가상화폐 해킹, 우려가 현실로…소비자 주의 요령은?
SBS Biz
입력2017.12.21 11:06
수정2017.12.21 11:09
■ 경제와이드 이슈& '생활경제' – 한인수 펜타시큐리티 이사
앞서 저희는 가상화폐 거래소가 해커들에 의해 해킹이 될 수 있다는 것을 확인해 봤습니다. 유빗이라는 거래소가 실제 해킹 때문에 파산했기 때문에 거래소의 해킹 위협이 실제적인 위협이라는 것을 누구도 부인할 수 없게 됐는데요. 무엇보다 해킹으로 인해 발생하는 투자자들의 피해가 가장 우려됩니다.
시급히 대책을 세워야 하는데, 일단 해킹을 막아낼 수 있는 2중3중의 보안 체계가 필요하겠죠. 국내 보안업체들은 어떻게 대비하고 있는지, 현실적으로 막아낼 방법이 있는 것인지 알아보겠습니다. 팬타시큐리티 한인수 이사와 이야기 나눠보겠습니다.
Q. 다른 거래소들은 해킹에 대비하여 안전하다고 할 수 있을까요?
지난 주 이 코너에서 가상화폐 거래소의 보안 기준에 대해 의견을 말씀 드린 적이 있었는데요, 거래소가 취급하는 금액의 규모와 보유한 개인정보의 양으로 볼 때, 은행권에서 적용되는 수준의 보안이 필요하다는 의견을 말씀드렸었습니다. 개인정보보호법의 관점에서 볼 때에도 매우 높은 수준의 보안이 요구되는 사업자입니다.
10월부터 관계당국은 10여곳의 거래소에 대해 보안 점검을 했는데, 대부분 거래소들이 기준 미달이었다고 합니다. 물론 기준을 얼마나 높게 정하느냐에 따라 미달이냐 아니냐가 상대적일 수 있지만, 많은 전문가들의 평은 거래 규모에 비해서 보안은 은행권과 비교하여 현저히 낮은 수준이라고 말하고 있습니다.
물론 가상화폐를 금융관련 법으로 규제할 수 없기 때문에 금융권의 높은 보안 기준을 강제로 의무화 할 수는 없습니다.
다만 전자상거래법을 강력하게 적용하고 개인정보보호법의 의무사항을 철저하게 적용토록 하여 기본적인 상태를 신속히 파악하고 대처할 필요가 있습니다.
소비자의 피해는 바로 가상화폐 거래소 사업자들의 피해이므로 이를 강력한 규제에 의존할 것이 아니라 자체적으로 은행권 수준에 육박하는 보안을 갖추도록 노력해야 합니다. 정보 보안 전문가들을 내부에 반드시 두고 체계적인 보안이 되도록 해야 합니다.
업계 스스로 노력하지 않고 이처럼 소비자 피해가 반복되면, 가상화폐 거래에 대한 곱지 않은 대중의 시각을 바꾸기 어려울 것 같습니다.
Q. 그렇다면 가상화폐 거래소에서 자발적으로 당장 해야하는 구체적인 보안 조치들은 어떤 것이 있을까요?
우선 소비자에게 매우 솔직하게 투명하게 현재 각자 적용하고 있는 해킹 대비 및 정보 보안 조치를 적극적으로 공지해야 한다고 봅니다.
부족한 부분이 있다면 앞으로 어떤 부분을 더 보안해서 소비자를 보호할 것인지 구체적으로 밝히는 전향적인 자세를 취해야 신뢰를 얻을 수 있을 것 같습니다.
보안 기술적인 관점에서 기본적으로 해야 하는 조치를 서둘러야 합니다. 가장 빨리 해야 하는 조치는 웹 방화벽을 꼽을 수 있는데요,
웹방화벽은 홈페이지에 접속하려는 맨 첫 단계에서 해킹을 차단하는 도구이고 가장 기본적이고 필수적인 방어 수단이기도 합니다.
