최중섭 코인원 CISO “거래소 보안에서 제일 중요한 건 코인 감별”
차세대 인터넷이라고 불리던 블록체인의 현재는 어떤 모습일까요. 혁신이라고 일컬어지던 웹3 시장은 투기장이 되어 투자자들의 곡소리만 들릴 뿐입니다. 그러나 블록체인이 기존 비즈니스의 패러다임 변혁을 주도할 핵심 기술이라는 기대는 여전히 유효합니다. 블록체인의 미래를 믿고 변화를 꿈꾸는 사람들에게 웹3의 현재와 미래에 관해 물어봤습니다. <편집자주>
[웹3의 미래를 진단한다] ① 법무법인 린 구태언 변호사
[웹3의 미래를 진단한다] ② 가상자산 데이터 플랫폼 ‘쟁글’ 운영사 크로스앵글 이현우 공동대표
[웹3의 미래를 진단한다] ③ NFT 프로젝트 쿼드해시 운영사 멋쟁이사자처럼 이지훈 CPO
[웹3의 미래를 진단한다] ④ 가상자산 거래소 코인원 최중섭 CISO
“거래소 보안에 있어서 가장 중요한 건 나쁜 코인과 좋은 코인을 감별하는 것입니다.”
최중섭 코인원 최고정보보호책임자(CISO)는 가상자산 거래소 내 보안 시스템에서 가장 중요한 건 좋은 코인과 그렇지 않은 코인을 감별하고, 검수하는 것이라고 말했다. 최 CISO는 “거래소가 아무리 좋은 보안 환경을 구축했다 하더라도, 거래소에 상장된 코인 발행사가 악의를 품고 잘못된 스마트 컨트랙트(블록체인 거래 계약)를 만드는 등의 행위를 한다면 해킹에 매우 취약해진다”며 “이런 것들을 막기 위해 코인에 대한 사전 검증과 추후 관리가 굉장히 중요하다”고 강변했다.
거래소 해킹 사고의 주원인인 ‘핫월렛’ 해킹은 대부분의 정보통신사업 내 일어나는 일상적인 것이기에 관련 시스템 마련으로 대응이 가능하다. 그런데 코인 발행사가 악의를 품고 문제를 일으켰을 경우 거래소 내 대응 시스템 만으론 한계가 있다는 것이다. 그렇기에 상장 지원 당시와 상장 후의 코인 감별과 관리가 굉장히 중요하다고 강조했다.
“탈중앙화나 블록체인이 새로운 기술이다보니, 몇몇 부분은 새로운 보안 생태계를 강구할 필요가 있죠. 예컨대, 코인은 각자 기준에 따라 스마트 컨트랙트 구조가 다 달라요. 그렇다보니 조금이라도 구조가 취약하거나 몰래 조작하는 행위가 이뤄져도 투자자나 거래소가 확인할 수 없는 부분이 있습니다. 그리고 이곳에서 해킹 사고가 많이 일어나고요.
실제로 스마트 컨트랙트 해킹 사례는 빈번하게 이뤄지고 있다. 금융보안원에 따르면 지난해 발생한 글로벌 블록체인 보안 사고 중 스마트 컨트랙트의 취약점을 공격한 사례가 가장 많은 것으로 드러났다. 이는 지난해 발생한 블록체인 사고 중 22%로, 피해금액은 99억달러(한화 12조원)에 달한다. 대부분 스마트 컨트랙트 내 서명 검증의 취약점을 이용해 해킹이 이뤄지는 형태다.
최 CISO는 “핫월렛 해킹의 경우에는 거래소의 1차적 대응으로 막을 수 있는 구조라면, 스마트 컨트랙트 해킹은 그렇지 않다”며 “악의적인 의도로 만들어진 코인 같은 경우 관련 검증이 제대로 돼 있지 않아 거래소 보안 능력과 상관 없이 해킹이 이뤄지는 경우가 많다”고 전했다.
