보안에서는 ‘창을 이기는 방패는 없다’는 말이 정설로 굳어졌다. 보안 담당자는 기존에 알려진 기법으로 보안을 구축하지만, 공격자는 알려지지 않았거나 방치된 취약점을 찾아낸다. 거래소는 기본적인 보안 솔루션 구축에 그쳐서는 안 되며, 사이버 보안 리스크를 낮출 수 있는 방법을 마련해야 한다.
노유변 에스코인 전무는 “집요하게 진행되는 공격을 막기 위해 거래소는 물리적 방어 조치를 취하고, 침입한다 해도 암호화폐를 가져갈 수 없도록 만들며, 탈취에 성공했다 해도 사용할 수 없게 만들어야 한다. 또한 내부적으로 보안정책이 잘 실행되고 관리되는지 모니터링 해야 한다”고 설명했다.
암호화폐 공격자는 보안에서 가장 취약한 ‘계정’을 노린다. 따라서 다중인증을 사용한 비대면 인증 시스템, OTP, 내부자 계정관리 등이 반드시 필요하다. 단순한 접근통제 정책만으로는 보안홀이 생길 수 있다. 따라서 전체 시스템에 대한 빈틈없는 통제 정책이 필요하다.
강희승 닷네임코리아 대표는 간과하기 쉬운 접근제어 설정 오류를 설명했다. 게이트웨이를 거쳐서 특정 IP로만 접근 제어가 가능하도록 하면 관리가 용이하지만 해당 게이트웨이 접근 가능한 PC나 게이트웨이가 해킹을 당하면 모든 시스템에 접근할 수 있다. 따라서 개별 서버와 자원 권한에 대해 차등적인 관리 권한과 화이트 IP 인증, OTP인증, MAC인증, SMS 인증을 복합적으로 적용해야 한다. 예상이 가능한 APT 공격으로 PC가 원격조정을 당하더라도 범죄가 성사되지 못하도록 인증 절차를 강화해야 한다.
암호화폐 지갑 보안 대책 마련해야
암호화폐 탈취 사고 사례는 대부분 이용자와 거래소 서버에서 지갑을 훔치는 것이다. 이용자가 거래소 모두 계정보안, 접근관리에 대한 인식이 미흡해 계정정보를 훔치는 것이 어렵지 않다.
암호화폐 지갑은 외부 연결이 완전히 차단되는 ‘콜드월렛(Cold wallet)’과 잦은 출입금을 위해 외부와 연결되는 ‘핫월렛(Hot wallet)’으로 구성된다. 거래소는 이용 편의를 위해 암호화폐의 약 17%를 핫월렛에 보관하고 있으며, 핫월렛은 보안에 매우 취약하다. 스피어피싱 등을 이용해 직원 PC를 감염시킨 후 내부 시스템으로 잠입해 핫월렛을 탈취할 수 있다. 핫월렛이 탈취된 즉시 알게 된다면 거래를 중지시킬 수 있지만, 공격자가 다른 여러 거래소와 다른 계좌로 보내거나 현금화 하면 찾을 수 없다.
콜드월렛은 망분리로 인터넷과 단절시켰기 때문에 상대적으로 안전하다고 할 수 있으며, 거래소 임원, 또는 제 3의 보증기관이 프라이빗 키를 나눠가져 거래소가 보유한 암호화폐를 안전하게 관리한다. 그러나 키관리가 제대로 되지 않으면 서버 전체가 위험에 처할 수 있다.
출입금 시 고객 인증도 고려해야 한다. 출입금을 자동화하면 운영 편의성이 높아지지만 해킹으로 탈취한 암호화폐를 현금화 하는 것을 막을 수 없다. 따라서 별도의 본인인증 절차를 통해 출입금을 통제하는 방안도 마련돼야 한다.
싱가포르의 암호화폐 보안 전문기업 웁살라는 암호화폐 지갑을 안전하게 보호할 수 있는 기술을 개발하고 1월 정식 출시한다. 웁살라는 다크트레이스, 펜타시큐리티 등 국내외 보안기업 출신의 보안 전문가들이 모여 설립한 스타트업으로, 암호화폐 보안 전용 지갑 ‘에스월렛(S-Wallet)’과 블록체인 위협 평판 데이터베이스(TRDB), 머신러닝 기반 이상징후 탐지 기술, 블록체인 분산노드 컴퓨팅 파워를 활용한 멀웨어 탐지 인프라 ‘디샌드박스(D-Sandbox)’를 공급한다.
블록체인 기술로 보안 생태계 확장
TRDB는 블록체인과 참여자의 상호검증을 통해 축적된다. 전 세계 TRDB 사용자들이 해킹 지갑 주소, 악성 URI, 피싱 주소, 악성 IP주소, 멀웨어 해시값 등을 공유하며, DDoS 공격·위변조 시도, 확인되지 않은 정보 입력 차단 등의 보안 기술을 제공한다.
에스월렛은 TRDB에 수집된 위협정보와 비지도학습 기반 머신러닝을 이용해 암호화폐 자산 해킹을 방어한다. 암호화폐 지갑 전문기업 코인매니저와 협력해 고객에게 무료로 배포하며, 마이이더월렛, 메타마스크 등 해외 다수의 암호화폐 지갑서비스와 통합을 논의하고 있다.
디샌드박스는 블록체인 네트워크에 참여하는 사람들이 보안에 기여할 수 있도록 장을 열어주는 것이다. 암호화폐 채굴에 이용되는 컴퓨팅 파워는 실제로 생산적인 일을 하지 않고 전력을 낭비한다는 비판이 있다. 디샌드박스는 이 리소스를 멀웨어 탐지에 시용할 수 있도록 샌드박스 구동을 위해 사용한다.
웁살라의 ‘센티넬(Sentinel)’ 네트워크에 참여하는 노드가 각자 컴퓨팅 파워를 멀웨어 분석 샌드박스에 활용해 보안 생태계를 발전시킬 수 있다. 또한 암호화폐 직불카드 회사와 협력해 도난당한 암호화폐가 사용될 수 없도록 할 계획이다.
존 커크 웁살라 전무는 “비트코인은 블록체인과 집단지성을 활용해 새로운 가치를 창출한다는 철학을 갖고 시작됐으나 적절한 보상체계, 전문가 합의 알고리즘(Deligated Proof of Stake) 등이 미비해 실제 적용에 어려움이 있다”며 “그러나 블록체인은 전 세계 보안 벤더와 보안 전문가들이 참여해 보다 안전한 보안 생태계 구축을 할 수 있는 바탕이 될 수 있다. 웁살라는 증명된 블록체인 기술의 집단 지성 활용분야를 사이버 보안 영역에 적용하고 있다”고 설명했다.
존 커크 전무는 “한국은 전 세계적으로 주목할 만한 암호화폐 시장을 갖고 있으며, 매우 빠른 속도로 성장하고 있다. 그만큼 보안사고도 자주 일어나고 있다. 웁살라는 한국 시장의 가장 큰 블록체인 캐피탈인 해쉬드와 함께 한국 개인 고객과 기업고객을 대상으로 기술을 소개하겠다”며 “더불어 KISA, 안랩, SK인포섹 등 기존의 보안 전문기관과의 협력관계도 지속적으로 구축할 것”이라고 덧붙였다.
