실시간
뉴스

딜라이트닷넷

[딜라이트닷넷] 블록체인과 관계없는 가상화폐거래소, 그리고 보안

[디지털데일리 IT전문 블로그 미디어 = 딜라이트닷넷]

비트코인, 이더리움 등으로 대표되는 가상화폐(암호화폐)와 블록체인 기술이 여전히 화제의 중심에 있습니다. 2~3명만 모이면 가상화폐 이야기를 할 정도입니다. 지난 30일부터 암호화폐 거래실명제가 도입되면서 다소 주춤해진 상황이지만 정부 규제와 미래 기술 발전을 놓고 여전히 격렬한 논쟁이 펼쳐지고 있습니다.

이러한 논란의 중심에 있는 것이 암호화폐거래소(가상화폐거래소)입니다. 가상화폐거래소는 말 그래도 가상화폐를 사고 팔 수 있는 중개 역할을 하는 곳입니다.

가상화폐는 잘 알려진대로 블록체인이라는 기술을 기반으로 합니다. 블록체인 기술은 거래에 참여하는 사람 모두가 내역을 공유해 해킹이 거의 불가능합니다.

하지만 가상화폐거래소는 블록체인 기술을 사용하지 않습니다.

이미 채굴이 된 가상화폐 대부분은 ‘거래소’를 통해 거래가 됩니다. 마치 주식거래를 위한 증권사처럼 가상화폐거래소는 가상화폐를 보관할 수 있는 전자지갑을 만들어주고, 이를 통해 가상화폐를 사고 파는 행위를 합니다. 거래소들은 거래 체결의 댓가로 1.5%를 수수료로 받고 수익을 냅니다.

가상화폐거래소 빗썸의 시세표 갈무리
가상화폐거래소 빗썸의 시세표 갈무리

문제는 가상화폐거래소의 보안 수준이 너무 낮다는 것입니다. 일정만 요건만 맞으면 누구나 설립이 가능해 진입장벽이 낮다보니 해커들의 먹잇감으로 전락했다는 지적이 제기됩니다.

실제 지난 26일(현지시간) 일본 최대 가상화폐거래소 ‘코인체크’는 해킹으로 시세 580억엔(한화로 약 5700억원)에 달하는 가상화폐 넴(NEM)을 탈취당했습니다. 코인체커 측은 “가상화폐 정보를 보관한 서버에 해커가 침입해 고객 26만명의 계좌에서 5억2300만개 넴을 빼돌렸다”며 “이를 현금으로 보상하겠다”고 밝혔지만 업계에서는 충분한 보상을 하지 못하거나 폐업할 가능성이 높다고 보고 있습니다.

국내 가상화폐거래소 역시 해커에게 끊임없이 공격받고 있습니다. 지난해 4월 국내 가상화폐거래소인 야피존(현 유빗)은 해킹으로 3831 비트코인, 원화 가치로 약 55억원 수준을 탈취당했습니다. 같은해 9월에는 코인이즈가 해킹으로 약 21억원의 손해를 입은 바 있습니다. 가상화폐를 탈취당하진 않았지만, 또 다른 가상화폐거래소 빗썸도 2017년 6월 해킹으로 3만 6000명의 회원정보가 유출된 바 있습니다.

최근 과기부와 한국인터넷진흥원이 국내 10여곳의 가상화폐거래소 보안취약점을 점검한 결과 대부분의 거래소가 망분리 및 시스템 접근통제 관리가 미흡했고. 유해사이트 접속 차단 등 관리자PC 설치프로그램에 대한 보안관리도 제대로 돼 있지 않았습니다. 방화벽 등 정보보시스템 구축이나 침해사고 대응 절차나 지침, 주요 데이터 백업관리체계도 엉망인 것으로 나타났습니다.

때문에 최근 IT업계에서는 금융권 수준의 보안을 보장하는 가상화폐거래소를 설립하겠다는 업체가 늘고 있습니다. 퓨전데이타도 이중 하나입니다. 하지만 이들의 보안 강화 전략을 들어보면, 기존 시스템 보안과 별반 다르지는 않습니다. 다만 가상화폐라는 특수성 때문에 전자지갑 암호키와 관련한 부분이 추가되는 정도입니다.

퓨전데이타가 발표한 가상화폐거래소 보안 전략을 보면 크게 세가지로 요약됩니다. 데스크톱 가상화(VDI)로 대표되는 논리적 망분리, 데이터베이스(DB) 암호화 등 보안관리체계, 멀티시그 기술 적용 등이 핵심입니다.

데스크톱가상화(VDI) 개념
데스크톱가상화(VDI) 개념

우선 국내 주요 금융권과 공공기관 등에 적용돼 있는 망분리를 거래소에도 적용해 외부의 악의적인 접근을 사전에 차단하겠다는 것입니다. 망분리는 내부 시스템을 외부 네트워크망과 분리시키는 개념입니다. 가상화 솔루션을 이용한 VDI가 대표적입니다.

VDI는 단말기 종류에 상관없이 서버의 가상PC에 접속해 업무를 할 수 있는 환경을 뜻합니다. 중요한 정보는 중앙 서버에 있고, 직원은 필요한 자료를 그때마다 접속해 활용할 수 있습니다. 이 자료는 내 PC나 USB 등에 저장할 수 없어 보안, 업무효율성 측면에서 각광받아 왔습니다.

가상화폐거래소 역시 VDI 기술을 통해 내부 업무용 PC는 서버를 연결하는 단말기 역할만 수행해, 악성코드나 USB를 통해 발생하는 내부자료 유출을 미연해 방지할 수 있다는 설명입니다. 또 이를 활용해 세이프박스 개념의 프라이빗 전자지갑서비스 전자금고(가칭)도 개발할 예정입니다. VDI를 통해 외부 네트워크망과 분리된 별도의 시스템에는 보안인증을 통과한 사용자만이 접근, 사용할 수 있도록 할 방침입니다.

가상화폐를 보관하는 전자지갑에는 ‘멀티시그(Multisig)’라는 기술이 적용합니다. 인터넷에 연결된 지갑으로 해킹당하기 쉬운 만큼, 지갑의 열쇠를 여러개 만들어 신뢰할 수 있는 다수의 관계자들이 나눠갖는 개념입니다. 기존 하나의 개인키에 두 개의 키를 더한 총 3개의 키를 만들어 서로 다른 곳에 보관해두고, 3개 중 2개키의 승인을 받아야만 지갑이 열리는 형태입니다.

퓨전데이타의 경우 ‘비트고’라는 미국 솔루션을 사용할 것으로 전해지는데요. 비트고 이외에도 프랑스 레저 같은 기업이 유명합니다. 멀티시그 기술은 현재 많은 거래소에서 활용하고 있습니다. 이밖에 DB암호화를 비롯해 통합보안관제시스템을 적용해 보안 체계를 강화하겠다는 계획입니다.

한편 현재 많은 거래소가 사용자가 몰릴 경우 트래픽 과부하에 따른 서버 다운, 거래 지연을 예방하기 위해 클라우드 서비스를 활용하는 경우가 많습니다. 퓨전데이타 역시 MS의 클라우드 서비스인 애저 등을 일부 활용할 것으로 보입니다.

[백지영 기자 블로그=백지영 기자의 데이터센터 트랜스포머]

디지털데일리 네이버 메인추가
x