두번째는 개인정보유출시 2차 피해를 막기위한 데이터 암호화 조치입니다. 모든 금융기관에서는 고객의 민감한 정보는 암호화 합니다. 데이터 베이스, 음성녹음, 컴퓨터에 남은 로그 기록 등 민감한 정보는 바로 암호화 합니다.
그렇게 하면 함부로 열어볼 수도 없고 설령 개인정보가 탈취되어도 해커에게는 무용지물입니다. 그리고 암호키 관리 기술 역시 안정성이 높은 솔루션을 선택해서 적용해야 합니다.
내부 전산망에 접속하는 각종 업무용 컴퓨터 기기의 보안은 더욱 중요한데요, 일부 은행에서 하는 것 처럼 업무 전산망에 연결 접속되는 기기는 원천에서 해킹을 차단하는 다중 인증 시스템을 이용해야 합니다.
또한 전산망에서 주고받는 모든 데이터를 모니터링해야 하는데요 해킹으로 의심되는 이상 징후가 발생하면 바로 차단하여 피해를 최소화 하는 모니터링 기능도 필요합니다.
그렇게 되면 최악에 경우 관리자 비밀번호가 탈취되어 지갑에 있는 비트코인을 다른 전자지갑으로 이동시키려고 정상적인 업무와 다른 처리를 감지하고 우선 차단할 수 있다는 것이죠.
업무 프로세스와 상관 없는 온라인 상의 모든 동작을 통제하는 기술도 적용해야 합니다.
가끔 콜드스토리지 등등을 이야기하면서 비트코인을 안전하게 저장했다고 선전하는 것을 볼 수 있는데, 그것은 보안을 강화한 것이 아니라 거래소를 운영하기 위해 기본적으로 반드시 해야하는 것 입니다.
Q. 만일 첨단 시스템을 갖췄다 하더라도 운영하는 사람의 보안 의식도 문제 아닐까요? 결국 사람에 의해 각종 첨단 보안 체계가 무너지는 경우가 종종 있지 않습니까?
좋은 지적입니다. 직장인 누구나 준수해야 하는 윤리의식과 보안의식은 당연할 것입니다. 그러나 반복적이고 집요한 해킹에 대비하기 위해서는 은행권 직원의 정보 보안 수준으로 강화해야 합니다.
내부 직원은 평소 생활에서도 자신의 단말기 보안에도 더욱 신경을 써야합니다. 예를 들면 해커는 직원들이 자주 다니는 웹사이트나 소셜미디어를 통해 여러 정보를 알아낸 후, 그럴듯한 이메일을 보내 열어보게 합니다.
개봉하는 순간 직원도 모르는 사이에 컴퓨터를 감염시키게 되고 또 감염된 기기가 사내망에 연결하는 순간 삽시간에 바이러스를 퍼뜨리기도 합니다.
한편 은밀한 방법으로는 이메일을 사람들에게 순차적으로 보내어 궁극적으로 핵심 서버에 접근 가능한 직원의 아이디와 패스워드를 탈취하는 것이죠.
경영 관리자의 의식도 중요한데요, 전체 거래소 업무와 운영을 책임지는 총괄 관리자가 보안도 함께 체계적으로 담당해야 합니다.
예를 들면 은행이나 대기업에서 최고정보보안임원 CISO 역할을 하는 경영자가 보안과 리스크를 관리하는 것처럼, 거래소에서도 책임과 권한이 있는 경영자가 보안을 직접 챙겨야 빠른 시일에 보안 수준을 높일 수 있을 것입니다.
Q. 그러한 사업자와 업계의 노력이 있다하더라도 상당한 시간이 걸릴수 밖에는 없을텐데요, 당장 소비자가 구체적으로 할 수 있는 행동 요령이나 주의할 수 있는 방법은 없을까요?
소비자 입장에서는 다소 불편하더라도 위험을 분산하는 것이 필요합니다. 한 거래소만 이용하기 보다는 믿을만한 거래소 몇 군데로 보유한 가상화폐를 분산하는 것도 한가지 방법입니다.
만일 거래를 자주 하지 않고 보유하는 것이 주 목적인 경우 개인의 가상화폐 전자지갑에 옮겨 보관하는 것도 필요합니다.
