앱 위조해도 전혀 모른채 작동… 해커에 ‘금고 문’ 열어둔 셈

강유현기자 , 김성모기자

입력 2018-01-03 03:00 수정 2018-01-03 03:00

|
폰트
|
뉴스듣기
|
기사공유 | 
  • 페이스북
  • 트위터
[가상통화 거래앱 보안 구멍]국내 가상통화 앱 7개 점검해보니

가상통화 거래소가 해킹에 무방비로 노출돼 있다는 건 투자자들이 언제라도 자산을 탈취당할 수 있다는 의미다.

투자자들은 중개업체인 거래소를 통해 가상통화를 사고판다. 구입한 가상통화도 거래소에 보관해둔다. 거래소는 일반 인터넷쇼핑몰처럼 중앙 서버를 기반으로 운영된다. 거래소 서버가 해킹을 당하면 거래소에 보관해둔 자산도 털릴 수밖에 없는 구조다. 지난해 12월 국내 거래소 최초로 ‘유빗’이 해킹으로 거래 자산의 17%를 탈취당해 결국 파산 발표를 한 것이 대표적 사례다.

지난해 12월 거래소들이 소속된 한국블록체인협회 준비위원회는 자율 규제안을 내놓고 고객 자산의 70%를 별도로 보관하겠다고 밝혔다.

하지만 수조 원이 오가는 거래소의 보안 수준이 매우 취약해 해커들의 먹잇감이 될 것이라는 우려가 높다. 특히 국내에 영세한 거래소가 난립하고 있어 유빗처럼 해킹으로 자산이 17%만 탈취당해도 파산으로 이어져 투자자들이 고스란히 피해를 떠안을 것이라는 우려가 나온다.


○ 가상통화 거래소 취약, 해킹 먹잇감 우려

동아일보가 2일 사이버보안 전문업체인 스틸리언에 의뢰해 국내 가상통화 거래소 7개 앱의 해킹 방지 수준을 살펴본 결과 4개 앱이 낙제점을 받았다.

먼저 이 앱들은 설계도 역할을 하는 소스코드가 거의 그대로 드러났다. 설계도가 쉽게 파악되면 그만큼 해커가 앱을 조작할 수 있는 가능성이 커진다.

또 위·변조된 뒤에도 위조 여부를 전혀 탐지하지 못했다. 정상적인 앱은 위·변조가 되면 이를 탐지해 작동을 중지해야 한다. 악성코드가 심어져 위·변조된 앱에서 투자자들이 평소처럼 거래하면 가상통화를 사려고 입금한 돈이 엉뚱한 곳으로 빠져나갈 수도 있다. 4개 앱은 운영체제(OS) 설정을 바꿔 해킹 가능성이 높아진 휴대전화에서도 평소처럼 작동됐다.

거래소 앱은 일반 앱보다 해킹에 더 민감할 수밖에 없다. 투자자들의 개인정보는 물론이고 가상통화 및 투자를 하려고 입금한 돈 등 실제 자산이 보관되고 있기 때문이다.

가상통화를 사려고 은행에서 거래소로 송금한 돈도 해킹 대상이 될 수 있다. 박용진 더불어민주당 의원실에 따르면 지난해 12월 12일 현재 이렇게 예치된 가상통화 투자자금이 2조670억 원이었다. 박찬암 스틸리언 대표는 “보안 수준이 낮은 앱에 해커가 악성코드를 심어 고객 정보와 고객 돈을 탈취할 우려가 있다”고 말했다.


○ 영세업체 난립, 보상 체계도 없어

거래소들의 보안이 이렇게 허술한 것은 진입장벽이 낮아 영세업체가 난립한 탓이 크다. 가상통화 거래소는 정보통신망법상 통신판매업자로 분류된다. 자본금 규제를 받지 않고 구청 같은 관할 지방자치단체에 신고만 하면 영업할 수 있다.

이 때문에 상당수 거래소가 파산한 유빗(3억 원)보다 적은 자본금으로 영업을 하고 있다. 가짜 사무실 주소를 내걸고 영업하는 거래소도 있을 정도다. 정부 관계자는 “거래소에 대한 명확한 규정이 없다 보니 몇 개인지 파악하기조차 어렵다”고 말했다. 정보기술(IT)업계 관계자는 “최근 거래소가 돈이 된다고 하니 거래소를 열겠다는 사람이 많지만 보안에 신경을 쓰는 사람은 거의 보지 못했다”고 말했다.

거래소에 대한 보안 규제 또한 전무하다. 금융회사는 ‘전자금융거래법’에 따라 앱 보안 체계를 제대로 갖추지 않으면 최대 5000만 원의 과태료 처분을 받는다. 금융보안원이 수시로 검사도 나선다. 이와 달리 통신판매업자로 분류된 거래소는 이런 규제에서 벗어나 았다.

이런 상황에서 세계적으로 거래소에 대한 해킹 시도는 증가하고 있다. 지난해 4월 야피존(현 유빗)은 해킹으로 55억 원 상당의 가상통화를 도난당했다. 6월 빗썸, 9월 코인이즈, 12월 유빗 등 최근 9개월간 국내서만 4번의 해킹 사고가 터졌다.

거래소가 제도권 밖에 있다 보니 해킹을 당해 투자자들이 피해를 보더라도 보상받을 길이 없다. 지난해 12월 유빗은 파산을 발표하면서 “우선 투자자들에게 자산의 75%를 돌려주겠다”고 밝혔지만 이마저도 지지부진한 상황이다. 앞서 지난해 4월 해킹을 당했을 때는 투자자 자산을 일률적으로 37% 차감했다가 투자자들이 반발하자 자체 상장한 가상통화로 보상하기도 했다.

정부 관계자는 “해킹으로 인한 피해는 사실상 민사소송을 통해 받아내는 수밖에 없다”고 말했다. 하지만 투자자가 피해를 직접 입증해야 하는 데다 약관에 ‘해킹 피해에 대해 책임지지 않는다’는 면책 조항을 둔 거래소도 있어 보상을 제대로 받기 어렵다는 분석이 많다.

전문가들은 거래소 피해보상 의무를 대폭 확대해 보안을 강화할 수밖에 없는 환경을 만들어야 한다고 주문한다. 이희조 고려대 컴퓨터학과 교수는 “보안에 대한 규제를 강화하는 것은 물론이고 피해에 대한 소비자 보상 금액을 크게 늘려 업체들이 사전에 해킹 사고를 방지할 수 있도록 유도해야 한다”고 강조했다.

강유현 yhkang@donga.com·김성모 기자

라이프



모바일 버전 보기