[가상화폐의 두얼굴]①자꾸 뚫리는 가상화폐, 취약한 안정성 논란

가상화폐 자체는 보안성높지만 가상화폐 거래소는 해킹에 취약점 드러내

국내 최대 가상화폐 거래소인 빗썸(bithumb)이 최근 해커의 공격을 받아 검찰이 수사에 나섰다.

가상화폐는 실물 없이 사이버상으로만 거래되는 전자화폐의 일종이다. 비트코인과 이더리움 등이 대표적이다.

가상화폐는 생산비용과 거래비용, 보관비용 등 관리비용이 적고 도난과 분실의 우려가 없다는 장점이 있어 크게 인기다. 그러나 최근에는 가상화폐 거래소 자체가 해커의 공격을 받는 사례가 여러차례 발생하면서 관리의 취약점을 드러내고 있다.

23일 관련 업계에 따르면 서울중앙지검은 지난 6월 발생한 빗썸의 개인정보 유출에 악성코드 메일이 활용된 것으로 보고 수사를 진행 중이다.

이번 해킹으로 인해 고객 3만여명의 이메일과 휴대전화 번호 등 개인 정보가 유출됐다. 빼돌린 정보 중에는 약 500억원의 계좌 자료도 포함된 것으로 전해진다.

검찰은 해커들이 빗썸의 수시 직원 채용 방식을 이용한 것으로 보고 있다. 입사지원서를 제출하는 이메일에 악성코드를 숨겨 직원의 개인용 컴퓨터를 해킹했다는 것이다.

빗썸은 최근 가상화폐 거래량이 늘면서 직원 채용을 늘렸다. 해커들은 입사지원서를 이메일로 내면서 그 파일에 악성 바이러스 코드를 숨겼다. 파일을 열어본 회사 인사담당자의 PC에서 고객의 개인정보를 빼돌리고 랜섬웨어를 심은 것으로 추정된다.

랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤, 이를 인질로 금전을 요구하는 악성 프로그램이다.

해커들은 빗썸 측에 '10억원을 주지 않으면 고객들의 가상화폐를 전부 내다 팔거나 없애겠다'는 내용이 담긴 협박 문자메시지를 보냈다고 한다. 빗썸은 이에 검찰에 수사를 의뢰했고 서울중앙지검 첨단범죄수사1부에서 이를 수사 중이다.

검찰은 해커들이 불법적으로 확보한 개인정보를 활용해 보이스피싱을 시도했는지도 수사하는 것으로 알려졌다.

빗썸 측은 출금 과정에서 1회용 비밀번호 발생기(OTP)나 문자메시지(SMS) 인증번호 확인 등을 거치기 때문에 운영자를 사칭한 보이스피싱 등으로 회원 개인에게 정보를 받아내지 못하면 출금이 불가능하다고 주장한다.

◆가상화폐 자체는 안정성 높지만 거래소는 취약해

가상화폐는 도난이나 분실 우려가 없고 거래의 비밀성이 보장돼 화폐 자체로서의 안정성은 꽤나 높은 편이다. 그러나 가상화폐를 관리하는 거래소의 안정성은 장담할 수 없다. 그동안 해커들은 여러차례 가상화폐 관리업체를 공격해왔다.

대표적인 사례가 일본의 마운틴곡스(Mt. Gox) 해킹 사건이다. 마운틴곡스는 한때 세계 최대의 비트코인 거래소였다. 그러나 2014년 해킹을 당하면서 5억달러(약 5600억원) 상당의 비트코인이 증발했다.

이후 마운틴곡스는 결국 파산을 선고하게 된다. 당시 비트코인 가격은 급락했고 현재까지도 관리의 취약성에 대한 가장 큰 사례로 남아있다.

홍콩의 비트코인 거래소인 비트피닉스(Bitfinex)도 지난해 해킹을 당해 6500만달러(약 725억원) 상당의 비트코인을 도난당한 바 있다.

국내에서는 빗썸 외에도 다른 거래소가 해킹 당한 사례가 있다. 지난 4월 국내 비트코인 거래소 중 하나인 야피존이 해커 공격으로 가상화폐를 보관하는 비트코인지갑이 유출돼 55억원의 피해를 입었다고 신고했다.

또 다른 문제는 이들 거래소가 해킹이나 자체 횡령으로 인해 손실을 보거나 파산을 하면 이에 대한 손실을 투자자들이 고스란히 지게 된다는 점이다.

가상화폐를 공식적인 화폐로 인정하지 않는 나라가 많고 화폐 거래소에 대한 정부차원의 안전장치도 부족하기 때문에 투자자들을 보호할 수 있는 방안이 거의 없는 것으로 알려졌다. 이에 따라 가상화폐 투자가 현재까지는 투기적인 면이 크다는 평가를 받고 있다.

아시아경제 티잼 이창환 기자 goldfish@asiae.co.kr