SBS Biz

■ 경제와이드 이슈& '생활경제' – 한인수 펜타시큐리티 이사

가상화폐 규제에 대한 이야기 해봤지만 전세계적으로 가상화폐를 악용한 신종 범죄들이 속속 발생하고 있잖아요. ICO 사기, 가상화폐 채굴 사기, 다단계 사기 등 종류도 많고, 범죄 규모도 지능화 되면서 뭔가 대책이 필요하다는 목소리가 많죠. 그런데 가상화폐 자체가 해킹이 됐다는 소식은 아직 들어보지 못한 것 같아요. 해킹이 된다면 정말 겉잡을 수 없이 피해가 커질 것 같은데요. 가상화폐 해킹 가능성과 보안에 대한 이야기 나눠보겠습니다.

Q. 이 코너를 통해 가상화폐의 안전성에 몇번 짚고 넘어갔었는데요. 시청자분들을 위해 조금 더 알기 쉽게설명해주시겠어요?

그동안 큰 범주에서 가상화폐의 근간인 블록체인의 기술적 우수성 때문에 안전하다고 말씀드렸고요. 가상화폐 거래소와 전자지갑의 보안만 잘 되어있으면 안전하다 이렇게 간략하게 설명드렸습니다. 그런데 너무 간단하게 요약하다보니 충분하지 않았던 것 같습니다. 오늘은 시간이 허락되는 범위에서 조금 더 설명 드리도록 하겠습니다.

Q. 그러면 첫번째로 명의 도용 이야기가 나오던데요, 가상화폐가 은행처럼 실명으로 거래하는게 아니고 익명성이 있다고 하던데, 그렇다면 다른 사람의 명의를 불법으로 도용하는게 가능하지 않을까요?

그럴 수도 있고 그렇지 않을 수도 있습니다. 개인 투자자가 비트코인을 국내 거래소에서 거래하는 것을 예로 들어보겠습니다. 우선 국내 거래소에 회원으로 가입하려면 몇가지 본인 인증 절차를 거쳐야 합니다. 이를테면 휴대전화를 이용하여 본인 인증을 해야 합니다. 회원이 되면 자기 명의로 된 은행 계좌에서 거래소에서 자동생성된 전용 가상계좌에 송금을 해야 합니다. 이 과정을 통해 한번 더 개인 신분 확인이 되지요.

거래를 할 때도 거래소 사이트에 아이디와 패스워드를 입력한 후에 OTP나 전화인증을 통해 본인임을 확인하는 절차를 거치게 됩니다. 따라서 소유자 몰래 도용하기는 매우 어렵습니다. 하지만 가상화폐 전자지갑을 이용하는 경우 이야기는 다릅니다.

예를들어 거래소에 보관해 두었던 비트코인을 전자지갑으로 보낼 수 있는데요. 가상화폐 전자지갑은 계좌번호 역할을 하는 주소만 있을 뿐 누구의 소유인지는 나와있지 않습니다. 따라서 익명성의 이야기가 나오게 되는 것이죠. 기억나시겠지만 랜섬웨어로 공격한 해커들이 비트코인을 보내라고 하면서 자기들의 비트코인용 전자지갑 주소를 적어놓았는데요 거기로 보내라고 하는 것은 이런 익명성을 악용한 것입니다.

물론 인터넷 IP를 추적하면 전자지갑의 소재를 어느정도 파악할 수 있지만 지능적으로 계속 도망 다니면 찾기는 매우 어렵습니다. 그렇더라도 가상화폐 거래소에서 회원을 실명으로 관리하고 본인을 인증하는 절차가 잘 정착되고 유지된다면 명의 도용의 피해는 크게 줄일 수 있습니다.

Q. 거래소가 해킹 당하는 사례가 종종 있었지 않았습니까? 거래소 해킹은 가상화폐의 해킹과는 다른 것인가요? 가상화폐가 안전하다는 말 때문에 마치 거래소도 안전한 것으로 오해 하는 경우도 종종 있는 것 같습니다.

가상화폐는 암호를 기반으로 만들어졌고, 블록체인이라고 불리는 분산된 암호화 장부로 인해 사실상 해킹이 불가능합니다. 다만, 이 가상화폐를 다루는 거래소의 보안 문제는 완전 별개로 봐야 합니다.

우선 가상화폐 거래소는 하나의 웹 사이트 입니다. 전자상거래를 하는 인터넷 상의 웹사이트로 보시면 됩니다. 따라서 보안을 해야 하는 것 역시 다른 일반 웹사이트와 다르지 않습니다. 기업 정보 보안 표준에 따라 웹 방화벽, 데이터 암호화, 보안 인증 등 철저한 대비를 해야 합니다.

