1월 27일 일본 도쿄에 있는 코인체크 본사에서 경영진이 사과하며 고개를 숙이고 있다. <사진 : 연합뉴스>
1월 27일 일본 도쿄에 있는 코인체크 본사에서 경영진이 사과하며 고개를 숙이고 있다. <사진 : 연합뉴스>

1월 26일 일본 2위 가상화폐 거래소 ‘코인체크(coincheck)’가 해킹당해 고객들이 맡겨놓은 580억엔(약 5700억원) 상당의 가상화폐가 탈취됐다. 피해자만 무려 26만명에 달한다. 지난 2014년 일본 가상화폐 거래소 ‘마운트 곡스(Mt. Gox)’에서 480억엔 상당의 가상화폐가 도난당한 뒤 파산한 것을 뛰어넘는 역대 최악의 사고다. 코인체크는 사고 발생 이틀 뒤인 28일 피해자 전원에게 엔화로 보상하겠다고 밝혔지만, 가상화폐 안전성에 대한 깨진 신뢰를 회복하기엔 역부족이었다.

일본은 마운트 곡스 같은 사건 재발을 막기 위해 지난해 4월 전 세계에서 처음으로 ‘가상화폐 거래소 등록제’를 도입, 운영하고 있다. 2017년 말 기준으로 거래소 16곳이 등록을 마쳤다. 코인체크는 아직 심사를 통과하지 못했는데도 영업을 지속하고 있었다. 심지어 주요 시간대 TV 광고와 도쿄 대형 광고판을 활용해 등록 거래소들보다도 투자자들을 더 끌어모았다. 일본 정부가 제도 시행 전부터 존재한 거래소의 경우 영업을 지속하게 했기 때문이었다.

코인체크는 가상화폐가 유출된 사실을 반나절이나 몰라 부실 관리의 허점을 드러냈다. 코인체크에서 탈취된 가상화폐는 비트코인, 이더리움, 리플 등에 이어 시가총액 10위(약 70억달러·코인마켓캡 기준)에 이름을 올리고 있는 ‘넴(NEM)’이다. 코인체크에서 26일 0시 2분부터 오전 8시 26분까지 11차례에 걸쳐 넴이 사라졌는데, 회사가 이를 감지한 것은 오전 11시 25분이었다.

코인체크는 또 넴 관련 모든 정보를 외부 인터넷망에 연결된 서버에 보관했다. 고객의 신상과 결제 관련 정보는 외부 인터넷망과 분리된 별도 서버에 보관하는 것이 최소한의 보안 수칙인데도 이를 제대로 지키지 않은 것이다. 와다 고이치로 코인체크 사장은 “(넴을) 인터넷과 분리해 운영하는 것에 기술적인 어려움이 있었다”며 부실 관리를 인정했다.


개인지갑으로 이중 잠금해야

블록체인(blockchain) 기술이 적용돼 이론상 해킹이 불가능하다고 알려진 가상화폐는 어떻게 털린 것일까.

인터넷 가상화폐 거래소에 가입하거나 컴퓨터에 가상화폐 프로그램을 설치하면 ‘지갑’이 만들어진다. 이 지갑 주소가 일종의 계좌번호 같은 역할을 해 참가자들끼리 가상화폐를 주고받을 수 있게 한다. 이때 블록체인 기술이 적용된다. 블록체인은 해당 가상화폐가 처음 만들어진 이후 모든 지갑의 모든 거래 내용을 담고 있다. 이 중에서 자신의 지갑과 관련된 거래 내용만 뽑아내면 내가 갖고 있는 가상화폐가 얼마나 되는지 알 수 있다. 블록체인의 이런 특성 때문에 거래 참여자 과반수가 보유한 가상화폐 거래 내역을 동시에 바꿔치기하지 않는 이상 해킹은 완전히 불가능하다. 그래서 해커들은 거래소 서버나 개인 PC, 스마트폰 등 가상화폐가 보관되는 기기를 노린다.

거래소는 보안을 위해 가상화폐 일정량을 ‘콜드월렛(cold wallet)’에 보관해야 한다. 콜드월렛은 인터넷에서 물리적으로 분리된 지갑이다. 네트워크로 연결이 안 돼 있으니 해킹할 수 없다. 국내 가상화폐 거래소 모임인 한국블록체인협회가 내놓은 자율 규제안에도 가상화폐의 70% 이상을 콜드월렛에 보관한다는 조항이 포함돼 있다. 코인체크는 이 콜드월렛에 관한 기본 규칙을 지키지 않았다.