장기적으로 보관하는 목적이라면 굳이 가상화폐를 거래소에 둘 필요는 없고요, 나중에 필요한 양만 거래소 계좌에 옮겨 사고 팔수 있습니다.
물론 전자 지갑도 다양한 형태가 있으므로 안전하다고 믿을 만한 회사를 선택할 필요도 있고요,
하드웨어 메모리나 개인 단말기에 전자지갑을 둔다면 기기 보안에 신경을 더욱 써야 합니다. 가상화폐를 많이 보유한 경우 전자 지갑을 여러 개를 사용해서 분산할 필요도 있습니다.
Q. 소비자가 자기 보호를 위한 조치는 당연히 해야 하겠지만, 아무래도 어떤 거래소가 보안을 잘하고 있는지는 쉽게 알 수 없지 않습니까?
이제는 지혜로운 소비자의 힘을 보여줘야 할 것 같습니다. 회원으로 가입한 거래소의 보안 실태에 대해 적극적으로 질의하였을 때, 거래소가 정확한 정보를 성실하게 답변하는 것을 보고 간접적으로 가늠할 필요도 있습니다. 관련 단체나 협회 그리고 공공기관과 정부에 적극적으로 소비자 정보 보호를 강제화 하도록 민원을 제기할 수 밖에 없을 것 같고요.
당국이 가상화폐를 화폐가 아니라 온라인 아이템이라 본다고 하더라도 소비자를 보호하는 조치를 절대로 게을리 해서는 안될 것이기 때문입니다. 소비자 보호법, 전자상거래법, 개인정보보호법 등 현재 동원가능한 모든 법률과 그와 관련된 기관에 더 적극적으로 민원을 제기해서 기초적인 보안 조치를 강화하도록 해야 합니다.
Q. 그러나 일부에서는 가상화폐에 투자하는 사람을 도박장에 뛰어든 한탕주의자로 여기는 시각도 많은 것 r같은데요, 그런 사람 때문에, 공공기관이 나서서 보호해야 하는지 의문을 제기하기도 합니다. 과연 어디까지 공공기관에서 나서야 할런지 회의적인 시각도 많거든요.
이슈앤의 이 코너에서 가상화폐 거래소 보안과 전자지갑의 보안이 중요하다고 반복해서 말씀드렸는데요,
제가 보안 산업에 종사하는 사람이다보니 보안의 중요성을 강조하는 것이 영업과 마케팅을 위한 것으로만 여기지 않을까 해서 신중하게 말씀드릴 수 밖에 없었습니다.
그런데 이런 사태를 접하게 되니 더 적극적으로 말씀드렸어야 하는게 아닌가 반성도 됩니다.
가상화폐 거래소든 어떤 웹사이트든 정보 보안은 사회 안전망 같은 기본 조치가 필요합니다. 단순히 해당 사업자의 문제만은 아니라고 봅니다. 사이버 범죄와 테러는 항시 발생할 수 있습니다.
그러나 그런 사고의 빈도를 줄이고 사고에 대처하는 능력은 우리 사회 전반의 역량이기도 합니다.
가상화폐 거래의 부정적인 측면이 물론 있습니다만 그것과 웹사이트의 기본적인 방어는 별개의 문제입니다. 어떤 곳이든 허술하게 뚫려서 피해를 입게해서는 안될 것입니다.
가상화폐 거래소도 하나의 인터넷 사이트이므로 최소한 지켜야 하는 사회 안전망 조치 등 아주 기본적인 보안 조치를 준수하도록 공공에서 가이드하고 강제화 하는 것은 매우 필요한 일입니다.
(자세한 내용은 동영상을 시청하시기 바랍니다.)
앞서 저희는 가상화폐 거래소가 해커들에 의해 해킹이 될 수 있다는 것을 확인해 봤습니다. 유빗이라는 거래소가 실제 해킹 때문에 파산했기 때문에 거래소의 해킹 위협이 실제적인 위협이라는 것을 누구도 부인할 수 없게 됐는데요. 무엇보다 해킹으로 인해 발생하는 투자자들의 피해가 가장 우려됩니다.
