암호화폐 보안이 심각한 문제로 대두되면서 암호화폐 거래소들이 대거 참여하고 있는 한국블록체인협회에서는 자율규제안을 발표하면서 암호화폐와 거래소 보안을 강화하기 위해 노력하고 있다.

자율규제안에서는 보유한 재산의 70% 이상은 분리된 망에 구축된 콜드월렛에 저장하고, 30%는 네트워크에 연결되는 핫월렛에 저장하는 것을 권고하고 있다. 은행에 비유한다면 핫월렛은 창구 근무 직원들이 책상에 보관하면서 손님의 요구대로 입출금을 하는 현금이라 할 수 있고, 콜드월렛은 허가된 사람만이 특수한 경우에만 열고 들어갈 수 있는 안전금고라고 할 수 있다.

핫월렛이라고 해서 보호되지 않는 것은 아니다. 은행 창구에서 거래를 요청하는 고객의 신분증을 확인하고 계좌 비밀번호, 이체 비밀번호 등을 여러차례 입력하도록 하는 한편, 청원경찰이 상주하면서 이상한 행위가 일어나지 않는지 감시하는 것과 마찬가지로, 핫월렛의 키를 안전하게 보관하고, 서버 접근을 통제하며, 시나리오에 따른 이상행위를 감지하고 거래를 일시 중지하는 등의 조치를 취한다.

거래소 해킹은 APT 공격 방식을 사용하고 있으며, 개인 사용자를 대상으로 보이스피싱 등의 공격을 이용한다. 따라서 거래소에서 모니터링을 하면서 수집한 위협 정보를 공유하고, 공격에 이용되는 계좌를 추적해 이상거래를 차단하는 한편, 개인 사용자에게 이중인증 수단을 갖도록 하는 것을 권고할 수 있다.

SCI평가정보가 운영하는 암호화폐 거래소 에스코인은 핫월렛과 콜드월렛 외에 오프라인 월렛을 하나 더 두어 보유 자산을 안전하게 관리한다. 또한 에스코인은 각각의 암호화폐 블록체인 소스를 분석해 키를 모두 암호화해 보관한다. 거래소 키를 안전한 저장소에 보관하고 접근통제 정책을 적용해 해킹하기 어려운 구조로 만들었다.

노유변 에스코인 전무는 “개별 암호화폐들이 각각 다른 블록체인 소스를 사용하기 때문에 키를 암호화하는 것이 쉽지 않은 일이었다. 그러나 키 유출로 인한 피해를 막아야 거래소의 경쟁력을 높일 수 있다고 판단하고 블록체인과 암호화 기술을 연구해 키 보호 방법을 찾아냈다”며 “특히 사용자가 직접 월렛을 소유하지 않고 거래소에 보관하도록 해 더 안전하게 자산을 보호할 수 있도록 했다”고 말했다.

암호화폐 계정 키 보호가 관건

암호화폐 해킹사고의 대부분은 암호화폐 지갑 정보를 탈취해 발생한다. 암호화폐 지갑에는 암호화폐가 보관돼 있는 것이 아니라 계정에 접근할 수 있는 키가 보관돼 있다. 암호화폐 거래가 일어났을 때 이를 증명하기 위해 키로 트랜잭션을 만들고 서명한 후 브로드캐스트하면 거래 참여자들이 승인하고 블록이 공유되고 거래가 완료된다.

암호화폐는 익명성이 보장되기 때문에 키를 잃어버리거나 도난당했을 때 되찾을 방법이 없다. 트랜잭션이 투명하게 공개돼 있기 때문에 도난당한 암호화폐를 추적할 수는 있지만, 공격자들은 암호화폐를 탈취한 후 수백개의 계좌로 분산시켜 여러 차례 거래를 반복하기 때문에 추적이 어렵다.

암호화폐 사용자 키는 무단으로 탈취하기 쉽다. 키는 복잡한 문자 조합으로 이뤄져 있으며, 대부분의 경우 단말이나 앱에 저장해두고 거래가 필요할 때 호출해서 사용할 수 있다. 사회공학적 기법을 이용하면 쉽게 키를 가져갈 수 있다. 보안에 투자하지 않은 거래소는 키를 직원의 단말이나 서버에 무방비로 보관하고 있었으며, 이를 도난당해 해킹 피해를 입었다.

