[금융경제신문= 정순애 기자] 가상화폐 거래사이트 최고를 자랑하는 '빗썸'에서 350억원 규모의 코인이 탈취당하는 해킹 사고가 발생해 가상화폐거래소의 취약한 보안문제가 다시 도마위에 올랐다.  특히 이번 사고 전에도 빗썸은 해킹 징후를 여러차례 인지하고 있었지만 제대로 대응하지 못했다는 게 밝혀져 충격을 안겨주고 있다.

업계에 따르면 빗썸은 하루 전인 19일 오후 11시께 해킹 공격 시도를 포착했다. 이후 2시간 가량 지난 다음날 오전 1시께 입금 서비스를 중단했다. 이후 오전 9시50분께 빗썸은 거래서비스 외 가상화폐 입출금 및 원화출금 서비스 제공까지 중단했다.

한국인터넷진흥원(KISA)은 빗썸으로부터 신고접수를 받고 강남구 역삼동 빗썸 사무실에 출동해 조사하고 있다. 경찰 역시 수사관을 현장에 보내 조사를 벌이고 있다.

빗썸에 따르면 이번에 도난당한 코인은 리플 등이다. 보다 구체적인 도난 코인의 종류는 이날 늦게 빗썸 홈페이지를 공지될 예정이다.

빗썸은 거래사이트 '코인레일'이 해킹 공격을 받은 지난 10일 전후로 자사 보안시스템을 공격하려는 징후가 몇 차례에 걸쳐서 확인됐다고 밝혔다. 이에 따라 빗썸은 지난 주말을 기해 핫 월렛(Hot-Wallet)에 들어있던 고객 보유 코인을 콜드 월렛(Cold-Wallet)으로 옮겼다. 따라서 이번에 탈취당한 코인도 전량이 회사 보유분이고 회원들의 자산에는 피해가 없다는 게 빗썸의 설명이다.

빗썸은 통상 코인을 핫 월렛과 콜드 월렛에 3대7 정도의 비율로 나눠 보관한다고 설명했다. 핫 월렛과 달리 콜드 월렛은 인터넷 망과 분리돼 보다 안전하다. 평상시에 코인 전량을 콜드 월렛에 두지 않고 핫 월렛에 일정부분 남겨두는 건 코인 입출금 서비스를 원활하게 지원하기 위해서다.

코인이 콜드 월렛에만 보관된다면 입출금 요청시 인터넷과 연결된 핫 월렛으로 코인을 옮겼다가 입출금하는 과정을 거쳐야 해 원활하지 않다는 설명이다.

그러다 최근 포착되는 해킹 징후가 급속도로 늘자 이에 대응해 고객이 보유한 코인 전량을 콜드 월렛으로 이전했다는 것이다. 다만 고객 보유분이 아닌 회사 자체 보유분의 경우 핫 월렛의 코인을 옮기는 작업을 하지 않았고, 여기에 대한 해킹 공격이 이뤄져 350억원 어치를 도난당한 셈이다.

최근 암호화폐 거래소가 해커들의 놀이터가 되면서 공격 방법도 다양하고 치밀해지고 있다. 앞서 국내외에서 일어난 암호화폐 거래소 해킹 사건은 주로 특정 표적을 정해 장기간에 걸쳐 다양한 해킹 수단을 총동원하는 '지능형지속위협'(APT) 방식으로 이뤄졌다. 지난 1월 5700억원의 피해를 입은 일본 코인체크 사례의 경우 3~6개월 동안 10명 미만의 해커가 투입돼 해킹을 진행한 것으로 추정되고 있다.

보안업계 관계자는 "최근 대부분의 공격자들이 돈이 모이는 곳을 노리고 있다"며 "특히 암호화폐 같이 추적이 어려운 재화는 좋은 타겟이 된다"고 말했다.

해커들은 주로 거래소 내부 시스템에 잠입해 암호화폐가 보관된 '지갑'을 훔치는 방법을 쓴다. 암호화폐 지갑은 네트워크가 연결되지 않은 '콜드월렛'(Cold wallet)과 잦은 출입금을 위해 외부와 온라인으로 연결된 '핫월렛'(Hot wallet)으로 나뉜다. 콜드월렛은 인터넷과 단절돼 상대적으로 안전하지만, 핫월렛의 경우 보안에 취약해 해커들의 표적이 되고 있다.

이런 해킹 피해를 피하기 위해 암호화폐 거래소 업계에선 유동 물량의 70%이상을 콜드월렛에 보관하도록 권고하고 있지만, 콜드월렛을 사용할 경우 입출금에 지연 현상이 발생할 수 있어 지켜지지 않는 경우가 많은 것으로 알려졌다.

가상화폐 관계자는 "빗썸 같은 상위 암호화폐 거래소가 보안 투자가 부족해 해킹 피해를 입었다고 생각하진 않는다"며 "다만 시스템 영역에서 핫월렛에 대한 침해가 계속되고 있기 때문에 우선적으로 보완이 필요한 상황"이라고 말했다.

정부의 허술한 보안 관리가 피해를 키우고 있다는 지적도 나온다. 지난 1월 과학기술정보통신부와 한국인터넷진흥원(KISA)은 매출액 100억원 이상, 일일평균 방문자 100만명 이상의 암호화폐 거래사이트에 대한 '정보보호관리체계'(ISMS)인증을 의무화했다.

이번 해킹 피해를 입은 빗썸을 비롯해 업비트, 코인원, 코빗 등 4개 업체가 ISMS 인증 의무대상으로 지정됐지만, 아직 인증을 받은 업체는 한 곳도 없다. 인증을 받지 않아도 정보통신망법상 과태료 3000만원만 내면 돼 실효성이 없다는 지적도 나온다.

한편 빗썸이 이번 해킹 사고를 파악했다는 시점으로부터 11시간이나 지난 뒤에야 원화 출금 서비스 중단이 이뤄진 데 대해서도 논란이 일고 있다.

빗썸 관계자는 "19일 오후 11시께 최초 인지한 뒤 두시간 뒤 입금을 중단시켰고, 밤사이 진행상황을 지켜보다가 20일 오전 9시 넘어 사태의 심각성을 인지하고 원화 출금까지 막은 것"이라고 설명했다.