보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
빗썸 해킹사고로 살펴보는 가상화폐의 명암
2017.09.04
11,539
서비스사업본부 보안분석팀 김미희
1. 개요
2017년 상반기를 한 단어로 정리한다면 ‘랜섬웨어 효과(Ransomware Effect)’라고 할 수 있다. “베이징에서 나비 한 마리가 날개를 퍼덕이면 뉴욕에 폭풍우가 몰아 칠 수 있다.”라는 ‘카오스이론(Chaos Theory)의 나비효과(Butterfly Effect)’처럼 랜섬웨어로 인한 피해가 개인을 넘어 기업의 존폐를 결정할 정도로 영향력이 커지면서 사회적 혼란을 야기시키고 있기 때문이다. 에레버스(Erebus) 랜섬웨어로 인한 ‘나야나 사태’, 모바일 게임서버의 랜섬웨어 감염으로 인한 서비스 종료는 ‘랜섬웨어 효과’의 대표적인 사례라고 볼 수 있다.
가상화폐는 해커들의 범죄수익 은닉수단으로 사용될 뿐만 아니라 일부 국가에서는 법정화폐로 인정되면서 호황기를 맞이하고 있다. 거래자의 익명성을 보장하고 대부분의 국가에서 법정규제대상에서 제외되는 등 ‘지하화폐’로 장점을 보이면서 ‘가상화폐 거래소’는 공격자들의 새로운 먹잇감으로 떠오르고 있다.
최근 SNS나 인터넷 커뮤니티 등에 가상화폐 거래소 접속계정이 해킹 당해 수 억원대의 금전적인 피해를 입었다는 사례들이 보고되면서 가상화폐 거래소 자체의 안전성에 대한 사용자 불신이 커지고 있다. 계정 해킹으로 인해 보이스 피싱 등 2차 피해사례들이 꾸준히 보고되고 있어 피해는 더 커질 것으로 보인다. 따라서 이번 호에서는 국내 가상화폐 거래소 중 가장 규모가 큰 ‘빗썸(bithumb)의 개인정보유출 해킹사고’를 통해서 가상화폐의 명암에 대해서 알아보고자 한다.
2. 가상화폐와 가상화폐 거래소
1) 가상화폐란 무엇인가?
‘가상화폐 거래소’인 해킹사고를 살펴보기 위해서는 먼저 ‘가상화폐’가 무엇인지 알아야 한다. ‘가상화폐’는 이머니, 전자캐시, 디지털화폐 등 전자적으로만 교환되는 돈이나 증서인 전자화폐의 한 종류를 의미한다. 2009년 나카모토 사토시가 만든 디지털 통화인 ‘비트코인’을 시작으로 대시, 이더리움, 라이트코인, 리플 등 5천종 이상의 가상화폐들이 현재에도 새로 만들어지거나 사라지고 있다.
가상화폐는 국내의 화폐단위인 ‘원’과 같이 가상화폐를 표현하는 약어를 사용한다. 예를 들어 비트코인은 BTC, 리플은 XRP라는 단위를 사용하고 있다. 가상화폐를 법정통화로 교환하거나 다른 가상화폐로 교환하는 등의 가상화폐 거래를 위해서는 일반적으로 ‘가상화폐 거래소’를 통해 거래를 하게 된다.
|
구분 |
약어 |
특징 |
|
비트코인(BitCoin) |
BTC |
- 2009년 나카모토 사토시가 만든 디지털 통화 - 블록체인(blockchain)기술 사용 |
|
이더리움(Ethereum) |
ETH |
- 2015년 7월 30일 비탈릭 부테린(Vitalik Buterin)이 개발한 디지털 통화 |
|
이더리움 클래식(Ethereum Classic) |
ETC |
- 이더리움의 하드포크(Hardfork,블록체인 분절)로 인해 탄생한 또 다른 가상화폐 |
|
리플(Ripple) |
XRP |
- 비트코인, 이더리움에 이어 세계 3위 규모의 가상화폐로, 블록체인에 기반 |
|
라이트코인(Litecoin) |
LTC |
- 2011년 매사추세츠 공과대학(MIT)를 졸업한 구글 출신 찰리 리(Charlie Lee)가 개발 - 비트코인에 비해 최대 채굴량(약 2,100만개)에 비해 4배 채굴가능 |
[표 1] 가상화폐 종류 및 특징
수많은 가상화폐 중에서도 단연 독보적인 존재는 바로 비트코인이다. 비트코인의 가치는 올해 5월의 경우 1BTC당 최고 500만원에 육박했다. 가상화폐의 시가총액과 거래량을 제공하는 코인마켓캡(www.coinmarketcap.com)에 따르면 올해 8월 1일 기준으로 비트코인은 시가총액 $47,381,667,810(약 53조), 1BTC당 가격은 $2874.82(약 320만원)로 여전히 비트코인이 가상화폐로의 가치를 증명해 보이고 있다.
