[AI 시대 경고음]②천정부지 비트코인의 이면…해킹 피해만 올해 3조

가상자산 시장 활황일수록 해킹피해 늘어
사업자·이용자 노린 피싱 공격 주의해야
7월부터 가상자산법 시행 중…이용자 보호

비트코인 등 가상자산 가격이 오르면 이와 비슷한 추세로 가상자산을 탈취하려는 사이버 공격도 늘어난다. 최근 비트코인은 역대 최고가를 찍었는데, 올해 1~3분기 글로벌 가상자산 피해액은 3조원으로 이미 지난해 전체 피해액을 넘어선 것으로 나타났다.

18일 사이버 보안 업체 사이버스(Cyvers)에 따르면 올해 1~3분기 가상자산 해킹 피해 액수는 21억달러(약 3조166억원)에 이른다. 지난해 같은 기간과 비교하면 72% 급증했다.

올해 피해액이 가장 큰 사건은 일본의 가상자산 거래소 DMM 비트코인에서 3억500만달러(약 4380억원)가 넘는 비트코인이 탈취된 사례다. DMM 비트코인은 이 사건을 극복하지 못하고 결국 폐업을 결정했다.

국내에서도 가상자산 관련 대형피해 사건이 등장하고 있다. 올 상반기 블록체인 브리지 서비스 개발업체가 1055억원의 도난피해를 입었으며 블록체인 기반 엔터테인먼트 대체불가토큰(NFT) 업체에서 800억원, 블록체인 기반 노래방 애플리케이션(앱) 개발업체에서 180억원이 탈취됐다.

이 가운데서도 블록체인 브리지 서비스 사례가 주목할 만하다. 브리지는 서로 다른 플랫폼 간 가상자산 이동을 돕는 일종의 환전소인데, 해킹의 표적이 되고 있다. 브리지는 시스템이 복잡한 만큼 보안 취약점이 다양하고, 환전이 많은 가상자산은 유동성을 풍부하게 유지해야 하기 때문에 해커의 먹잇감이 되기 쉽다. 블록체인 보안 업체 체이널리시스 보고서에 따르면 2022년 전체 가상자산 피해의 69%가 브리지에서 일어났다. 브리지 코드에 버그를 삽입하거나 암호화 키를 사용하는 등의 방식으로 자산을 탈취했다.

해커들은 또 가상자산 거래소 담당자가 보낸 것으로 위장한 피싱 메일을 통해 악성코드를 유포하고 악성코드 감염을 통해 계좌와 비밀번호 역할을 하는 가상자산 지갑과 개인키를 탐색해 가상자산을 탈취하는 수법을 사용했다.

한국인터넷진흥원 관계자는 "국내 가상화폐와 원화 간 거래를 지원하는 대형 거래소의 경우 2021년 이후 해킹을 통한 유출은 발생하지 않았다"며 "사고 이후 거래소들이 보안 강화에 투자한 결과"라고 평가했다. 다만 "블록체인 브리지 등 대량의 가상자산거래 서비스 사업자는 전 세계 해커의 공격 대상이 될 수 있어 보안에 유의해야 한다"고 당부했다.

비트코인이 트럼프 미 대통령 당선인의 전략적 비축 기금 추진 발언에 힘입어 장중 10만7800달러를 기록하며 하루 만에 사상 최고가를 경신한 17일 서울 강남구 업비트 고객센터 전광판에 비트코인 시세가 표시돼 있다. 강진형 기자

하지만 가상자산 탈취는 앞으로 더욱 늘어날 것이라는 전망이 나온다. 도널드 트럼프 미국 대통령 당선인의 ‘친(親) 가상자산’ 정책 추진 움직임에 비트코인 가격은 1억5000만원을 넘어서는 등 사상 최고치를 경신했다. 가상자산이 활황일수록 개인 이용자를 겨냥한 공격은 심화된다. 보안 전문업체 ‘지란지교시큐리티’에 따르면 복제된 가짜 거래소를 통해 사용자의 아이디와 비밀번호를 탈취하는 피싱 공격도 있다. 해외 유명 가상자산 거래소의 명칭이나 링크, 로고 등을 교묘하게 활용하는 수법이다.

가상자산 거래소 업비트 측은 "국내법상 신고된 가상자산 거래소 목록은 금융정보분석원 홈페이지에서 확인 가능하다"며 "신고되지 않은 거래소는 불법 영업뿐만 아니라 가짜 거래소일 확률이 높다"고 설명했다. 정보보호관리체계(ISMS) 인증 획득 등 요건을 충족한 가상자산 사업자는 지난달 기준으로 총 40곳이다. 블록체인 지갑 기술기업 ‘헥슬란트’ 관계자는 "단일 키에 의존하지 않고 2개 이상의 키를 사용하는 멀티시그 기술을 통해 보안을 강화하고 있다"며 "최근에는 상대적으로 보안이 취약하거나 자산이 몰릴 수 있는 곳에 해커들의 공격이 집중되는 양상"이라고 전했다.

업계에선 지난 7월 가상자산 이용자 보호법(가상자산법)이 시행된 만큼 방어체계를 제도적으로 갖췄다는 평가를 내놓는다. 가상자산의 불공정 거래 행위와 임의적 입출금을 금지하고 정부가 사업자 감독 및 이상 거래를 감시하는 내용이다. 또 해킹·전산장애 등 사고에 대비한 보험·공제가입 또는 준비금을 적립할 의무를 사업자에 부과하고 있다.

정부와 업계는 ‘디지털자산보호재단’을 설립하기로 하고 영업을 종료한 가상자산 사업자로부터 예치금, 가상자산 등 이용자 자산을 이전하는 업무에 착수했다. 금융감독원 관계자는 "이용자 데이터베이스가 훼손·분실되거나 허위 작성된 경우를 제외하면 기존 자산을 100% 이전하는 것을 목표로 하고 있다"며 "가상자산법을 통해 이용자들이 안심하고 거래할 수 있도록 제도적 기반을 마련했고, 해킹·불공정 거래 등에 대비한 이용자 보호 조치를 강화했다"고 설명했다.

김보경 기자 bkly477@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>