가상통화 거래소 보안실태 점검…기준 충족 '0곳'

 

 

2017년 09월부터 12월까지 과학기술정보통신부(과기부)와 방송통신위원회(방통위)가 합동으로 가상통화 거래소 10곳의 보안 실태를 점검한 결과를 한 언론사에서 입수하고 뉴스에도 방영한 내용인데 가상통화 거래소의 보안 실태가 형편 없었다고 합니다.

 

 

구체적인 예로,

 

내부 관리자 전용 네트워크는 서버와 연결만 되어야 하고 외부 네트워크로는 연결하지 않는게 보안 관리 측면에서 일반적인 비해 관리자의 편의를 위해 이를 구분하지 않고 모든 관리자용 컴퓨터에서도 인터넷에 연결되어 있으면 외부에서 관리자용 컴퓨터에 직접적으로 침투하여 관리자 권한으로써 데이터를 위/변조 하거나 탈취하는 사고가 발생할 수 있기 때문입니다.

 

 

또한 가상통화 거래는 전세계에서 24시간 365일에 걸쳐 계속적으로 행해지고 있기 때문에 모든 시세는 공유 및 반영 되어야 하기에 이를 위해서는 대용량의 데이터를 고속으로 송수신하면서도 보안성이 높은 네트워크 장비가 필수적이지만 우리가 가정에서 흔히 사용하는 공유기를 사용하기도 했다고 합니다.

 

 

엄청난 자금이 거래되는 거래소에서는 있어서는 안될 일들인데요.

 

 

지금껏 비트코인이나 기타 알트코인(Alternative Coin) 그 자체가 해킹 당한적은 없지만 가상통화 거래소가 해킹당한 전례는 셀 수 없을 정도로 계속 늘어나고 있습니다.

 

 

이는 가상통화의 근간 기술인 블럭체인이 해킹 당하는 것 만큼이나 중요한 문제입니다.

 

 

가상통화 거래소의 자금을 크게 분류하면 자기 자본이 있고 외부 자금이 있는데요.

 

 

외부 자금은 각 고객들이 거래를 위해 입금한 자금이고, 자기 자본은 거래 중개 사업 영위를 위한 자기 자본으로써 여기에서 현금 자산과 가상통화 자산으로 구분할 수 있습니다.

 

 

현금 자산은 사업을 위해 여러 방면으로 사용될 현금(현금성 자산 포함)이 될 것이며, 가상통화 자산은 거래소간의 원활한 가상통화 전송, 환전 등을 위해 보유하고 있는 자산입니다.

 

 

모바일 어플리케이션 및 Web 거래 프로그램

가상통화 거래소의 외부 처리 서버

(거래 프로그램과의 접속 처리)

가상통화 거래소의 내부 처리 서버

(거래 프로그램과의 주문 처리)

가상통화 거래소의 내부 데이터 서버

(실질적인 데이터 보관, 데이터베이스)

 

▲ 가상통화 거래소의 구조를 간략하게 표현 한 것입니다.

 

▲ 아래에 기술할 내용은 위 구조도를 보면 이해가 쉬울 것으로 생각됩니다.

 

 

힘들게 채굴(마이닝 = Mining)하거나 거래(Trade, Trading)해서 보유한 가상통화 그 자체가 해킹되지 않는다 하더라도 외부의 침입으로 인해 거래소 내부 자산이 탈취되게 되면 거래소는 경영이 위태로워질 수 있고 심하게는 파산 할 수도 있습니다.

 

 

또한 내부적으로 데이터를 처리하는 순간에 거래소 구조의 취약점 및 보안 이슈를 이용하여 거래 데이터를 조작한다면 가상통화가 전혀 다른 3자에게 건네질 수도 있습니다.

 

 

비트코인의 서버 프로그램의 소스는 공개되어 있는데요. (오픈소스)

 

 

구조에 대해 공부하기 위해 보신 분은 알겠지만 비트코인 코어와 P2P로 인해 발생되는 데이터는 약 70GB(기가바이트 = Giga Byte)정도 됩니다.

 

 

이 안에 모든 거래 정보가 담겨 있는 것이지요. (물론 암호화된 상태로 저장됩니다.)

 

 

전세계 누구라도 비트코인을 거래하게 되면 그 구조상 '공유 장부'이기 때문에 전세계 모든 비트코인 서버의 정보가 갱신되는 구조라고 생각하면 됩니다.

 

 

때문에 누군가 불순한 의도로 비트코인 거래 정보를 조작하려고 할 때 '올바른 거래 정보의 공유' 처리가 이뤄지는 과정에서 덜미를 잡힐 수 밖에 없습니다.

 

 

그런데도 왜 거래 데이터가 위변조 되거나 탈취 될 수 있을까요?

 

 

문제가 될 수 있는 해킹 또는 탈취 가능성은 아래와 같습니다.

