업비트 580억 유출, 해킹에 무게..보안 제도화 ‘도마위’

[이데일리 김현아 기자]업비트가 약 580억 원 규모의 암호화폐를 탈취당하자 암호화폐 거래소가 적절한 보안 수준을 갖추도록 제도화해야 한다는 목소리가 높다.

경찰과 한국인터넷진흥원(KISA)이 조사하고 있어 해킹이라 단정할 순 없지만, 보안 전문가들은 △사고가 난 곳이 인터넷이 차단된 ‘콜드월렛’이 아니라 ‘핫월렛’이라는 점 △‘핫월렛’에서 암호화폐가 오갈 때 서명(key)을 2, 3명이 나눠 갖는 ‘멀티시그(Multisig)’를 도입했는가 여부가 불확실한 점을 들어 해킹 가능성에 무게를 두고 있다.

▲11월 27일 오후 5시 56분 게재된 이석우 대표 명의의 ‘업비트 공지사항’

업비트 자산으로 충당..소비자 금전 피해는 없어

업비트를 운영하는 두나무가 지난달 27일 오후 1시 6분경, 업비트의 이더리움 핫월렛에서 이더리움 34만2000개(약 580억원)가 알수 없는 지갑 주소로 전송된 사실을 인지한 뒤 즉각 대처에 나서 소비자 금전 피해는 없다.

두나무는 △모든 암호화폐 입출금을 막고 △도난된 이더리움을 업비트 자산으로 충당하겠다고 약속했다. 또 △이 틈을 타서 투기세력의 의도적 펌핑(가치 올리기)이 발생할까 우려해 시세가 불안정한 일부 암호화폐는 투자 유의종목으로 지정했다.

업비트 관계자는 “KISA에서 원인 조사를 하고 있다”면서 “저희 지갑(핫월렛)에 들어와 꺼내 간 것이어서 다시 지갑을 만들어야 하기에 암호화폐 입출금이 가능해지려면 최소 2주 이상 걸릴 것 같다”고 말했다.

▲김승주 고려대 사이버국방학과 교수

업비트마저 털리니..암호화폐 거래소 보안 제도화 필요

보안이 잘 돼 있다고 평가받는 업비트에서 사고가 나자 암호화폐 거래소에 대한 보안 수준을 제도화해야 한다는 지적이 나온다. 업비트는 정보보호관리체계(ISMS)인증을 받았고, 자산의 70% 이상을 금고격인 ‘콜드월렛’에 따로 보관한다.

김승주 고려대 사이버국방학과 교수는 “사고가 난 곳은 금고(콜드월렛)이 아니라 인터넷과 연결돼 해킹이 가능한 핫월렛이었는데 600억 가까이 저장돼 있어 놀랐다”면서 “2,3명 이상이 키를 나눠갖는 멀티시그를 썼는가 여부가 중요하다. 암호화폐 거래소의 특성상 24시간 365일 매수·매도 주문이 들어오니 대응 속도가 느려지는 멀티시그를 쓰지 않았을 수도 있다”고 말했다.

그는 “이석우 사장이 나서 도난당한 이더리움을 회사 자산으로 갚겠다고 한 뒤 여론이 잠잠해졌지만 카카오뱅크 수준으로 암호화폐 거래소의 보안성을 높일수 있는 제도화가 필요하다”고 부연했다.

업계 관계자는 “ISMS는 일반 인터넷 기업을 위한 보안체계여서 암호자산 환전소라고 할수 있는 거래소에는 적합하지 않다”면서 “금융위든, 과기정통부든 암호화폐 거래소에 대한 별도 보안 대책과 기준을 내놔야 블록체인 생태계도 발전될 것”이라고 말했다.