업비트 공지 오해 가능성에…솔라나코리아 “트랜잭션 분석으로 키 유출 불가”

“트랜잭션을 분석해 개인키를 유출할 수 있다는 주장은 성립하지 않습니다. 그렇다면 이더스캔 등 블록체인 탐색기를 통해 모든 지갑의 개인키가 노출될 수 있다는 얘기인데, 이는 블록체인 기술의 전제를 부정하는 것입니다. 트랜잭션 분석만으로 특정 패턴의 키를 도출하는 것은 불가능하며, 그런 구조라면 블록체인을 사용할 이유가 없습니다.”

이성산 솔라나코리아 대표는 지난 5일 서울 여의도 국회에서 열린 ‘스테이블코인 시대 리더십 확보를 위한 정책 세미나’에서 기자와 만나 업비트의 ‘지갑 트랜잭션 분석으로 개인키를 추정할 수 있다’는 주장에 대해 이같이 밝혔다. 이는 업비트 공지가 마치 솔라나 프로토콜(기본 설계 구조) 자체에 구조적 결함이 있는 것처럼 해석될 수 있다는 우려를 설명하려는 취지로 풀이된다.

가상자산거래소 업비트는 지난달 27일 오전 솔라나 계열 지갑에서 이상 출금을 탐지한 직후 관련 네트워크와 지갑 시스템에 대한 전면적인 점검을 진행했다. 이 과정에서 블록체인에 공개된 다수의 업비트 지갑 트랜잭션을 분석해 개인키(블록체인 지갑 주소와 자산에 접근할 수 있는 일종의 비밀번호)를 추정할 수 있는 ‘당사의 보안 취약점’을 발견했다고 공지했다.

문제는 업비트의 설명 방식이 기술적 맥락을 충분히 제시하지 않으면서, 자칫 솔라나 프로토콜에 문제가 있는 것처럼 비칠 여지가 있었다는 점이다. 실제로 발견된 취약점은 솔라나 네트워크가 아니라 업비트 내부 지갑 구현 및 관리 과정에서 발생한 문제임에도, 외부에서는 솔라나 전체가 구조적으로 취약한 것처럼 오해할 수 있다는 지적이 제기된다.

김서룡 법무법인 미션 변호사는 “블록체인의 서명 알고리즘은 개인키로 서명을 생성할 수는 있어도, 공개된 서명이나 트랜잭션만으로 개인키를 역추적하는 것은 원천적으로 불가능하도록 설계돼 있다”고 밝혔다.

이어 “다만 서명에 사용되는 난수 값 ‘논스(Nonce)’가 충분히 랜덤하게 생성되지 않아 패턴이 드러나면 개인키가 유출될 수 있고, 이는 블록체인 프로토콜 자체의 중대한 결함으로 이어진다”고 설명했다. 그는 “이 같은 구조적 특성 때문에 업비트의 설명이 자칫 솔라나 프로토콜의 보안 결함으로 읽힐 소지가 있다”고 지적했다.

한편 정치권에서도 솔라나 네트워크의 구조적 문제 가능성을 함께 살펴봐야 한다는 발언이 나왔다. 강민국 국민의힘 의원은 “(유출 대상이 된) 솔라나 플랫폼 자체의 구조적 문제인지, 업비트 결제 계정 방식 문제인지에 대한 조사도 확실하게 있어야 한다”고 밝혔다.

앞서 업비트는 솔라나 네트워크 계열 자산에서 비정상 출금이 발생해 긴급 점검에 들어갔다고 발표했다. 솔라나 네트워크 기반 자산 일부가 내부에서 지정하지 않은 외부 지갑(알 수 없는 외부 지갑)으로 전송된 정황이 포착됐다는 것이다. 대상 자산은 더블제로(2Z), 액세스프로토콜(ACS), 봉크(BONK) 등 총 20여종이다. 업비트는 현재 관련 법령에 따라 관계 기관에 사이버 침해 사고를 신고하고, 유출 원인과 규모 등을 조사하고 있다.