[그림 1] 전세계 가상화폐 시가총액 및 거래량 순위(출처:코인마켓캡, 2017.08.01기준)
2) 가상화폐 거래소란 무엇인가?
‘가상화폐 거래소’는 가상화폐를 법정화폐나 다른 가상화폐로 교환하는 사이트로 거래 과정에서 일정금액의 수수료를 챙기는 방식으로 운영되고 있다. 국내 3대 대형 가상화폐 거래소는 빗썸, 코인원, 코빗이며 금번 개인정보 유출사고가 발생한 빗썸의 경우 국내 가상화폐 거래소 중에서 가장 높은 점유율을 보유하고 있다.
전세계 가상화폐 거래소의 거래량 정보를 제공하는 코인힐스(Coinhills)의 순위를 살펴보면 빗썸이 가상화폐 거래시장에서 상당한 영향력을 발휘하는 것을 알 수 있다. 빗썸은 비트코인 이외에도 이더리움, 라이트코인, 리플 등 총 6종의 가상화폐를 거래하고 있다.
[그림 2] 가상화폐 거래소 거래량 순위(출처:코인힐스, 2017.08.01 07:43:31 UTC기준)
지난 6월 해킹사고 이후 빗썸의 점유율이 주춤하기는 했으나 여전히 높은 거래량을 유지하고 있기 때문에 빗썸에서 유출된 개인정보를 이용한 추가 피해가 지속될 것으로 예상된다.
2013년 독일에서는 비트코인을 지급결제수단으로 인정한 데 이어 올해 일본에서도 비트코인을 공식 결제수단으로 인정하는 법규제안을 입안했다. 이처럼 가상화폐가 공식적인 결제수단으로 인정되고 높은 투자가치에 비해 기존 금융시장보다 낮은 규제, 안정장치 미흡 등으로 가상화폐 거래소와 이용자를 향한 공격이 증가되고 있다.
|
시간 |
거래소 |
국가 |
거래소 |
피해액 |
비고 |
|
2014 |
Mt.Gox |
일본 |
6만 1천명 이상 거래자의 사용자 이름,
|
850,000 |
파산 |
|
2015 |
BitStamp |
슬로베니아 |
거래소가 보유한 비트코인 가운데 12%에 달하는 비트코인 탈취 비트코인을 빼돌린 자가 블록체인에 ‘Bitstamp Hack’이라는 메시지를 난김 |
18,866 |
투자자 손실Ⅹ |
|
2016 |
Bitfinex |
홍콩 |
비트코인 도난 소식에 비트코인 가격이 20%이상 급락 |
119,756 |
피해금액을 모든 투자자에 일괄차감 (36.067%) |
|
2017 |
Yapizon |
한국 |
거래소의 Hot-Wallet(인터넷망에 연결된 코인지갑) 4개가 탈취 |
3,831 |
피해금액을 |
|
2017 |
Bithumb |
한국 |
비상임이사 PC해킹으로 고객정보 유출 |
확인중 |
거래소 해킹Ⅹ |
|
2017 |
CoinDash |
이스라엘 /중국 |
가상화폐의 새로운 자금조달방식인 신규 ICO(Initial Coni Offering)도중 공격자가 가짜 이더리움 지갑주소를 안내하여 코인 탈취 |
700만 달러 상당(ETH) |
- |
[표 2] 가상화폐 거래소 해킹사고 및 피해규모
“[표 2] 가상화폐 거래소 해킹사고 및 피해규모”와 같이 가상화폐 거래소 자체가 공격대상이 되는 경우가 증가되었을 뿐만 아니라, 2016년 6월 17일(UTC) 발생한 DAO Contract 취약점을 이용하여 약 360만개의 이더리움(당시 시세 640억 상당)을 도난 당한 DAO 해킹사태와 같이 가상화폐 거래방식 자체 취약점을 이용한 공격이 발생되면서 가상화폐의 안전성에 대한 불안이 커지고 있다.
3. 빗썸 개인정보유출 사고
가상화폐와 가상화폐 거래소의 해킹사례들에 대해서 살펴보았으니, 빗썸의 개인정보 유출사고에 대해서 자세히 알아보고자 한다. 빗썸 이용자들은 빗썸 측이 홈페이지를 통해 “빗썸 개인정보 유출 의심 사고 관련 보안 공지”를 발표하기 이전부터 개인정보 유출에 대한 논란이 있었다. 가상화폐 관련 커뮤니티에서는 거래소 계정해킹에 따른 피해로 보이는 다양한 사례들이 공유되었다.
