이석우 두나무 대표 “암호화폐 거래소, 금융사 수준 보안 갖춰야”

“고객 신뢰를 얻기 위해 보안은 가장 중요한 요소다.”

‘업비트’를 운영하는 두나무의 이석우 대표가 13일 서울 코엑스에서 열린 ‘정보통신망 정보보호 컨퍼런스(NetSec-KR) 2018’에 기조연설자로 나와 이같이 강조했다. 그는 이날 “암호화폐 거래소에 금융사 수준의 보안 의무화가 필요하다”며 거래소들이 갖춰야 하는 보안체계로 월렛(전자지갑) 보안, 이상징후 모니터링, 망분리, 클라우드 보안, 내부보안 교육 등을 꼽았다.

돈이 몰리는 암호화폐 거래소는 사이버범죄자들의 주요 표적이다. 그럼에도 암호화폐 거래소 보안수준이 크게 미흡한 것으로 나타나면서 이용자들의 불안감이 커졌다.

암호화폐 거래소 해킹은 지속적으로 발생하고 있다. 지난 2014년 2월 일본 마운트곡스 해킹을 시작으로 올해까지도 대규모 해킹 사고로 인해 큰 규모의 금전 피해가 발생했다.

지난해 국내 암호화폐 거래소인 빗썸에서는 해킹으로 개인정보가 유출됐고, 유빗은 두 번이나 해킹을 당하면서 파산을 선언하기도 했다.

일본에서는 암호화폐 거래소 해킹으로 인한 역대 피해규모 기록을 갈아치웠다. 지난 1월 코인체크는 해킹을 당해 인터넷에 연결돼 있는 전자지갑인 핫월렛에서 5700억원 상당의 넴(NEM)이 사라졌다. 이미 대부분이 현금화된 것으로 분석돼 추적도 포기했다.

이 대표는 주요 암호화폐 거래소 해킹 사고들을 언급하면서 “암호화폐를 보관하는 월렛 보안이 매우 중요하다”고 지적했다. 공격자들이 월렛의 프라이빗 키(Private Key)를 얻어 암호화폐를 탈취하려는 수법을 빈번하게 사용하고 있기 때문이다.

그는 “월렛 보안을 위해서는 서버보안 강화는 물론 프라이빗 키 보안관리가 매우 중요하다”라면서 “가급적 핫월렛에는 소액만 넣고 대부분의 화폐와 코인은 콜드월렛에 보관해야 한다”고 말했다.

한국블록체인협회는 거래소들이 반드시 예치금의 70% 이상을 콜드월렛에 보관하도록 권고하고 있다.

이어 이 대표는 “콜드 월렛과 핫 월렛의 네트워크는 완전히 분리돼 있어야 한다”라면서 “멀티시그니처 방식을 적용하고 키도 두 개 이상으로 쪼개 보관해야 한다”고 강조했다. 다중서명을 의미하는 ‘멀티시그니처’는 2개 이상의 서명(key)을 승인해야 트랜잭션이 이뤄지는 방식이다.

이와 함께 이상금융거래, 핫월렛, 사이버공격 침해사고 모니터링의 중요성도 강조했다.

<출처 : 암호화폐 거래소에 필요한 보안체계. NetSec-KR 2018 이석우 두나무 대표 기조연설 발표자료>

보이스피싱, 의심스러운 입출금, 암호화폐 다단계 사기 등의 이상금융거래와 핫월렛 출금 현황을 상시 모니터링해 이상징후 발견시 즉시 출금을 정지할 수 있어야 금전 피해로 이어지는 일을 막을 수 있다는 설명이다.

인터넷과 업무망 분리와 함께 클라우드 보안 중요성도 강조했다. 이 대표는 “주요 암호화폐 거래소의 시스템은 클라우드 기반에서 운영 중이기 때문에 클라우드 보안이 화두로 떠오르고 있다. 물리적 인프라 환경과는 다른 이슈가 생길 수 있어 그에 맞는 다양한 보안체계가 필요하다”고 말했다.

이 대표는 “침해사고 대응체계와 보안체계를 구축하고 안정화하면서 정보보호관리체계(ISMS) 인증과 내부 보안교육을 지속적으로 실시하는 시스템을 구축한다면 고객들이 안심하고 서비스를 이용할 수 있을 것으로 본다”라며 이같은 체계를 운영하면서 보안수준을 강화하기 위해 노력하고 있다고 했다.

이 자리에서 이 대표는 거래소들 간 위협정보 공유 필요성도 거론했다. 이 대표는 “한국인터넷진흥원(KISA)을 통해 위협정보 공유 활성화가 이뤄졌으면 한다”라며 “거래소마다 자체적으로 모니터링을 수행하고 있는데, 범죄에 이용되는 주소나 지갑 정보 등이 공유된다면 피해자를 줄이고 범죄를 예방하는데 도움이 될 수 있을 것”이라고 의견을 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

첫 댓글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다