특히 요즘 처럼 비트코인의 가격이 폭등하는 시기에는 항상 해커의 표적이 될 수 밖에 없는데요, 웹사이트 공격 방법은 나날이 진화하고 있기 때문에, 보안 수준을 더욱 높여 지능적인 공격에 대비해야만 합니다.

Q. 그런데 거래소 해킹으로 인해 비트코인이 도난된다거나 하면 피해 보상은 어떻게 되나요? 그동안에 국내외의 거래서 해킹 사건으로 인해 개인 투자자의 피해도 꽤 큰 것 같은데요. 보상은 제대로 이루어지게 되나요?

사실 그것이 가장 심각합니다. 거래소는 사설 거래소이고 운영하는 회사도 민간기업입니다. 거래소 해킹으로 피해를 입었을 때, 피해는 고스란히 개인에게 돌아갑니다. 물론 거래소를 운영하는 기업이 소비자 피해를 최소화 하기 위해 노력을 하기도 합니다만, 여력이 있는 거래소에서나 가능하고요. 피해가 너무 커서 보상을 하지 못하고 파산한 경우도 있었습니다. 따라서 만일 가상화폐를 거래한다면 보안에 철저하게 대비하고 있는 믿을 만한 거래소를 선택하는 것이 매우 중요합니다.

Q. 얼마전 거래소 서버가 다운되어서 제때 사고 팔지 못한 투자자들이 손해를 보았다며 피해 보상을 요구하는 사례도 있지 않았습니까? 아직도 해결이 원만하게 이루어지지 않은 것 같은데요. 이런 일은 왜 발생하나요? 이것도 해킹의 피해 인가요?

그 사건의 내용은 조금 더 살펴봐야하지만, 일단 거래 폭증으로 인한 서버 다운으로 보입니다. 서버의 동작이 중단되었다가 다시 재개 되었지만 그 시간동안 거래를 하지 못한 개인은 가격의 폭락해서 제때 팔지 못하여 피해를 입은 것이죠. 따라서 해킹이든 서버다운이든 개인에게는 피해가 발생한 것입니다.

이 문제 역시 그 거래소와 개인과의 계약관계에 따른 것이므로, 결국 손해 배상은 민사상의 분쟁으로 이어질 수 밖에 없을 것 같습니다. 이런 이유로 안전하고 믿을 만한 거래소의 선택은 그 어느때보다 중요해진 것 같습니다.

Q. 앞서 전자지갑의 보안에 대해서도 이야기 해주셨었는데요. 전자지갑을 이용하는 개인은 어떤 것에 주의를 기울여야 하나요?

전자지갑의 종류가 아주 많습니다. USB처럼 생긴 별도의 메모리에 보관하는 경우도있고, 노트북 또는 스마트폰에 깔아서 사용하는 소프트웨어도 있습니다. 그리고 웹 페이지에 접속해서 사용하는 인터넷 서비스 형태의 전자지갑도 있고요. 전자지갑을 만드는 회사도 아주 많습니다. 따라서 소비자가 안전한 지갑을 선택하는 일은 사실 쉽지 않습니다.

전자지갑을 열려면 마치 우리가 공인인증서를 사용할 때 비밀번호를 넣는 것 처럼 열도록 되어있고, 이중 보안을 사용하기도 합니다. 지문을 인식하는 기기도 있고요. 하드웨어의 경우는 잃어버리지 않도록 잘 간수해야 하고, 앱처럼 설치해 쓰는 경우는 단말기의 보안이 중요합니다. 웹 서비스형태도 계정 비밀번호를 잘 관리해야 하고요. 그러나 어떤 형태의 전자지갑이든 해커가 공통적으로 노리는 것은 전자지갑에 들어있는 ‘개인키’라고 불리는 것입니다. 이 개인키를 해커가 탈취하면 마치 공인인증서를 해킹해서 은행 계좌에 있는 돈을 빼 내가는 것처럼, 가상화폐를 훔쳐낼 수 있습니다.

추가적으로 말씀드리면 소액으로 비트코인이나 이더리움을 거래하는 경우는 별도의 전자지갑 없이 거래소만을 이용하는 것이 관리하기 가장 편리할 것 같고요. 본격적인 투자자가 전자지갑을 이용하는 경우 보안이 잘 되어있는 지갑을 선택하실 것을 권합니다. 또한 한 지갑에 너무 많은 가상화폐를 두는 것 보다는 몇 가지로 분산하여 관리하는 것이 필요합니다. 전자지갑에서 꼭 기록해야 하는 것은 지갑의 주소와 개인키인데요, 숫자의 알파벳의 조합으로 되어있는 긴 문자열입니다. 경우에 따라서는 종이에 적어 잘 보관해 두는 분들도 있었습니다.

(자세한 내용은 동영상을 시청하시기 바랍니다.)