코인레일 해킹 '쇼크'에 가상화폐 시장 출렁
"중앙집중 거래소, 블록체인 개념과 안맞아"
문제 풀 키워드는 '분산, 속도, 보안, 제도화'

사진=게티이미지뱅크

가상화폐(암호화폐) 시장이 ‘해킹 쇼크’에 휘청거렸다. 암호화폐 거래소 코인레일이 지난 10일 해킹 공격을 받아 보유 암호화폐가 유출됐다. 400억원 규모 해킹 피해를 입어 비트코인·이더리움·리플 등 코인 가격 급락으로 이어졌다.

블록체인은 분산과 탈(脫)중앙화로 보안에 강점을 지녀 각광 받고 있다. 해킹이 특히 암호화폐에 치명적일 수밖에 없는 이유다. 기술적으로 완벽하다고 알려진 블록체인 기술 기반의 암호화폐는 왜 해킹에 취약점을 노출했을까.

11일 관련 업계와 학계 의견을 종합하면, 이번 해킹은 블록체인 자체의 결함이라기보다는 암호화폐 거래를 중개하는 거래소의 보안 문제가 핵심이다.

암호화폐의 기본 개념은 ‘분산 원장’이다. 원장은 거래 내역을 담은 장부를 가리키는 회계학 용어. 비트코인 개발자 사토시 나카모토는 기존 거래에서 중앙의 은행이 관리하던 원장 구조를 바꿔버렸다. 모든 참여자가 원장을 관리·생성하는 주체가 되어 원장 전체의 원본을 가질 수 있도록 했다. 이처럼 제3자 없이도 부정을 방지할 수 있는 시스템이 비트코인을 만들어냈다.

각각의 블록을 생성해 이어(블록체인) 탈중앙화가 가능해진 셈이다. 여기에 토대한 암호화폐는 공격의 타깃이 되는 중앙집중형 대상이 사라진 데다 데이터 위·변조가 불가능하다는 점에서 해킹 우려가 없다는 인식이 자리 잡았다.

그러나 정작 암호화폐 거래소는 중앙화 시스템을 택했다. 블록체인의 강점인 분산과 탈중앙화가 구현되지 못하고 있다는 얘기다. 블록체인의 성격과 정반대인 중앙집중형 암호화폐 거래소를 운영하는 것은 현실적 이유 때문이다.

우선 속도다. P2P(개인간 거래) 방식의 속성상 개인 블록체인 지갑끼리 직접 전송하는 데는 상당한 시간이 걸린다. 짧은 시간에 가격이 큰 폭으로 오르내리는 암호화폐의 특징을 감안하면 더욱 문제가 된다. 거래소는 실제로 암호화폐를 이동시키지 않는 식으로 돌파구를 찾았다. 암호화폐는 거래소 지갑에 두고 매매 기록만 서버에 남겨 빠른 거래가 가능하다.

개인이 하기 어렵거나 불편한 기능도 거래소에서 맡았다. 암호화폐 지갑에 접근할 수 있는 ‘프라이빗 키’를 관리하는 게 대표적이다. 거래소 지갑을 이용하면 개인 투자자가 암호키를 분실해도 복구할 수 있다.

사진=게티이미지뱅크

물론 거래소는 해킹을 차단하기 위해 네트워크에서 분리된 ‘콜드 월렛’과 네트워크에 연결된 ‘핫 월렛’의 두 가지 지갑을 사용하고 있다. 이번 해킹은 핫 월렛이 해킹 당해 보관 중인 투자자들의 프라이빗 키가 유출된 것으로 볼 수 있다. 한국블록체인협회는 자율 규제안에서 거래소 보유 암호화폐의 70% 이상을 콜드 월렛에 보관할 것을 권고했다. 코인레일이 “전체 보유 코인의 70%를 콜드 월렛으로 이동해 보관 중”이라고 밝힌 것은 이런 상황이 반영된 것이다.

거래소 보안 문제를 해결하려면 크게 두 가지 방법이 있다. 탈중앙화 거래소로 변화하거나, 현행 거래소 형태를 유지하되 보안 수준을 끌어올리는 것이다.

박성준 동국대 블록체인연구센터장은 “블록체인은 해킹을 막는 데 초점을 둔 기술은 아니다. 해킹은 암호화폐 지갑 등 기술을 발전시켜 풀어가야 한다”고 짚었다. 블록체인의 본질에 주목하는 관점이다. 탈중앙화 해법이 보다 강조된다. 해커가 코인레일에서 빼낸 암호화폐의 매각을 시도한 ‘이더델타’, ‘IDEX’ 등이 바로 탈중앙화 거래소다. 블록체인의 기본 성격과도 맞다.

단 탈중앙화 거래소는 앞서 언급한 것처럼 속도가 느리다는 문제를 안고 있다. 탈중앙화 거래소의 불편한 사용자 인터페이스(UI)도 단점으로 지적된다.

때문에 중앙화 거래소 형태를 유지하되 보안을 강화하는 방안이 좀 더 설득력을 얻는다. 인호 고려대 블록체인연구소장은 “아무래도 암호화폐 거래소의 보안 수준은 은행보다는 떨어진다. 은행 수준에 준하는 거래소의 보안 인증제를 도입하는 등 보완책이 필요하다”고 말했다.

블록체인의 ‘멀티 시그니처’ 기술도 한 대안으로 거론된다. 프라이빗 키를 개인이나 거래소가 관리하는 게 아니라 예컨대 은행과 거래소, 개인이 나눠 갖는 것이다. 해킹을 당하는 등 이상 징후가 발견될 경우 출금에 동의하지 않는 방식으로 안전성을 높일 수 있다.

인 소장은 “멀티 시그니처 기술의 경우 기술적 교육 등 불편을 감수해야 한다. 고액의 암호화폐부터 단계적 도입을 검토해볼 만하다”면서 “근본적으로는 각 거래소에 맡겨놓기보다 정부가 나서 제도화를 통해 개인을 보호하는 방향이 바람직하다”고 주문했다.

김봉구/오세성 한경닷컴 기자 kbk9@hankyung.com
기사제보 및 보도자료 open@hankyung.com

ⓒ 한경닷컴, 무단전재 및 재배포 금지