국내 1위 가상화폐 거래소 빗썸이 20일 350억원어치의 가상화폐를 해킹으로 도난당했다. 코인레일, 유빗 등 군소(群小) 거래소에 이어 '제1금융권과 같은 보안 수준'이라고 광고하던 업계 1위 거래소마저 털리면서 업계와 투자자들은 충격에 빠졌다. 해킹 소식이 전해지면서 비트코인 가격은 750만원에서 한때 708만원까지 떨어졌다.
이날 아침부터 빗썸 고객센터에는 "내 가상화폐는 안전하냐"는 문의 전화가 수백 건 걸려왔다. 서울 강남구 역삼동 본사 건물 앞을 지나던 50대 남성은 1층에 걸린 '서비스는 최고! 거래량도 최고! 보안은 더욱 최고!' 현수막을 가리키며 "저래 놓고 350억원을 도둑맞느냐"며 손가락질을 했다. 점심 무렵에는 서울 광화문과 역삼동에 있는 고객센터로 찾아와 자초지종을 묻는 고객들도 여럿 있었다.
빗썸은 19일 밤부터 20일 새벽 사이에 해킹이 발생했다고 밝혔다. 빗썸은 오후 11시쯤 가상화폐가 보관된 서버에서 해킹 공격이 감지되자 2시간 뒤인 오전 1시 10분 홈페이지에 공지문을 올리고 가상화폐 입금을 전면 중단했다. 이후 시스템 점검 과정에서 시가총액 3위의 가상화폐인 리플 등 350억원어치의 가상화폐를 탈취당한 사실이 확인됐다. 불과 2시간 사이에 350억원어치가 빠져나간 것이다. 빗썸은 오전 9시 50분 홈페이지 공지를 통해 해킹 사실을 알리고 가상화폐 입출금과 거래 대금의 현금 인출을 전면 중단했다. 해킹 신고를 받은 한국인터넷진흥원(KISA)과 경찰은 조사에 착수했다. 빗썸은 "고객 피해가 확인되면 전액 보상하겠다"고 밝혔다. 빗썸의 하루 거래 규모가 4700억원대임을 감안하면 보상 가능한 규모이다.
이번 해킹은 지난 10일 발생한 코인레일 거래소 해킹 사건과 마찬가지로 '핫월렛(hot wallet·인터넷에 연결된 가상화폐 서버)'을 공격하는 방식이었다. 거래소는 보통 보안을 위해 가상화폐 보유분의 70~80% 정도를 인터넷에 연결되지 않은 별도 서버(콜드월렛·cold wallet)에 보관한다. 콜드월렛에 가상화폐를 보관하면 외부에서 접속이 불가능해 해킹에서 안전하지만, 매수와 매도 요청을 처리하는 데 시간이 소요된다. 반면 핫월렛에 가상화폐를 보관하면 거래가 빠르게 이뤄지지만 해킹에 취약해진다. 이번에도 해커들이 직원 PC를 해킹해 서버 비밀번호를 알아낸 뒤 가상화폐를 탈취한 것으로 추정된다.
특히 빗썸은 지난 16일부터 해킹 시도가 지속적으로 발생했다고 밝혔다. 빗썸 관계자는 "공격이 계속되자 핫월렛에 있는 가상화폐 고객 보유분을 콜드월렛으로 옮기는 조치를 취했다"면서 "거래를 원활하게 하기 위해 핫월렛에 남겨둔 회사 보유분 가상화폐 일부가 도난당한 것"이라고 말했다. 하지만 고객들은 예고된 해킹 공격도 막지 못했다고 분개하고 있다.
◇1000억원 털린 국내 거래소, 보안 미흡
국내 가상화폐 거래소에 대한 해킹 공격은 지난해부터 계속되고 있다. 지금까지 국내 거래소들이 도난당한 가상화폐만 1000억원어치에 육박한다. 지난해 4월 야피존이 해킹으로 50억원 상당의 가상화폐를 탈취당했고, 9월에는 코인이즈에서 21억원 규모의 피해가 발생했다. 10월에는 유빗(옛 야피존)이 다시 170억원어치의 가상화폐를 도난당했다. 이번에 해킹이 발생한 빗썸도 지난해 7월 직원 PC가 해킹되면서 고객들의 개인 정보 3만여 건이 유출됐었다. 국가정보원은 지난해 12월 "거래소에 대한 해킹 4건 모두가 북한 해커 집단의 소행이라는 증거를 찾아냈다"고 밝혔다.
지난 10일에도 코인레일이 가상화폐 400억원어치를 털려 경찰청이 수사하고 있다.
IT 전문가들은 거래소들의 부실한 보안 인식이 잇따른 해킹의 원인이라고 지적한다. 하루 수천억원에 이르는 고객들의 돈과 가상화폐를 취급하면서도 보안보다는 거래의 편의성에만 초점을 맞춰 운영하고 있다는 것이다. 보안업체 SK인포섹의 문병기 팀장은 “거래소들도 인터넷과 연결된 서버에 가상화폐를 보관하면 해킹에 취약하다는 점을 알고 있다”면서 “하지만 경쟁이 치열하다 보니 빠른 거래로 고객을 유치하기 위해 위험을 외면하고 있는 것”이라고 말했다.
거래소들이 보안에 대한 투자에 소홀하다는 지적도 끊이지 않는다. 금융 당국은 은행에 대해 전체 인력의 5%를 정보기술(IT) 전문 인력으로 고용하고, 전체 예산의 7%를 보안에 쓰도록 권고하고 있다. 하지만 가상화폐 거래소들은 ‘안전하다’는 주장만 되풀이할 뿐 실질적인 대책 마련에는 나서지 않고 있다. 빗썸을 비롯한 주요 가상화폐 거래소들은 올해 한국인터넷진흥원의 정보보호관리체계(ISMS) 인증 의무 대상으로 지정됐지만, 아직까지 인증을 받은 곳은 없다. 한 보안 업계 관계자는 “거래소가 해킹되면 그 피해는 고객들이 입을 수밖에 없는 만큼 은행 수준의 보안 체계를 갖추도록 하는 방안을 마련해야 한다”고 말했다.
장형태 기자(shape@chosun.com);임경업 기자
<저작권자 ⓒ ChosunBiz.com, 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