키 분산저장으로 계정 보호

키를 안전하게 보호하는 가장 확실한 방법은 분산저장이다. 개인이 소지한 단말이나 앱, 거래소, 클라우드 혹은 제 3의 저장소 등에 분산저장한 후, 거래가 필요하면 각각의 키를 호출해 사용할 수 있다. 하나의 키를 도난당한다 해도 다른 2개의 키가 없으면 공격자가 마음대로 거래를 할 수 없다.

이상준 지란지교시큐리티 연구소장은 “월렛 ID 하나에 쌍이 되는 개인키가 여러개 있으며, 이 키가 모두 조합돼야 트랜잭션이 완료되는 것으로 설계한다면 지금보다는 더 암호화폐 거래가가 이뤄질 수 있을 것이다. 서명을 하드닝하거나 서명값을 분산 저장하거나 복수의 키를 합쳐서 새로운 키를 만들어야 거래가 되는 등의 아이디어를 생각할 수 있다”며 “이렇게 되면 거래과정이 복잡해지고 승인 시간이 오래 걸린다는 단점이 있지만, 자산을 탈취당할 우려는 줄어들 것”이라고 말했다.

분산저장도 완벽하다고 할 수 없다. 않다. 분할된 키가 같은 저장소에 있다면 키 하나만 사용하는 것과 다르지 않다. 키를를 개인과 거래소가 분할 보관한다면 보다 안전하게 자산을 보호할 수 있으며, ‘멀티시그(Multisig)’가 그 대안으로 제안된다. 거래소와 개인 회원이 키를 분산저장하고 각각의 키를 동시에 호출해 서명해야 트랜잭션이 발생하게 된다. 해커가 개인회원 키를 탈취했다 해도 거래소에 보관된 키를 훔치지 못하면 암호화폐를 훔칠 수 없다. 거래소는 고객의 키를 안전하게 보호해야 할 의무가 생긴다.

멀티시그로 암호화폐 지갑 보호

멀티시그를 암호화폐 지갑에 적용한 사례가 등장했다. 암호화폐 보안 지갑 ‘베리드 월렛(Berith Wallet)’은 사용자와 베리드가 키를 함께 보관하는 방식을 사용하고 있으며, 키는 사용자 계정 인증, 개인키 인증, 결제전송 승인 비밀번호 등 3중 인증으로 암호화폐를 보호한다.

김택균 베리드코리아 CTO는 “베리드 월렛은 고객의 키를 고객과 베리드가 나눠갖는 방식으로, 고객이 보유한 키, 베리드의 키가 조합돼야 거래가 일어날 수 있도록 설계했다. 또한 베리드 월렛에서 직접 거래를 할 수 있도록 설계해 거래소를 이용하지 않아도 자산을 관리할 수 있도록 했다. 사용자가 거래소에 종속되지 않아 선택의 폭이 넓어지게 된다”고 말했다.

베리드는 하나멤버십, 신한판클럽, 시제이원, 엠포인트 등 금융·유통업계 대표적인 멤버십 시스템을 구축·관리하는 전문 기업인 아이비즈소프트웨어에서 런칭한 블록체인 전문 기업으로, 암호화폐 보안 지갑 ‘베리드월렛’과 ‘베리드페이’, 블록체인 서비스(BaaS) 사업을 전개한다. 베리드월렛은 4월 정식 출시했으며, 베리드페이와 BaaS도 연내 공개할 계획이다.

베리드는 자체 코인을 발행해 이를 멤버십 포인트 혹은 가상통화 성격의 결제수단으로 사용할 수 있도록 한다. 소상공인, 중소 프랜차이즈 등을 가맹점으로 모집해 베리드코인으로 포인트를 적립하고, 포인트는 가맹점 내에서 사용할 수 있도록 할 계획이다. 기존 암호화폐로도 거래할 수 있어 사용자 선택의 폭을 넓힐 수 있다.

