컨텐츠 바로가기

03.19 (화)

[K사이버보안 최전선] 김형중 고려대 교수 “가상화폐 보안 100% 완벽하지 않아… 허술한 비번 해커 먹잇감”

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
조선비즈

김형중 고려대 정보보호대학원 특임교수는 8일 서울 삼성동에서 '조선비즈'와 만나 "가상화폐 지갑 해킹은 블록체인 자체의 기술적 결함보단 개인키(비밀번호) 유출의 문제다"라고 했다./ 김형중 교수

<이미지를 클릭하시면 크게 보실 수 있습니다>



“달러 위조지폐가 가끔 만들어진다고 해서 달러를 못 쓰게 하지는 않는다. 은행에 강도가 침입한다고 해서 화폐 시스템이 잘못된 건 아니다. 연이은 가상화폐 지갑 해킹은 블록체인 시스템 자체의 보안 측면의 결함이라기보단, 개인의 가상화폐 지갑에 대한 개인키(비밀번호)를 가상화폐 거래소가 잘 관리하지 못했기 때문이다. 거래소가 이용자의 개인정보를 보관하는 방식 자체는 블록체인과 관련이 없다. 블록체인 기반의 가상화폐를 사고파는 거래소와 가상화폐 지갑 주소와 개인키를 보관하고 있는 개인의 스마트폰 등 단말기가 해킹당하는 것이다.”


글로벌 시가총액 10위권 가상화폐인 솔라나 코인 지갑 약 8000개가 해킹 공격을 당해 수천억원대의 자금이 탈취당한 것으로 최근 알려졌다. 이 때문에 가상화폐 보안에 대한 우려가 증폭되면서 지난 4일 글로벌 가상화폐 시가총액 2위인 이더리움의 창시자인 비탈릭 부테린은 블록체인 콘퍼런스 ‘비들아시아2022′에서 “지금은 블록체인의 확장보단 보안을 강화할 때다”라며 보안 향상을 위한 연구를 지속적으로 하겠다고 밝히기도 했다.

지난 8일 서울 삼성동에서 만난 블록체인 보안 전문가 김형중 고려대 정보보호대학원 특임교수(한국핀테크학회 회장)는 잇달아 발생한 가상화폐 해킹 사태와 관련해 “블록체인 시스템 자체에 문제가 있는 것이 아니다”라며 “은행 비밀번호를 은행과 개인이 잘 관리하듯이 가상화폐를 거래하는 거래소와 개인이 적극적으로 보안에 신경 써야 한다”라고 했다.

김 교수는 학계에서 디지털 금융 및 블록체인 분야 권위자로 꼽히는 인물로, 2018년 고려대 암호화폐(가상화폐)연구센터 개소를 이끌었다. 2020년까지 고려대 정보보호대학원 교수였던 그는 영상의 조작 여부 판별 등 멀티미디어 보안 분야를 연구했으며 2014년부터 가상화폐 연구를 시작했다.

ㅡ블록체인은 절대 뚫을 수 없다는 인식이 있지 않나. 어떻게 해킹되는 건가.

“가상화폐 자체의 문제로 인한 해킹이 아니라 개인키 분실이 문제다. 누군가의 개인키를 훔치거나 주워서 사용해 그 안에 있는 자산을 가져가는 것이다. 개인의 비밀키는 그 사람의 인감도장과 비슷하다. 인감도장을 손에 넣으면 땅도 가져갈 수 있지 않나. 그래서 인감도장을 잘 보관해야 하는 것인데, 그 도장을 보관하는 거래소 또는 개인이 관리를 잘못한 거다.

개인키가 해커의 손에 들어가는 경로의 90%는 거래소 내부자의 소행이며 나머지 10%가 개인의 부주의한 관리로 인한 외부 유출이다. 또 개인이 개인키를 스마트폰 메모장이나 컴퓨터 등 단말기에 보관했는데 이 단말기가 해킹되는 경우, 개인키를 확보한 해커가 가상화폐 지갑에 접근하게 된다. 정부기관을 사칭한 피싱 문자에 인터넷주소(URL)를 첨부해 악성코드를 스마트폰에 심는 등 우리가 흔히 잘 알고 있는 해킹 수법으로 가상화폐 지갑에 대한 비밀번호도 탈취하는 것이라고 보면 된다.”

ㅡ거래소와 개인의 단말기가 해킹당하는 것이므로 블록체인 자체의 문제가 아니라는 것인가.

“그렇다. 금고가 아무리 튼튼해도 열쇠만 있으면 돈을 누구나 쉽게 꺼내 갈 수 있지 않나. 그렇다고 그 금고 자체에 문제가 있다고 말하기 어렵다. ‘누가 누구에게 얼마를 보냈다’라는 내용이 적힌 포스트잇 하나에 그다음 포스트잇을 붙이고 또 붙여서 길게 늘여놓은 포스트잇 묶음이 바로 블록체인이라고 보면 된다. 이 포스트잇은 누구에게나 투명하게, 공평하게 공개된다. 그리고 이 포스트잇에 적힌 내용은 조작될 수 없도록 여러 사람이 복사해서 나눠 가진다. 누군가 한명이 이 포스트잇에 있는 내용을 조작한다면, 나머지 사람이 가지고 있는 포스트잇과 비교해보면 바로 조작된 것이 들통난다. 은행이 없어도 블록체인에 투명하게 적어둔 가상화폐의 흐름을 모두가 감시하고 있어서 개인키만으로 안전하게 거래할 수 있다.”

ㅡ솔라나 사태에서 해킹 경로는 무엇인가.