보고된 피해사례들을 살펴보면 △ 개인정보 유출사고로 피해보상까지 완료된 고객의 계좌에서 무단으로 돈이 인출, △ 빗썸을 사칭한 스피어피싱 메일, △ 보이스 피싱을 통한 OTP정보 탈취, △ 빗썸 사이트와 동일 접속계정을 사용하고 있는 사용자들의 타 가상화폐 거래소의 불법인출 등 개인정보 유출로 인한 2차 피해사례들로 피해금액은 집계조차 되지 못하고 있는 상황이다.
빗썸 측은 개인정보 유출사실을 공개한 이후 보상금지급, 개인정보 대책센터 오픈, 로그인 시 OTP 인증 추가 등 보안강화를 위한 기능과 개인정보유출 피해자를 위한 대응방안을 제시하고 있다.
|
시간 |
내용 |
|
2017.06.29 |
-오후 10시경 비상임이사의 자택PC가 해킹을 당해 일부 회원을 대상의 프로모션을 위해 작성된
문건에 포함되어 있는 일부 개인정보 유출
-전체회원의 약 3%에 해당하는 회원의 일부 개인정보(핸드폰번호, 이메일 주소) 유출
-파악즉시 수사기관과 정보보호기관 등에 신고 및 피해가 우려되는 회원에게 전자우편으로 유출사실 공지
|
|
2017.06.30 |
-공식홈페이지를 통해 유출사실 공개(“빗썸 개인정보 유출 의심 사고 관련 보안 공지”)
|
|
2017.07.03 |
-공식홈페이지를 통해 피해액 전액보상과 보상금 100,000원 지급
|
|
2017.07.05 |
-보상금 100,000원 지급완료
|
|
2017.07.06 |
-회원정보 유출사건에 대한 대응방안의 일환으로 개인정보 대책센터 오픈
|
|
2017.07.09 |
-텍스트 공유 사이트인 ‘페스트빈(Pastebin)’에 Bithumb Member ID에 64명의 일부 개인정보(핸드폰번호, 회원ID,
이름,
이메일
주소)를
포함한 정보 업로드(https://pastebin.com/u/Simplejmb,
현재에도 관련자료 공유중)
|
|
2017.07.11 |
-보안강화의 일환으로 로그인 시 OTP
인증 추가
|
|
2017.07.13 |
-텍스트 공유 사이트인 ‘페스트빈(Pastebin)’에
빗썸
고객 개인정보를 포함한 유출자료 업로드 (https://pastebin.com/dpupVCUy, 현재는 파일 삭제됨)
-△빗썸
휴먼 회원의 잔고내역, △
직원 출퇴근내역, △
부서 업무계획 △설립 당시 주주명부, △임시
주주총회 의사록, △직원
이력서 등 24개
파일 공개
|
|
2017.07.17 |
-보안강화의 일환으로 보안비밀번호(구 결제비밀번호) 이중인증
추가
|
[표 3] 가상화폐 거래소 빗썸의 해킹사고 타임라인
하지만 해킹사고 이후 가상화폐 거래소의 일부 안일한 대응으로 인해 사용자들의 불만이 커지면서 급기야 빗썸해킹피해자모임인 “GETBACKCOIN(https://www.getbackcoin.com/)”을 통해 공동대응의 움직임을 보이고 있다. 8월 1일 기준으로 169명이 서명운동에 참여하였으며 집단소송을 신청한 사람도 135명에 달하고 있다.
[그림 3] 빗썸해킹피해자모임 “GETBACKCOIN” (2017.08.01기준)
개인정보 유출로 인한 피해자들은 홈페이지를 통해 언급하고 있듯이 빗썸 측이 개인정보유출사실은 인정하고 있으나 본인들의 문제가 개인정보 유출에 한한 것으로 피해자들이 주장하고 있는 금전적 피해와는 별개라는 입장을 보이고 있기 때문이다. 예를 들어 개인정보가 유출된 사용자들의 피해가 가상화폐 거래소의 접속계정을 동일하게 사용하는 등 개인보안의 소홀로 인해서 야기된 것이라는 입장인 것이다.
4. 안전한 가상화폐 시장을 위한 움직임
개인정보유출사고로 인해 사용자들이 법적대응을 시도하는 이유는 빗썸이라는 기업의 성격에서 문제의 원인을 찾을 수가 있다. 공정거래위원회에 등록되어 있는 빗썸(주식회사 비티씨코리아닷컴)은 업종을 살펴보면 신고만 하면 누구든지 영업이 가능한 형태인 ‘통신판매업’으로 등록되어 있다. 국내에서 가상화폐가 법정통화로 인정되지 않았기 때문에 가상화폐의 거래를 운영하는 가상화폐 거래소는 모두 이와 같이 ‘통신판매업’으로 신고 되어 운영하고 있다.
