디도스 공격에 휘청…가상화폐 거래소 ‘보안 불감증’ 여전

지난 11일 오전 디도스 피해 복구를 마친 뒤 서비스 재개를 알리는 코인빗 거래소의 공지화면 캡처

[이데일리 이재운 기자] 암호화폐 거래소의 ‘보안 불감증’이 여전히 현장에서 해소되지 않고 있다. 신생 중소형 거래소는 물론 대형 거래소까지도 아직 부족한 점이 많아 ‘금융권 수준’의 보안을 요구하는 정부와 투자자의 기대를 맞추려면 체계적인 접근이 필요하다는 지적이다.

13일 관련 업계에 따르면 지난 주말인 10일 오후 10시 이후 암호화폐 거래소 코인빗은 디도스(DDoS·분산형 서비스 거부 공격) 피해를 입어 서비스를 일시 중단하는 일이 발생했다.

디도스는 대량의 접속 시도(트래픽)를 통해 서버에 부담을 주는 사이버 공격으로, 서버 용량을 초과한 접속량이 유입되면 서버를 통해 제공하는 서비스를 정상적으로 운영하기 어렵다. 이용자들은 속도 저하는 물론 경우에 따라서는 접속 자체가 어려워져 불편함을 겪게 된다.

당시 공지문에서 코인빗은 “현재(자신들의)서버쪽으로 DDOS공격이 시도되었다”고 밝혔다. 이어 KT와 함께 클라우드 서버에 대한 복구 작업을 진행하고 있다며 “회원님들의 자산은 99% 콜드월렛에 안전하게 보관되어 있다”고 덧붙였다. 복구 작업은 당초 11일 오전 6시에 마칠 예정이었으나 이보다 다소 지연된 오전 8시가 넘어서야 서비스를 재개했다.

떠오른 신생 거래소, 공격 표적이 되다

코인빗은 지난달 23일 정식 서비스를 시작한 신생 거래소로, ㈜엑시아가 운영한다. 개설 2주만인 지난주 동시접속자수가 최대 60만명을 기록해 화제가 됐다. 50여종의 암호화폐 거래로 시작해 연말까지 이를 100여종으로 확대할 계획이라고 밝힌 바 있다. 투자자들 사이에서도 신규 거래가 활발하게 일어나는 점에서 주목을 받았었다.

또 클라우드 서비스를 통해 빠른 서비스 제공으로 IT 인프라 측면에서도 불안정성을 줄이는데 주력했다. 하지만 확인 결과 이 업체는 클라우드 서비스를 도입하면서 디도스 관련 대응을 지원하는 부가 서비스에는 가입하지 않았다.

해당 클라우드 서비스 운영사인 KT는 당초 코인빗이 ‘KT 클라우드에 대한 디도스 공격이 발생했다’고 공지하는 바람에 난처한 상황에 처했다. 이후 코인빗은 정정 공지를 통해 KT 클라우드 전체가 아닌 코인빗 이용 서버에만 공격이 이어졌다고 밝혔다. 한 IT 업계 관계자는 “처음 공지가 오해를 불러일으킨 자체가 보안에 대한 이해가 부족하기 때문”이라고 꼬집었다.

코인빗은 디도스 피해 발생 후 해당 서비스에 가입하고 KT의 도움을 받아 복구를 완료했다. 해당 서비스의 이용 금액은 고객사마다 다르지만 보통 월 1000만원대 수준으로 알려졌다.

게임 이어 암호화폐..디도스 공격 양상 이동

디도스 공격은 과거 국내 사회를 흔들었던 2009년 7·7 디도스 사태를 계기로 화제가 됐다. 당시 일부 정부기관과 금융사 등에 대한 공격으로 각종 서비스가 마비되며 혼란을 겪었고, 이후에도 게임 이용자들 사이의 엇나간 경쟁 등으로 인한 게임사에 대한 공격이 이어졌다. 이 때문에 한국인터넷진흥원(KISA)이 사이버 대피소를 마련하는 등 관련 대책이 강화됐다.

이번 공격도 관련 업계 내에서 상대 서비스에 대한 견제를 위해 이뤄졌을 가능성이 조심스레 제기된다. 동시에 보안에 대해 조금만 관심이 있었다면 디도스에 대한 대응을 준비했을 것이라는 아쉬움도 함께 남는 사례로 평가된다.

해킹 세력이 암호화폐 거래소를 공격한 사례는 지속 발생하고 있다. 지난해와 올해 초 유비트가 두 차례 해킹을 받아 폐업했으며, 올 들어 6월 코인레일과 빗썸이 해킹 피해로 서비스를 중단하며 어려움을 겪었다.

이들의 경우에는 암호화폐 자산을 탈취하려는 시도로, 고도의 공격 기법이 이용됐다. 지인이나 업무상 관계자를 사칭한 사회공학적 기법을 비롯한 지능형 지속공격(APT)이 이어졌다. 반면 거래소들은 망분리를 비롯한 기본적인 조치가 미흡한 경우도 상당하다. 최근 한국블록체인협회가 진행한 자율점검 과정에서도 선도 업체인 12개사가 미흡한 점을 지적받아 개선을 진행 중이고, 이를 받지 않은 중소형 거래소의 경우 상태는 더욱 심각한 것으로 알려졌다.

보안 컨설팅 업체 한 관계자는 “정부나 투자자들의 눈높이는 기존 금융기관 수준의 보안을 요구하는데, 거래소 사업자들은 아직 거기 미치지 못하고 있다”며 “단순히 보안 제품 구입이나 서비스 계약에 그치지 말고 조직 차원에서 보안에 접근할 필요가 있다”고 지적했다.