시급히 대책을 세워야 하는데, 일단 해킹을 막아낼 수 있는 2중3중의 보안 체계가 필요하겠죠. 국내 보안업체들은 어떻게 대비하고 있는지, 현실적으로 막아낼 방법이 있는 것인지 알아보겠습니다. 팬타시큐리티 한인수 이사와 이야기 나눠보겠습니다.
Q. 다른 거래소들은 해킹에 대비하여 안전하다고 할 수 있을까요?
지난 주 이 코너에서 가상화폐 거래소의 보안 기준에 대해 의견을 말씀 드린 적이 있었는데요, 거래소가 취급하는 금액의 규모와 보유한 개인정보의 양으로 볼 때, 은행권에서 적용되는 수준의 보안이 필요하다는 의견을 말씀드렸었습니다. 개인정보보호법의 관점에서 볼 때에도 매우 높은 수준의 보안이 요구되는 사업자입니다.
10월부터 관계당국은 10여곳의 거래소에 대해 보안 점검을 했는데, 대부분 거래소들이 기준 미달이었다고 합니다. 물론 기준을 얼마나 높게 정하느냐에 따라 미달이냐 아니냐가 상대적일 수 있지만, 많은 전문가들의 평은 거래 규모에 비해서 보안은 은행권과 비교하여 현저히 낮은 수준이라고 말하고 있습니다.
물론 가상화폐를 금융관련 법으로 규제할 수 없기 때문에 금융권의 높은 보안 기준을 강제로 의무화 할 수는 없습니다.
다만 전자상거래법을 강력하게 적용하고 개인정보보호법의 의무사항을 철저하게 적용토록 하여 기본적인 상태를 신속히 파악하고 대처할 필요가 있습니다.
소비자의 피해는 바로 가상화폐 거래소 사업자들의 피해이므로 이를 강력한 규제에 의존할 것이 아니라 자체적으로 은행권 수준에 육박하는 보안을 갖추도록 노력해야 합니다. 정보 보안 전문가들을 내부에 반드시 두고 체계적인 보안이 되도록 해야 합니다.
업계 스스로 노력하지 않고 이처럼 소비자 피해가 반복되면, 가상화폐 거래에 대한 곱지 않은 대중의 시각을 바꾸기 어려울 것 같습니다.
Q. 그렇다면 가상화폐 거래소에서 자발적으로 당장 해야하는 구체적인 보안 조치들은 어떤 것이 있을까요?
우선 소비자에게 매우 솔직하게 투명하게 현재 각자 적용하고 있는 해킹 대비 및 정보 보안 조치를 적극적으로 공지해야 한다고 봅니다.
부족한 부분이 있다면 앞으로 어떤 부분을 더 보안해서 소비자를 보호할 것인지 구체적으로 밝히는 전향적인 자세를 취해야 신뢰를 얻을 수 있을 것 같습니다.
보안 기술적인 관점에서 기본적으로 해야 하는 조치를 서둘러야 합니다. 가장 빨리 해야 하는 조치는 웹 방화벽을 꼽을 수 있는데요,
웹방화벽은 홈페이지에 접속하려는 맨 첫 단계에서 해킹을 차단하는 도구이고 가장 기본적이고 필수적인 방어 수단이기도 합니다.
두번째는 개인정보유출시 2차 피해를 막기위한 데이터 암호화 조치입니다. 모든 금융기관에서는 고객의 민감한 정보는 암호화 합니다. 데이터 베이스, 음성녹음, 컴퓨터에 남은 로그 기록 등 민감한 정보는 바로 암호화 합니다.
그렇게 하면 함부로 열어볼 수도 없고 설령 개인정보가 탈취되어도 해커에게는 무용지물입니다. 그리고 암호키 관리 기술 역시 안정성이 높은 솔루션을 선택해서 적용해야 합니다.
내부 전산망에 접속하는 각종 업무용 컴퓨터 기기의 보안은 더욱 중요한데요, 일부 은행에서 하는 것 처럼 업무 전산망에 연결 접속되는 기기는 원천에서 해킹을 차단하는 다중 인증 시스템을 이용해야 합니다.