‘통신판매업자’로 분류되기 때문에 개인정보 유출사실을 인지한 후에 한국인터넷진흥원(KISA)에만 신고하고 금융감독원에서는 별다른 조사가 진행되지 않았다. 가상화폐이지만 가상화폐를 이용하여 법정화폐로 교환할 수 있는 업무를 수행함에도 불구하고 금융기관으로 분류되지 않아 사고원인에 대한 금융감독원의 조사와 제재대상에서 벗어나기 때문이다.
가상화폐와 성격은 다르지만 온라인을 통해서 스타트업이나 벤처기업들이 다수의 투자자들에게 투자금을 지원받는 ‘지분투자형 크라우드펀딩’의 경우를 살펴보면 가상화폐 시장이 얼마나 보안강화를 위한 노력이 미흡한 지 알 수 있다. ‘지분투자형 크라우드펀딩’은 2016년 1월에 ‘자본시장과 금융투자업에 관한 법률 시행령’ 개정안에 따라 크라우드펀딩 플랫폼을 제공하고 모집하여 수수료를 받는 중개업자를 ‘온라인투자중개업’자로 분류하여 금융감독원의 직접적인 감독하게 놓일 수 있게 하였다. 이로 인해 투자자들의 투자금을 보호하고 관리하기 위한 최소한의 대응이 가능해진 것이다.
하지만 이에 반해 가상화폐 시장은 ‘지분투자형 크라우드 펀딩’에 비해 시장규모가 훨씬 크지만, 시장의 확장속도에 비해 관련 법령이 제대로 마련되지 못하면서 ‘가상화폐 거래소’의 보안위협에 대한 부담을 사용자들에게 전가시키고 있는 형국이다.
물론 이러한 문제점을 보완하기 위한 움직임도 있다. 지난달 3일 국회 정무위원회 소속 더불어민주당 박용진 의원은 국내 가상화폐 시장규모 파악 및 금융당국의 법적 보호를 위한 법률 개정안을 준비 중에 있다고 한다.
박의원이 금융감독원에서 제출 받은 가상화폐 국내거래 현황’자료에 따르면 2015년 ~ 2016년 간 국내 거래소의 비트코인 거래금액이 12조 9172억 원에 달하며 이중 빗썸의 점유율이 75.7%에 달한다. 따라서 이번 사태를 계기로 법률안에서 준비하고 있는 가상화폐 시장의 거래 인가제와 양도세 부과 방안 등에 대한 활발한 논의가 필요하다.
5. 마무리
지금까지 가상화폐와 가상화폐 거래소에 대한 해킹사례 등에 대해서 살펴보았다. 가상화폐 시장은 ‘비트코인’을 필두로 식품 배달 서비스 업체, 온라인 쇼핑몰, 주택이나 자동차 구매 등 다양한 분야에서 결제수단으로 사용되고 있다. 독일과 일본 뿐만 아니라 영국, 호주, 유럽연합 등 다양한 국가에서 법정화폐로 인정하거나 합법적인 규제방안을 마련하고 보다 안전하게 사용할 수 있도록 제도적 환경을 구축하고 있다.
국내 가상화폐 시장은 투자수단으로 가치를 인정받고 있으나 안전한 가상화폐 시장을 위한 노력은 이루어 지지 않고 있다. 영국의 비트코인 저장 서비스 회사인 '일립틱 볼트(Eilliptic Vault)'의 경우 비트코인 불법출금 등 피해를 예방하기 위한 보험서비스를 시작하는 등 가상화폐의 안정성을 위한 움직임이 활발하게 이루어지고 있으나 국내에서는 ‘가상화페 거래 인가제’와 ‘양도세 부과’등 관련 법안이 논의중인 단계에 있어 시장규모에 비해서는 걸음마 단계라고 볼 수 있다.
4차산업혁명과 더불어 가상화폐 시장이 급속이 확산됨에 따라 국내에서도 빗썸의 개인정보 유출사고를 계기로 가상화폐시장에 대한 시장 확대 뿐만 아니라 안정성을 위한 노력이 필요한 것으로 보인다.
6. 참고자료
[1] 전자화폐 – 위키백과
https://ko.wikipedia.org/wiki/%EC%A0%84%EC%9E%90%ED%99%94%ED%8F%90
[2] 공정거래위원회 - 비티씨코리아닷컴
http://www.ftc.go.kr/info/bizinfo/communicationViewPopup.jsp?wrkr_no=2208871844
[3] 이더리움 - 나무위키
https://namu.wiki/w/%EC%9D%B4%EB%8D%94%EB%A6%AC%EC%9B%80
[4] GETBACKCOIN - 빗썸해킹피해자모임
https://www.getbackcoin.com/
[5] 빗썸 홈페이지 – 빗썸 개인정보 유출 의심 사고 관련 보안 공지
http://bithumb.cafe/archives/7329
