|
해커들은 이미 오래전부터 가상자산 거래소와 인터넷 연결을 통해 디파이 서비스(인터넷 연결을 통해 블록체인 기술로 다양한 금융 서비스를 제공)등을 먹잇감으로 삼아왔다. 2년 전 블록체인 게임 엑시인피니티는 해킹으로 약 7400억원에 달하는 피해를 입었다. 같은 해 디파이 서비스 ‘클레이스왑’은 약 22억원에 달하는 가상자산을 탈취당했고, 블록체인 프로젝트 ‘메타콩즈’도 소셜네트워크(SNS) 해킹으로 피해를 봤다.
지난해에는 국내 가상자산 거래소 지닥이 약 200억원에 달하는 가상자산을 해킹당했다. 올해 가장 큰 사건으로는 일본 가상자산 거래소 ‘DMM 비트코인’이 꼽힌다. 지난 5월 DMM 비트코인은 해킹으로 480억엔(약 3억500만달러)에 달하는 비트코인을 탈취당했다고 밝혔다.
전문가들은 순수 블록체인 기술의 경우 해킹이 불가능하다고 말한다. 블록체인의 경우 중앙 집중화된 서버에 모든 정보를 저장·관리하던 것과는 달리 여러 곳에 나눠 보관한다. 정보를 분산시켜 여러 곳에 저장하기 때문에 해커가 한 저장소를 공격해도 소용이 없다. 쉽게 말해, 정보가 저장돼 있는 수많은 저장소들을 한 번에 해킹해야 해 불가능하다는 의미다.
|
실제로 해커들이 탈취한 정보들을 거래하는 ‘해킹 포럼’ 사이트에는 가상자산 거래소 이용자들의 신원확인정보(KYC) 등을 판매하는 게시글이 올라와 있다. 한 해커는 바이낸스, 바이비트, 후오비, 쿠코인 등에 등록돼있는 계정 정보를 30~40달러에 판매하고 있었다.
피싱 위험도 존재한다. 최근 해커들은 개인키 도용, 자금 탈취를 위해 다양한 전술을 사용 중인데 그 중 하나가 ‘크립토 드레이너(Crypto Drainer)’다. 크립토 드레이너는 일종의 피싱 도구로 블록체인 프로젝트를 가장해 이용자가 가상자산 지갑을 연결하도록 유도한다. 이를 통해 지갑 내부 자산들을 훔쳐가는 방식이다. 해커들은 소셜 네트워크(SNS) 디스코드 커뮤니티 등을 통해 가짜 블록체인 프로젝트 사이트를 홍보한다. 실제로 올 1월에는 미국 증권거래위원회(SEC)의 엑스(구 트위터)가 해킹된 직후 SEC를 사칭한 크립토 드레이너가 나타나기도 했다.
|
블록체인을 둘러싼 외부 환경과 과정에서의 취약점을 이용하는 공격이 대다수인 만큼 피해를 예방하기 위해서는 가상자산 거래소가 보안 정책과 신원 인증 등에 대한 준비를 철저히 해야 한다는 지적이 나온다. 내부 인프라 전반의 코드를 검증 받는 ‘코드 보안 감사(오디팅)’이나 해커 관점으로 공격 기법을 연구하는 ‘오펜시브 시큐리티’를 도입할 필요가 있다는 분석도 있다.
법조계에서는 국내 가상자산 거래소 등 사업자들이 이용자 보호에 필요한 보안적 대비는 돼있지만, 그럼에도 불구하고 발생하는 해킹 사고에 대해서는 거래소 역시 피해자로 봐야 한다고 말한다. 조원희 법무법인 디엘지 변호사는 “거래소들은 기본적으로 사업자 신고를 위해 정보보호 관리체계(ISMS) 인증을 받는다”라며 “그럼에도 불구하고 발생하는 해킹에 대해서는 책임의 균형이 필요한 영역이다. 거래소나 플랫폼들 또한 기술적 대비를 다 마쳤음에도 공격을 받은 피해자이기 떄문”이라고 설명했다.