[가상통화 거래앱 보안 구멍]국내 가상통화 앱 7개 점검해보니
투자자들은 중개업체인 거래소를 통해 가상통화를 사고판다. 구입한 가상통화도 거래소에 보관해둔다. 거래소는 일반 인터넷쇼핑몰처럼 중앙 서버를 기반으로 운영된다. 거래소 서버가 해킹을 당하면 거래소에 보관해둔 자산도 털릴 수밖에 없는 구조다. 지난해 12월 국내 거래소 최초로 ‘유빗’이 해킹으로 거래 자산의 17%를 탈취당해 결국 파산 발표를 한 것이 대표적 사례다.
지난해 12월 거래소들이 소속된 한국블록체인협회 준비위원회는 자율 규제안을 내놓고 고객 자산의 70%를 별도로 보관하겠다고 밝혔다.
광고 로드중
○ 가상통화 거래소 취약, 해킹 먹잇감 우려
먼저 이 앱들은 설계도 역할을 하는 소스코드가 거의 그대로 드러났다. 설계도가 쉽게 파악되면 그만큼 해커가 앱을 조작할 수 있는 가능성이 커진다.
또 위·변조된 뒤에도 위조 여부를 전혀 탐지하지 못했다. 정상적인 앱은 위·변조가 되면 이를 탐지해 작동을 중지해야 한다. 악성코드가 심어져 위·변조된 앱에서 투자자들이 평소처럼 거래하면 가상통화를 사려고 입금한 돈이 엉뚱한 곳으로 빠져나갈 수도 있다. 4개 앱은 운영체제(OS) 설정을 바꿔 해킹 가능성이 높아진 휴대전화에서도 평소처럼 작동됐다.
광고 로드중
가상통화를 사려고 은행에서 거래소로 송금한 돈도 해킹 대상이 될 수 있다. 박용진 더불어민주당 의원실에 따르면 지난해 12월 12일 현재 이렇게 예치된 가상통화 투자자금이 2조670억 원이었다. 박찬암 스틸리언 대표는 “보안 수준이 낮은 앱에 해커가 악성코드를 심어 고객 정보와 고객 돈을 탈취할 우려가 있다”고 말했다.
○ 영세업체 난립, 보상 체계도 없어
이 때문에 상당수 거래소가 파산한 유빗(3억 원)보다 적은 자본금으로 영업을 하고 있다. 가짜 사무실 주소를 내걸고 영업하는 거래소도 있을 정도다. 정부 관계자는 “거래소에 대한 명확한 규정이 없다 보니 몇 개인지 파악하기조차 어렵다”고 말했다. 정보기술(IT)업계 관계자는 “최근 거래소가 돈이 된다고 하니 거래소를 열겠다는 사람이 많지만 보안에 신경을 쓰는 사람은 거의 보지 못했다”고 말했다.
광고 로드중
이런 상황에서 세계적으로 거래소에 대한 해킹 시도는 증가하고 있다. 지난해 4월 야피존(현 유빗)은 해킹으로 55억 원 상당의 가상통화를 도난당했다. 6월 빗썸, 9월 코인이즈, 12월 유빗 등 최근 9개월간 국내서만 4번의 해킹 사고가 터졌다.
거래소가 제도권 밖에 있다 보니 해킹을 당해 투자자들이 피해를 보더라도 보상받을 길이 없다. 지난해 12월 유빗은 파산을 발표하면서 “우선 투자자들에게 자산의 75%를 돌려주겠다”고 밝혔지만 이마저도 지지부진한 상황이다. 앞서 지난해 4월 해킹을 당했을 때는 투자자 자산을 일률적으로 37% 차감했다가 투자자들이 반발하자 자체 상장한 가상통화로 보상하기도 했다.
정부 관계자는 “해킹으로 인한 피해는 사실상 민사소송을 통해 받아내는 수밖에 없다”고 말했다. 하지만 투자자가 피해를 직접 입증해야 하는 데다 약관에 ‘해킹 피해에 대해 책임지지 않는다’는 면책 조항을 둔 거래소도 있어 보상을 제대로 받기 어렵다는 분석이 많다.
전문가들은 거래소 피해보상 의무를 대폭 확대해 보안을 강화할 수밖에 없는 환경을 만들어야 한다고 주문한다. 이희조 고려대 컴퓨터학과 교수는 “보안에 대한 규제를 강화하는 것은 물론이고 피해에 대한 소비자 보상 금액을 크게 늘려 업체들이 사전에 해킹 사고를 방지할 수 있도록 유도해야 한다”고 강조했다.
강유현 yhkang@donga.com·김성모 기자