핫월렛(hot wallet) 관리에도 소홀했다. 핫월렛은 콜드월렛과 달리 인터넷에 연결된 지갑으로 가상화폐를 입출금할 때 사용된다. 인터넷에 연결돼 있기 때문에 해킹에는 취약하다. 그래서 대부분의 거래소가 핫월렛에 ‘멀티시그(multisig)’ 기술을 적용한다. 멀티시그는 지갑 열쇠를 여러 개 만들어 믿을 수 있는 관계자들끼리 나눠 갖고, 지갑을 열어 가상화폐를 인출하고 싶으면 두 사람 이상의 키를 가져와 지갑이 열리도록 하는 열쇠 보관 방법이다. 한 사람의 열쇠가 해킹되더라도 지갑을 열 수 없는 구조다. 코인체크는 사고 후 기자회견에서 “다른 가상화폐의 경우는 멀티시그 방식으로 열쇠가 저장돼 있지만, 넴은 그렇지 않았다”고 털어놨다. 일본 주요 외신들은 해커들이 넴을 집중적으로 노린 것이 이 배경 때문이라고 분석했다.

우려도 나온다. 가상화폐 전문가인 노구치 유키오 와세다대 파이낸스연구센터 고문은 마이니치신문에서 “현금수송차량(거래소)이 강탈당했다고 해서 돈(가상화폐) 자체가 문제 있는 것은 아니다”라고 말했다.

전문가들은 투자자들의 이중 안전장치도 필요하다고 말한다. 거래소의 콜드월렛처럼 인터넷상에서 분리된 개인 지갑을 활용하라는 것이다. 개인 지갑은 USB나 카드 형태로, 컴퓨터와 분리돼 있을 경우 그 자체로 콜드월렛이 되기 때문에 가장 안전한 가상화폐 지갑이란 평가를 받는다. 다만, 이런 개인 지갑도 PC에 접속하는 순간 핫월렛이 될 수 있어 번거롭더라도 PC에 연결할 때 인터넷을 차단할 것을 권한다.


Plus Point

한국 가상화폐 거래소도 ‘빨간불’

전문가들은 전국적으로 20~30여곳으로 난립해 있는 한국 가상화폐 거래소도 일본 못지않게 해킹 위험에 노출돼 있다고 지적한다. 등록제로 운영되고 있는 일본과 달리 한국의 거래소는 수수료 4만원과 사업자 등록증 등 서류만 내면 통신판매업자로 등록해 영업할 수 있다.

보안도 엉망으로 운영되고 있다. 방송통신위원회가 지난해 10월부터 석달간 국내 가상화폐 거래소를 대상으로 실시한 보안 점검에서 대상 8곳 모두 ‘미흡’ 판정을 받았다. 개인 정보 해킹을 막을 시스템이 아예 없거나 주요 정보를 백업하지 않은 곳이 다수였다. 코인체크처럼 인터넷과 연결된 서버에 고객 정보를 보관한 업체들도 적발됐다.

2013년 개설된 국내 가상화폐 거래소 1세대 유빗(옛 야피존)은 두 차례 해킹으로 가상화폐를 도난당해 파산선언까지 했다가 최근 이를 철회하고 영업 재개에 나서 논란이 되고 있다. 지난해 6월 국내 최대 가상화폐 거래소인 빗썸에서는 3만여명의 개인정보가 유출되기도 했다.

한국에서는 업계를 중심으로 지난해 12월 중순 자율규제안이 나왔다. 한국블록체인협회 자율규제위원회는 이 안을 기초로 올해 1분기 중 국내에 등록된 가상화폐 거래소를 점검한다는 계획이다. 김진화 한국블록체인협회 이사는 “해킹이 가능한 만큼 이런 리스크를 최소화하려는 노력이 필요하다”며 “투자자들은 거래소의 마케팅에 현혹되지 말고 보안 등이 어떻게 이뤄지고 있는지를 꼼꼼히 살펴 투자해야 한다”고 조언했다.