 

- 거래소 서버나 관리자 PC 또는 채굴용 PC나 거래용 PC에 심어진 악성코드를 이용한 해킹 시도

 

- 지갑(Wallet) 데이터의 조작, 절도, 전송 시도

 

- 가상통화 거래 정보 전송 데이터 탈취를 목적으로 한 악성코드 이용

 

- 암호화 알고리즘의 취약점 이용

 

 

위 내용중 '암호화 알고리즘의 취약점 이용' 부분이 현재로써는 가장 가능성이 낮기는 합니다만, 기본적으로 미국 NASA에서도 안정성을 인정하고 사용하고 있는 SHA-256 알고리즘은 그 전신인 SHA-1 에서 취약점이 보고 된 바 있기도 하고 수정 보완 단계를 거쳐 SHA-256까지 진화하기는 했지만 컴퓨팅 파워가 지금에 비해 압도적으로 발전하게 된다면 암호화 알고리즘을 분해 해내는 것이 어려운 일이 아닐 것입니다.

 

 

당장 실현될 가능성이 낮기는 하지만 만약에라도 SHA-256이 분해되면 가상통화만 문제가 발생하는 것이 아닙니다.

 

 

일반적인 웹(http)에 비해 보안성이 좋은 HTTPS 트랜잭션이나 대부분의 보험, 증권, 카드, 은행 업무를 위한 데이터가 SHA-256에 의해 보호되는 상황이기에 모든 거래와 그에 따른 데이터의 보안성에 문제가 생기는 것입니다.

 

 

잘못된 관리, 태생적으로 내포하고 있을 수 있는 취약성이 독자님들의 가상통화 자산을 위협할 수 있으므로 거래소 선택에 조금 더 신중할 필요가 있을 것으로 생각되니 주의 바랍니다.

 

 

이외에도 가상통화 거래소의 임직원에 의한 내부/외부 자금의 횡령 문제가 도마위에 오르고 있습니다.

 

 

언제나 그렇듯 '적은 가까이 있다'는 말이 맞는 것 같습니다.

 

 

전쟁을 일으켜 무력 진압하는 것보다 내부에 유언비어를 흘린 다음 내부 분열을 일으키는 것이 더 효과적인 것 처럼 말입니다.

 

 

이러한 작금의 상황에 개인적으로는 각종 가상통화 시세 데이터베이스 구축을 위한 준비를 하고 있기에 호시기, 악시기 모두 피해갈 수 있을 것 같습니다.

 

 

충분히 준비하면서 시장과 투자자가 성숙하고 정부의 관리 감독이 조금 더 꼼꼼해지기를 기대 해볼까 합니다.

 

 

금융당국이 2018년 01월 23일 발표한 "가상통화 거래실명제와 자금세탁 방지 가이드라인 도입"을 살펴보겠습니다.

 

- 오는 30일부터 신규 투자 허용하되 거래실명제 도입

 

- '특정금융거래정보의 보고 및 이용 등에 관한 법률'에 따라 자금세탁이나 범죄 자금 조달로 의심되는 경우 금융정보분석원(FIU)에 은행이 보고

 

- 입출금 규모가 하루 1천만원, 7일 2천만원 이상일 경우 FIU에 보고

 

- 하루 5회, 7일 7회 이상 빈번하게 거래가 발생하면 FIU에 보고

 

 

뭔가 규제책을 들고 나온것 같지만 이는 시장 분위기를 조금 더 냉각(쿨다운) 시키고 여러 규제책 발표로 인해 투자자들의 기대치를 낮춤으로써 이전과 같은 가격 급변동을 제어하겠다는 의지인 것이지 보다 적극적으로 시장에 개입하기에는 무리가 있는 것이 현실입니다.

 

 

거래소는 거래의 안정성, 투명성을 확보하고 보안 강화에 힘을 써야 하며, 은행은 가상 계좌 발급 이후 각 계좌들의 이상 거래 징후에 대해 FIU에 보고해야 하는 의무가 부과되었지만 투자자들은 별로 개의치 않을 것이며 실질적으로 불법적인 거래나 자금 세탁 등의 목적이 아니라면 거래 횟수나 입출금 금액의 규모 등은 신경쓰지 않아도 될 요소입니다.

 

 

다만 '묻지마 투자'식으로 맹목적으로 달려들지 말고 최대한의 정보 속에서 방향성을 가늠할만한 요소가 무엇인지 정밀하게 분석해 볼 의무가 투자자에게는 있는 셈입니다.

 

 

그 의무를 다하지 않으면 애써 모은 자금을 탕진하게 되겠지요.

 

 

개인적으로는 의무에 충실하지 않는 일명 '호구'가 많을수록 좋다고 생각하지만 건전한 투자 문화가 뿌리 내리기 위해서는 '호구'가 줄어야 하지 않을까 생각되고 걱정도 됩니다.

 

 

모쪼록 좋은 결과를 위해 모두 '언제나 화이팅' 입니다.