소와 전자지갑에 대한 해킹은 충분히 이뤄질 수 있는 만큼, 이에 대한 안전 관리가 시급하다고 지적한다./ 그래픽=박설민 기자

◇ 전문가들, “가상화폐도 금융권에 준하는 보안 수준을 갖춰야”

가상화폐가 새로운 화폐의 기준이 될 수 있을지는 확실하지 않다. 하지만 가상화폐 시장의 규모는 날이 갈수록 빠르게 성장하고 있는 상황이다. 글로벌 가상화폐 시황중계 플랫폼 코인마켓앱에 따르면 전체 가상화폐 시가총액은 2조달러(한화 2,351조 원)을 돌파한 것으로 알려졌다.

막대한 자금이 유통되고 있는 만큼, 이에 대한 보안책 마련도 시급하다는 것이 전문가들의 지적이다.

한국정보전자통신기술학회논문지에 게재된 ‘블록체인 기반 가상화폐 거래의 보안 위험 및 대응방안(2018)’ 논문에 따르면 △전자지갑 키 관리 보호 방안 △거래소 Web/App 취약점 제거 △서버 권한 관리 및 모니터링의 세 가지 대응 방안이 필요한 것으로 나타났다.

먼저 ‘전자지갑 키 관리 보호 방안’에 따라 개인키 암호화 보관 및 분산 보관하거나 키관리 솔루션 등을 도입할 필요가 있다. 가상화폐가 보관되는 전자지갑의 주인이 ‘나’라는 사실을 유일하게 입증할 수 있는 정보가 개인키인 만큼 이를 유출하는 경우를 최소화해야 하고, 가상화폐 저장규모에 따라 추가적인 보안 대책을 적용할 필요도 있다.

두 번째 ‘거래소 웹(Web) 및 앱(App) 취약점 제거’도 필수적이다. 직접적인 개인키의 유출 외에 개인키에 대한 접근이 가능하거나 가상화폐 거래를 침해할 수 있는 부분은 사용자 PC나 스마트폰에서 사용하는 전자지갑 프로그램과 가상화폐 거래소 시스템에 해당하기 때문이다. 이에 따라 가상화폐 거래소들은 운영 중인 웹홈페이지나 앱에 보안 코딩을 추가로 적용·개발하거나 별도 채널을 통한 인증 방식을 추가해야 할 것으로 보인다.

마지막 ‘서버 권한 관리 및 모니터링’는 보안 위협에 대한 대책을 수립한 이후에도 운영 담당자가 절차를 지키지 않은 것이 보안 사고로 이어지는 상황을 막기 위한 대책이다. 이를 위해선 운영자 서버에 접근이 필요한 경우, 사전에 등록된 권한 관리 서버를 통해서 승인을 받을 수 있는 ‘운영자 권한관리 및 모니터링’을 도입하고, 정보보호 관리체계 등을 도입해 지속적으로 보안 활동이 수행될 수 있도록 여건을 마련해야 한다는 것이 전문가들의 설명이다.

해당 논문의 저자인 차재상 서울과학기술대학교 전자IT미디어공학과 교수와 정용식 한국정보전자통신기술학회 정회원(성균관대학교 정보보호 공학석사)은 “이제 가상화폐가 자리를 잡아가면서 우리 생활 속으로 조금씩 다가오고 있는 이 시점에 보안사고로 인해서 가상화폐에 대한 관심과 열기가 식지 않기를 바란다”며 “아직 가상화폐가 우리나라에서는 금융제도권으로 들어오지는 못했다 해도 앞으로 가상화폐 서비스는 금융권에 준하는 보안 수준 이상을 갖춰야 할 것”이라고 전했다.

관련기사

키워드

#가상화폐 #비트코인 #암호화폐 #블록체인 #해킹
저작권자 © 시사위크 무단전재 및 재배포 금지
이 기사를 공유합니다