암호화폐 금고로 개인 자산 보호

개인 사용자를 위한 암호화폐 지갑 중 가장 강력한 보안을 제공하는 솔루션은 ‘렛저’이다. 렛저는 ‘암호화폐 금고’라고 불리기도 하며, 해킹이 불가능한 전용 단말에 암호화폐 계정을 보관한다.

렛저는 각각의 단말에 복잡한 문자 조합으로 이뤄진 고유의 키를 부여하며, 해당 키를 이용해 렛저에 저장된 자신의 계좌에 접근할 수 있다. 이 키를 분실하면 계좌 접근 정보도 사라지기 때문에 키는 분실되지 않도록 잘 보관해야 한다. 거액의 암호화폐를 보관하는 사람은 은행의 금고에 보관하며, 렛저에서 키를 동판에 새겨 기념품으로 제공해주는 서비스도 제공한다.

렛저 국내 유통사인 SDF인터내셔널의 유승복 대표는 “렛저는 강력한 보안성을 제공하는 대신, 사용하기에 불편하다. 그러나 온라인에 있는 모든 자산은 해킹당할 수 있다는 사실을 감안하면, 다소의 불편함이 있다 해도 자산을 안전하게 보호할 수 있는 방법을 택하는 것이 맞다”고 말했다.

유 대표는 이어 “렛저는 올해 사용 편의성을 보강해 스마트폰에서 사용할 수 있는 신제품과 거래소 및 채굴장에서 사용할 수 있는 엔터프라이즈용 제품을 출시하고 암호화폐 보안을 한차원 강화할 것”이라고 덧붙였다.

지갑 내에서 인증·서명하는 보안 기술 선보여

암호화폐 지갑은 마이이더월렛과 같은 무료 앱을 많이 사용하지만, 보안에 취약해 해킹당할 우려가 높다. 그래서 사용 편의성이 높으면서 안전한 암호화폐 보안 지갑이 연이어 등장하고 있다.

펜타시큐리티의 ‘펜타 크립토월렛’은 키를 외부로 호출하지 않기 때문에 강력한 보안을 보장할 수 있다. 거래를 위해 네트워크에 연결한다 해도 키가 지갑 밖으로 나오지 않으며, 지갑 안에서 키를 통한 인증 절차를 독립적으로 수행한다. 가장 강력한 암호화 보안칩인 PUF를 사용해 데이터를 탈취하거나 하드웨어 복제가 불가능하도록 만들었다.

심상규 펜타시큐리티 연구소장은 “펜타 크립토월렛에는 최고의 암호·인증 기술이 집약돼 있으며, 키를 호출하지 않고 인증해 공격면을 제거하는데 노력했다”며 “일반 사용자는 물론 거래소 등에 공급사례를 만들어나가고 있다”고 말했다.

케이사인은 자회사 에스씨테크원과 지문인증 암호화폐 하드웨어 지갑 ‘터치엑스월렛(TouchxWallet)’을 출시했다. 지문인증 기능과 금융보안칩(SE)을 내장해 안정성과 보안성을 확보했고 스마트카드 형태로 돼 있어 휴대가 간편하다. 카드의 LCD 창을 통해 암호화폐를 편리하게 확인할 수 있도록 제작했다.

암호화폐를 보호하기 위해서는 거래소에 보안을 강화할 것만 요구해서는 안 되며, 개인 사용자 역시 자신의 자산을 보호하기 위해 노력해야 한다. 컴퓨터나 모바일 단말에 키를 평문으로 저장해서는 안 된다. USB나 메모리카드에 저장하면 안전하다고 생각할 수 있으나 컴퓨터에 저장하는 것이나 마찬가지다. 전용 보안 지갑을 사용하거나 USIM, HSM, TPM 등 안전한 저장소를 이용해야 한다.

이상준 지란지교시큐리티 연구소장은 “개인도 콜드월렛, 핫월렛 개념을 적용해 거래하지 않는 암호화폐는 전용 지갑에 보관하는 방법을 추천한다. 신뢰할 수 있는 복수의 거래소를 이용하는 것도 좋은 방안이 될 수 있다”고 조언했다.