“아직 정확한 경위가 명확하게 드러나지 않았으나 ‘서플라이 체인 공격(supply chain attack)’이라고 추정하고 있다. 이런 예시를 생각해보자. 한 국가가 미사일을 발사했는데 제대로 작동하지 않았다. 미사일 조립 과정 자체엔 문제가 없었다. 그러나 미사일에 들어가는 수만개의 부품 중 하나에 누군가 중간 유통 과정에서 악성코드를 집어넣어서 제품이 완성됐을 때 오작동을 일으키게 할 수 있다.

솔라나 사태도 유사하게 외부에서 악성코드를 집어넣은 코드가 솔라나 모바일 앱이 사용하는 어떤 라이브러리(컴퓨터 프로그램에서 자주 사용되는 프로그램을 모아 놓은 것)에서 작동하면서 개인의 가상화폐 지갑에 접근할 수 있는 개인정보가 유출된 것으로 추정되는 것이다. 솔라나 자체가 아니라 솔라나와 모바일 앱을 연동하는 과정에서 해킹이 발생했을 수 있다는 것이다.”

조선비즈

일러스트=이은현

<이미지를 클릭하시면 크게 보실 수 있습니다>



ㅡ해킹으로 정확히 어떤 정보가 탈취된 건가.

“가상화폐가 아니라 가상화폐를 보관하는 지갑의 개인키가 탈취됐다. 조금 더 정확히 말하자면 개인키가 아니라 ‘시드(Seed)’가 유출된 사례다. 시드를 이해하기 위해선 가상화폐 지갑에 대한 비밀번호인 개인키가 어떻게 만들어지는지 이해해야 한다.

비밀번호인 개인키의 길이는 256비트(bit)다. 우리에게 익숙한 인터넷주소(IP)가 32비트인데 이 정도도 우린 기억하기 어려워서 도메인 이름으로 기억하지 않나. 이 긴 비밀키를 기억하기 어렵기 때문에 알아보기 쉬운 12개의 영어 단어로 구성된 문자열로 우린 만드는데 이것이 바로 ‘니모닉(mnemonic)’이다. 개인키를 잃어버려도 니모닉을 알고 있으면 개인키를 만들어낼 수 있다. 이 니모닉으로부터 ‘시드’를 생성하고, 또 복잡한 절차를 거쳐 이 시드를 통해 개인키라는 비밀번호를 만들어주는 것이다. 솔라나의 경우 외부로부터 공격을 받아 이 ‘시드’가 해킹당한 것으로 보인다.

시드를 해커가 손에 쥐게 되면, 그것으로 마스터키를 만들 수 있으므로 바로 개인키를 유추할 수 있게 된다. 한마디로 개인키에 대한 중요한 힌트를 얻게 된다. 지금까진 해커가 개인키 자체를 탈취하는 경우가 많았는데, 솔라나를 계기로 그 전 단계인 ‘시드’를 탈취할 수도 있어 보안의 중요성이 더 커졌다.”

ㅡ거래소는 해킹에 어떻게 대비해야 하나.

“우선 거래소가 개인키를 암호화해 보관하는 등 더 철저하게 관리해야 한다. 현재 이와 관련한 법이 없어 제대로 정부가 이를 규제하지 못하고 있는데 개선책이 필요하다. 특히 거래소가 개인으이 더 안전하게 개인키를 생성하도록 만들어야 한다. 우리가 다양한 웹사이트에 회원가입을 할 때 ‘12345′나 ‘iloveyou’처럼 쉬운 비밀번호를 만들지 못하게 알파벳 대문자와 소문자, 특수문자, 숫자 등을 조합하라고 강제하지 않나. 이런 조치가 필요한데 아직 과도기 시점이라 지금 그런 권고가 잘 보이지 않는다.

조금 더 구체적으론 거래소가 이용자에게 니모닉만 제공하고 개인키를 줄 것이 아니라, 이와 별개로 이용자가 직접 ‘암구호(passphrase)’를 입력해서 더 안전하게 개인키를 설정할 수 있게 해야 한다. 암구호를 입력하게 되면, 해커가 니모닉을 손에 넣어도 암구호를 모르기 때문에 개인키를 알아내 지갑을 열 수가 없다. 현재 이용자에게 지갑 생성 시 시드를 만드는 과정에서 암구호를 입력하라고 요구하는 거래소가 거의 없다. 개인키 보안을 거래소가 더 철저하게 관리해야 한다. 고객의 비밀키를 빼돌리는 내부자의 소행을 더 철저히 감시하는 일도 당연하다.”

ㅡ개인은 어떻게 대비해야 할까.

“개인은 계좌 비밀번호나 웹사이트 비밀번호를 더 강력하게 생성하고 관리하듯이, 개인키 보안을 철저하게 해야 한다. 단말기를 사용할 때 피싱이나 이메일을 통한 악성코드 배포 등에 유의해야 한다. 온라인으로 연결된 암호화폐 지갑은 나의 PC나 스마트폰과 동일하게 항상 해커가 잠입해 있다고 생각하는 게 좋다. 항시 조심해야 한다. 어이없는 실수도 잦다. 거래 시 암호화폐 지갑의 주소를 알려줘야 하는데 자신의 비밀키를 상대방에게 전달하는 경우도 있다. 긴 비밀번호 보관이 귀찮다며 이메일 등에 복사해 붙여놓는 행위도 위험하다. 그러나 개인이 이를 완벽하게 관리하는 데엔 한계가 있는 만큼 정부가 개인키를 관리하는 거래소에 대한 인사관리나 프로세스관리에 대한 규제를 강화할 필요가 있다. 법인은 수탁기관(custody) 업체를 이용하는 것도 고려해야 한다.”

이소연 기자(sosoy@chosunbiz.com)

<저작권자 ⓒ ChosunBiz.com, 무단전재 및 재배포 금지>
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.