“어느 회사나 마찬가지로, 해킹 시도는 일상적으로 감지가 됩니다. 메신저나 메일 등을 통해 피싱 링크를 게시하는 경우가 대표적이죠. 보안에서 1차적으로 제일 중요한 건 해커가 시스템에 들어오지 못하게 하는 겁니다. 그렇기에 보안에 대한 회사 내 문화나 교육이 중요합니다”
현재로서 해킹은 해커의 불법 행위로 이뤄진 것이기에 거래소는 이용자에게 피해를 변제해줄 의무가 없다. 그렇기에 현재까지 대부분의 거래소들은 해킹이 일어나 자금 탈취가 일어났을 경우 거래소 자비로 피해금을 변제해주는 게 가장 최선이었다. 실제로 지난 2019년 업비트는 580억원 상당의 이더리움을 탈취 당해 관련 피해금을 자사 자산으로 충당하기도 했다.
최 CISO에 따르면 해킹 사고는 관련 사고가 생기지 않도록 예방하는 것이 제일 중요하다. 특히 거래소의 경우 100억원 대 이상의 해킹 피해가 대부분인만큼, 보안 팀의 역할이 예방에 초점돼있다. 물론 해킹 사고가 일어났을 때 빠른 시간 내에 원인과 해결책을 찾는 것 또한 보안 팀이 가져야 하는 역량 중 하나다. 다만, 이 대응 능력은 기본적인 거고 가장 중요한 건 역시 ‘예방’이다.
한편 가상자산 투자자 보호에 대한 내용을 담은 ‘가상자산 이용자 보호법’이 최근 국회 본회의를 통과하면서 ▲해킹ㆍ전산장애 등 사고에 대비한 보험 또는 공제가입 ▲준비금 적립 의무화됨에 따른 피해보상 체계가 마련된 상황이다. 이 법은 내년 7월에 시행될 예정이다.
“거래소 업계 전반에서 보안에 대한 중요성을 느끼고 있죠. 특히 거래량이 많은 원화마켓의 경우에는 더욱이 그렇습니다. 코인원은 더 나은 보안 수준을 위해 올해 ‘제로트러스트’를 구현하기 위한 발돋움을 하려고 합니다.”
최 CISO는 제로트러스트에 대한 중요성을 강조하며 올해부터 이를 위한 본격적인 준비에 나설 것이라고 강조했다. 제로트러스트란 ‘아무것도 신뢰하지 않는다’는 사이버보안 모델로, 접근 요청 시 철저한 검증을 거치고 최소한의 신뢰만을 부여해 접근을 허용하는 방식을 일컫는다.
최근 과학기술정통부가 관련 가이드라인도 발표한 만큼, 제로트러스트는 각 기업에서 가장 중요하게 생각하는 요소 중 하나다. 지난해 미국 바이든 정부는 ‘국가 사이버 보안 개선에관한 행정 명령’을 공포하며 사이버 보안 현대화를 위해 제로트러스트를 구현하라고 명령하기도 했다.
다만, 제로트러스트는 단순 보안 체계를 구축하는 것 하나로는 어렵다. 제로트러스트 구현을 위해 사내 문화나 정책 등의 회사 운영 체계가 완전히 바뀌는 것도 고려해야 한다. 사용자 인증 강화, 기기 검증, 권한 관리, 모니터링, 중앙화 기능 등의 복합적인 요소가 함께 규정돼야 하기 때문이다.
최 CISO는 “시스템 보안 수준 확대를 위해 거래소에서도 제로트러스트 체계를 구축해야 한다”며 “해킹 공격 수준과 시도가 발전하는 만큼 투자자 보호의 중심 역할을 하는 거래소가 더욱 좋은 보안 시스템 구축을 위해 능동적으로 움직여야 한다”고 지적했다.
글.바이라인네트워크
<박지윤 기자> nuyijkrap@byline.network
[무료 웨비나] API연결만으로 가능한 빠르고 쉬운 웹3 서비스 구축
- 내용 : API 연결을 통해 웹2와 웹3를 끊김 없이 연결하는 최신 융합 기술과 이를 통한 적용 사례를 다룹니다.
- 일시 : 2024년 10월 10일 (목) 14:00 ~ 15:10