최근 보안업계 관계자들을 만나면 종종 들을 수 있는 말입니다. 전문가 10명 중 9명꼴로 암호화폐 시장의 해킹 사고에 대비해야 한다고 경고합니다. 불과 몇 달 전까지 암호화폐 열풍에 따른 무분별한 '거래(투기)'가 화두였지만, 이제는 '보안'이 그 자리를 차지하고 있습니다. 관련 세미나와 포럼들이 하루가 멀다하고 열리는 이유입니다.
국내 암호화폐 시장 보안 경각심에 불씨를 당긴 주인공은 암호화폐 거래소 '빗썸'과 '유빗'을 들 수 있습니다. 빗썸은 해킹 공격으로 개인정보 3만6000건을 유출시켰고, 유빗은 55억원 규모의 비트코인을 도둑맞으면서 파산 신청을 한 상태입니다. 암호화폐 선진국인 일본에서도 올해 초 암호화폐 거래소 코인체크가 5700억원의 해킹 피해로 곤혹을 치룬 바 있습니다. 이탈리아 비트그레일의 경우 나노 1700만개가 무단으로 인출됐습니다. 이들 모두 특정 타깃의 시스템에 악성코드를 잠복시키는 지능형지속공격(APT)에 당한 것으로 파악되고 있습니다.
전문가들은 해커들이 국내외를 망라하고 암호화폐 거래소를 노리는 데는 그만큼 쏠쏠한 이유가 있다고 설명합니다. 암호화폐 채굴 공격은 랜섬웨어처럼 피해자를 직접 참여시킬 필요도 없고 외부 감시도 자유로워 공격자에게 높은 경제적 이득을 제공하기 때문입니다. 초기 감염만 이뤄지면 최소한의 노력만으로 큰 성과를 거둘 수 있는 것은 물론, 수익금은 거의 영구적으로 들어오는 구조입니다. 미국 사이버보안 전문 기업인 시스코 탈로스는 우크라이나에서 최근 3년간 암호화폐 관련 5000만 달러에 달하는 피해가 발생했을 것으로 추정하고 있습니다.
물론 자금력이 부족한 암호화폐 거래소가 금융권과 같은 막대한 보안 비용에 투자하기란 쉽지 않습니다. 각각 거래소 규모나 상황에 맞춰 투자 계획 및 과제 이행 마련을 선제적으로 구축하는 것이 필요하다고 전문가들은 강조합니다. 예를 들어 중·소형 거래소는 보안 전담 인력 및 보안 인프라 구축을 계획하고, 대형 거래소는 CISO 지정 및 보안 아키텍처 수립 등을 단계적으로 수행하는 것이 필요하다는 것입니다.
국내 정보보안업체인 SK인포섹은 지난해 12월 정부의 '암호화폐 거래 실명제' 발표에 따라 암호화폐 거래소가 사실상 금융기관제도권 하에 들어왔다고 분석합니다. 현재 신고만으로 설립이 가능했던 거래소 등록을 인가제로 바뀐 '뉴욕모델'로 적용될 가능성을 높게 점치고 있습니다. 거래 은행들의 계좌 점검 강화, ISMS인증이 의무화 등 규제 수준이 높아질수록 자연스레 보안 조치가 강화될 것이라는 얘기입니다. 금융 제도권으로 들어온 암호화폐의 보안이 더욱 중요해질 수 밖에 없는 대목입니다.