또한 전산망에서 주고받는 모든 데이터를 모니터링해야 하는데요 해킹으로 의심되는 이상 징후가 발생하면 바로 차단하여 피해를 최소화 하는 모니터링 기능도 필요합니다.
그렇게 되면 최악에 경우 관리자 비밀번호가 탈취되어 지갑에 있는 비트코인을 다른 전자지갑으로 이동시키려고 정상적인 업무와 다른 처리를 감지하고 우선 차단할 수 있다는 것이죠.
업무 프로세스와 상관 없는 온라인 상의 모든 동작을 통제하는 기술도 적용해야 합니다.
가끔 콜드스토리지 등등을 이야기하면서 비트코인을 안전하게 저장했다고 선전하는 것을 볼 수 있는데, 그것은 보안을 강화한 것이 아니라 거래소를 운영하기 위해 기본적으로 반드시 해야하는 것 입니다.
Q. 만일 첨단 시스템을 갖췄다 하더라도 운영하는 사람의 보안 의식도 문제 아닐까요? 결국 사람에 의해 각종 첨단 보안 체계가 무너지는 경우가 종종 있지 않습니까?
좋은 지적입니다. 직장인 누구나 준수해야 하는 윤리의식과 보안의식은 당연할 것입니다. 그러나 반복적이고 집요한 해킹에 대비하기 위해서는 은행권 직원의 정보 보안 수준으로 강화해야 합니다.
내부 직원은 평소 생활에서도 자신의 단말기 보안에도 더욱 신경을 써야합니다. 예를 들면 해커는 직원들이 자주 다니는 웹사이트나 소셜미디어를 통해 여러 정보를 알아낸 후, 그럴듯한 이메일을 보내 열어보게 합니다.
개봉하는 순간 직원도 모르는 사이에 컴퓨터를 감염시키게 되고 또 감염된 기기가 사내망에 연결하는 순간 삽시간에 바이러스를 퍼뜨리기도 합니다.
한편 은밀한 방법으로는 이메일을 사람들에게 순차적으로 보내어 궁극적으로 핵심 서버에 접근 가능한 직원의 아이디와 패스워드를 탈취하는 것이죠.
경영 관리자의 의식도 중요한데요, 전체 거래소 업무와 운영을 책임지는 총괄 관리자가 보안도 함께 체계적으로 담당해야 합니다.
예를 들면 은행이나 대기업에서 최고정보보안임원 CISO 역할을 하는 경영자가 보안과 리스크를 관리하는 것처럼, 거래소에서도 책임과 권한이 있는 경영자가 보안을 직접 챙겨야 빠른 시일에 보안 수준을 높일 수 있을 것입니다.
Q. 그러한 사업자와 업계의 노력이 있다하더라도 상당한 시간이 걸릴수 밖에는 없을텐데요, 당장 소비자가 구체적으로 할 수 있는 행동 요령이나 주의할 수 있는 방법은 없을까요?
소비자 입장에서는 다소 불편하더라도 위험을 분산하는 것이 필요합니다. 한 거래소만 이용하기 보다는 믿을만한 거래소 몇 군데로 보유한 가상화폐를 분산하는 것도 한가지 방법입니다.
만일 거래를 자주 하지 않고 보유하는 것이 주 목적인 경우 개인의 가상화폐 전자지갑에 옮겨 보관하는 것도 필요합니다.
장기적으로 보관하는 목적이라면 굳이 가상화폐를 거래소에 둘 필요는 없고요, 나중에 필요한 양만 거래소 계좌에 옮겨 사고 팔수 있습니다.
물론 전자 지갑도 다양한 형태가 있으므로 안전하다고 믿을 만한 회사를 선택할 필요도 있고요,
하드웨어 메모리나 개인 단말기에 전자지갑을 둔다면 기기 보안에 신경을 더욱 써야 합니다. 가상화폐를 많이 보유한 경우 전자 지갑을 여러 개를 사용해서 분산할 필요도 있습니다.
