금융보안원, 디지털자산 보안 분야 정기간행물 ‘딥체인’ 창간
금융보안원은 디지털자산 보안 위협을 분석하는 정기간행물 ‘딥체인(DeepChain) : 디지털자산 인텔리전스’를 창간했다고 6일 밝혔다. 금융보안원은 국내 금융권에서 디지털자산 보안 위협을 전문적으로 다루는 첫 정기간행물이라고 설명했다.
제1호 주제는 ‘크로스체인 보안 위협 분석(Cross-Chain Breaking Point)’이다. 크로스체인은 서로 다른 블록체인 사이에서 자산과 데이터를 이동할 수 있도록 연결하는 기술이다.
크로스체인 사업자는 이용자의 디지털자산을 예치한 뒤 다른 블록체인에서 사용할 새로운 자산을 발행한다. 자산과 발행 권한이 집중돼 해커의 공격 대상이 될 수 있다.
금융권에서도 스테이블코인을 이용한 토큰증권(STO) 결제와 블록체인 간 자산 이전을 추진하려면 크로스체인 사업자와 협력이 필요하다. 금융보안원은 일부 사업자가 금융회사 수준의 보안·내부통제 체계를 갖추지 못해 사고 위험이 있다고 분석했다.
보고서는 주요 사고 사례로 로닌(Ronin)과 오르빗(Orbit), 켈프다오(KelpDAO)를 제시했다. 피해액은 각각 약 9472억원과 1245억원, 4432억원으로 집계했다.
로닌 사고에서는 출금을 승인하는 검증자 서명키 9개 가운데 5개가 탈취됐다. 오르빗 사고에서는 다중서명에 필요한 권한 7개가 공격자에게 넘어갔다. 다중서명은 여러 관리자가 일정 수 이상 동의해야 거래를 승인하는 방식이다.
켈프다오 사고는 서명키가 아닌 검증 기반시설이 침해된 사례다. 공격자는 디지털자산 발행 요청을 확인하는 시스템을 장악해 가상자산을 무단으로 발행했다.
보고서는 크로스체인 보안 요소를 스마트계약과 키 관리, 검증자 집합, 외부 데이터, 거버넌스로 구분했다. 각 영역에서 발생할 수 있는 공격 경로와 국가 배후 해킹 조직의 침투·자금세탁 기법도 분석했다.
공격자는 출금이나 발행 권한을 가진 엔지니어를 주요 표적으로 삼았다. 채용 플랫폼과 소셜미디어에서 접근한 뒤 채용 문서로 위장한 악성 파일을 보내 업무용 단말기를 감염시키는 방식이다.
금융보안원은 금융회사가 크로스체인 사업자를 선정할 때 검증자 구성과 서명 승인 기준을 확인해야 한다고 권고했다. 출금이나 자산 발행 때 과반수 이상의 동의를 받도록 설계했는지도 점검해야 한다.
박상원 금융보안원장은 “디지털자산 보안 사고는 고객의 직접적인 자산 피해로 이어질 수 있고 생태계 전반의 신뢰를 떨어뜨릴 수 있다”며 “디지털자산 업무의 기획과 개발, 운영 전 단계에 보안을 내재화해야 한다”고 말했다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network
[무료 웨비나] IdentityTV 2026: 아이덴티티 보안의 미래를 지금 확인하세요.
일시 : 2026년 7월 9일 (목) 14:00 ~ 15:40



