[이슈분석]소 잃고 외양간 안 고친 암호화폐 거래소

Photo Image

'소 잃고 외양간을 안 고쳤다.'

국내 최대 암호화폐 거래소 중 한 곳인 빗썸이 또다시 해킹 피해를 입었다. 350억원 규모 암호화폐를 탈취 당했다. 지난해 이어 두 번째다. 지난해 말 유빗이 해킹으로 파산을 신청하고 6월 초 국내 7위 거래소 코인레일도 400억원 상당의 피해를 입었다. 암호화폐 거래소를 노린 해킹은 끊이지 않는데 관련 기업 대응이 여전히 미흡하다. 침해사고를 겪은 거래소가 또 해킹 피해를 입는 사례가 많은 이유다.

팀 웰스모어 파이어아이 아시아태평양지역 위협정보분석디렉터는 “아시아태평양 소재 기관 중 한 번 표적이 된 기업은 다시 공격을 받는다”면서 “고객사 중 91%가 동일하거나 비슷한 동기를 가진 공격 그룹 표적이 된다”고 말했다. 해커는 한 번 침투한 기업 취약 지점을 꿰뚫고 있다. 다시 공격할 교두보를 마련해 두는 경우도 많다. 침해 당한 기업 상당수가 원인 분석과 대응을 제대로 하지 않고 다시 서비스를 재개한다.

◇5월 말부터 암호화폐 거래소 대상 사이버 공격 늘어

사이버 보안업계는 한 동안 잠잠하던 암호화폐 대상 공격이 5월 말 부터 늘어나는 걸 감지했다. 암호화폐 거래자나 거래소를 노린 악성 이메일이 급증했다. 지난해 빗썸은 이메일 등이 포함된 고객 정보를 유출했다. 이 고객 대상으로 해킹 이메일을 뿌렸다.

'6·25 참전수기'란 제목의 한글파일이 암호화폐 거래자 등에게 유포됐다. 해당 문서 파일을 열면 악성코드에 감염되고 계정 등을 탈취한다. 보안 업계는 거래소를 표적한 '이력서형' 악성문서도 발견했다. 암호화폐 거래소는 지난해부터 지속적으로 인력을 충원했다. 거래소 인사 담당자를 표적해 이력서에 악성코드를 첨부한 공격이 5월 말 감지됐다.

Photo Image
빗썸 고객 정보로 뿌려진 해킹 이메일.

그동안 암호화폐를 노린 대부분 공격 방식은 스피어피싱이다. 거래소 내 직원 한 명만 감염시키면 내부 침투가 용이하다. 공격자는 이력서나 공문서 등으로 위장한 악성파일을 보내 거래소 내부인을 감염시킨 후 측면 이동해 암호화폐가 들어있는 핫월렛 등 주요 시스템 계정을 탈취한 후 부정 인출한다.

◇빗썸, 16일부터 이상 징후…보안 조치 논란

Photo Image

각종 온라인 암호화폐 게시판에는 16일부터 빗썸 시스템이 이상하다는 글이 올라왔다. 빗썸은 16일 새벽 5시 20분부터 12시까지 긴급 서버점검 공지를 올렸다. 안정적 거래 환경을 제공한다는 이유를 내세웠다. 같은 날 오후 3시부터 거래 서비스를 재개했다. 긴급 점검은 공지한 시간보다 3시간이나 더 걸렸다.

빗썸은 이때 “지속적으로 비정상적 접근 시도가 증가해 16일 새벽 모든 시스템 보안 강화를 위한 긴급 서버 점검을 했다”고 밝혔다. 이어 “안전한 거래를 위해 시스템과 데이터베이스(DB) 업그레이드로 보안을 강화했다”고 덧붙였다.

한 암호화폐 거래자는 “16일부터 빗썸 해킹루머가 확산됐다”면서 “일부는 암호화폐가 대규모로 이동된 정황을 이야기했다”고 말했다. 빗썸은 20일 오전 회원 공지를 통해 해킹 사실을 알리고 한국인터넷진흥원에 침해 사고를 신고했다.

빗썸은 지난해 사고 후 방통위 제재를 받고 올 4월 초 KISA에 정보보호관리체계인증(ISMS)을 신청했다. KISA는 4월 말 예비점검에 나갔는데 준비가 미흡해 보완 후 재신청을 요구했다. ISMS를 받을 준비가 안 된 상황에서 무리하게 추진했다는 지적이다.

◇지난해 해킹 당한 거래소 수사 결과도 오리무중

Photo Image
2017년 12월 20일 오전 서울 강서구 '야피안' 사무실에서 경찰이 사무실에 들어가기 위해 대기하고 있다.

지난해 파산 선언한 유빗이 어떻게 해킹을 당했는지 수사 결과가 발표되지 않았다. 서울지방경찰청 사이버안전과와 한국인터넷진흥원은 현장 조사를 했지만 6개월이 넘도록 해킹 경로와 수법 결과를 내놓지 않았다. 분석에 시일이 걸린다는 말만 되풀이 한다.

유빗 침해사고 원인 규명이 이뤄지지 않은 상태에서 코인레일과 빗썸이 당했다. 코인레일 사고도 조사 중이다. 사고조사 관계자는 “수사 중이어서 구체적 사안을 말할 수 없다”고 밝혔다.

암호화폐 거래소 대표는 “거래소 공격자는 비슷한 공격 방법이나 수법을 쓴다”면서 “경찰이나 KISA, 거래소 등이 위협 정보를 공유하면 다른 거래소 피해를 최소화한다”고 말했다. 이어 “암호화폐 해킹에 이용되는 지갑 주소와 각종 정보를 다른 거래소랑 공유해야 한다”고 충고했다.

김용대 KAIST 사이버보안연구센터장은 “암호화폐 거래소는 금융 서비스에 가까운데 IT적으로 접근을 시도한 곳이 많다”면서 “금전 피해가 발생해 금융 서비스에 준하는 강화된 보안 체계 마련이 시급하다”고 말했다. 이어 “암호화폐는 해킹 후 바로 현금화가 가능하다”면서 “공격자 의도를 정확히 파악하고 보안 대책을 세워야 한다”고 덧붙였다.

<표>국내 암호화폐 거래소 해킹 일지

[이슈분석]소 잃고 외양간 안 고친 암호화폐 거래소

김인순 보안 전문기자 insoon@etnews.com


브랜드 뉴스룸