Q. 소비자가 자기 보호를 위한 조치는 당연히 해야 하겠지만, 아무래도 어떤 거래소가 보안을 잘하고 있는지는 쉽게 알 수 없지 않습니까?
이제는 지혜로운 소비자의 힘을 보여줘야 할 것 같습니다. 회원으로 가입한 거래소의 보안 실태에 대해 적극적으로 질의하였을 때, 거래소가 정확한 정보를 성실하게 답변하는 것을 보고 간접적으로 가늠할 필요도 있습니다. 관련 단체나 협회 그리고 공공기관과 정부에 적극적으로 소비자 정보 보호를 강제화 하도록 민원을 제기할 수 밖에 없을 것 같고요.
당국이 가상화폐를 화폐가 아니라 온라인 아이템이라 본다고 하더라도 소비자를 보호하는 조치를 절대로 게을리 해서는 안될 것이기 때문입니다. 소비자 보호법, 전자상거래법, 개인정보보호법 등 현재 동원가능한 모든 법률과 그와 관련된 기관에 더 적극적으로 민원을 제기해서 기초적인 보안 조치를 강화하도록 해야 합니다.
Q. 그러나 일부에서는 가상화폐에 투자하는 사람을 도박장에 뛰어든 한탕주의자로 여기는 시각도 많은 것 r같은데요, 그런 사람 때문에, 공공기관이 나서서 보호해야 하는지 의문을 제기하기도 합니다. 과연 어디까지 공공기관에서 나서야 할런지 회의적인 시각도 많거든요.
이슈앤의 이 코너에서 가상화폐 거래소 보안과 전자지갑의 보안이 중요하다고 반복해서 말씀드렸는데요,
제가 보안 산업에 종사하는 사람이다보니 보안의 중요성을 강조하는 것이 영업과 마케팅을 위한 것으로만 여기지 않을까 해서 신중하게 말씀드릴 수 밖에 없었습니다.
그런데 이런 사태를 접하게 되니 더 적극적으로 말씀드렸어야 하는게 아닌가 반성도 됩니다.
가상화폐 거래소든 어떤 웹사이트든 정보 보안은 사회 안전망 같은 기본 조치가 필요합니다. 단순히 해당 사업자의 문제만은 아니라고 봅니다. 사이버 범죄와 테러는 항시 발생할 수 있습니다.
그러나 그런 사고의 빈도를 줄이고 사고에 대처하는 능력은 우리 사회 전반의 역량이기도 합니다.
가상화폐 거래의 부정적인 측면이 물론 있습니다만 그것과 웹사이트의 기본적인 방어는 별개의 문제입니다. 어떤 곳이든 허술하게 뚫려서 피해를 입게해서는 안될 것입니다.
가상화폐 거래소도 하나의 인터넷 사이트이므로 최소한 지켜야 하는 사회 안전망 조치 등 아주 기본적인 보안 조치를 준수하도록 공공에서 가이드하고 강제화 하는 것은 매우 필요한 일입니다.
(자세한 내용은 동영상을 시청하시기 바랍니다.)
ⓒ SBS Medianet & SBS I&M 무단복제-재배포 금지
많이 본 'TOP10'
- 1.[단독] 네이버페이·페이코, 문화상품권 손절한다…파장 확산
- 2.'2억 깎아줄테니, 주말까지 팔아줘요'…잠실 집주인 '발동동'
- 3.오늘부터 금리 내린다…내 대출이자 얼마나 줄어들까?
- 4.이제 출근길에 삼성전자도…110개→350개로 늘어난다
- 5."회사는 취미겠네"…월급 빼고 월 6천만원 버는 직장인 '무려'
- 6.'백종원 식당들' 안보인다 했더니…가맹브랜드 59% 매장 줄었다
- 7.'연봉 93억' 증권사 연봉킹 '수석님', 누구일까?
- 8.라면 싫다던 엄마, 진라면 박스째로 사왔다 왜?
- 9.[단독] 오너 3형제의 '한화에너지' 계열사 상대 140억대 소송
- 10."앉아서 5억 번다"…광교신도시 로또줍줍에 36만명 몰렸다