얼마 전 우리 회사에서 암호화폐 지갑을 만들고 있는 소식을 전해드렸었는데요, https://steemit.com/kr/@frankinsoo/2bmvah 많은 분이 관심과 응원을 보내주셔서 힘이 납니다. 참 고맙습니다. 그리고 암호화폐 지갑을 더욱 쉽게 설명해 드리려고 얼마 전 매경TV 증시 직언 직설 코너에 출연했었습니다. 이 포스팅은 그 내용을 바탕으로 정리한 것인데요, 방송에서 풀기 힘든 내용을 조금 보탰습니다. 사진은 프로그램을 진행한 매경TV 앵커인 김정연 님과 함께 찍은 것입니다. 생방송 들어가기 전에 카메라 감독님이 찍어줬답니다.
질문 1.
가상화폐 거래가 어느 정도 안정을 찾아가고 있지만, 아직도 거래소의 보안에 대해 마음 놓지 못하는 투자자도 있는 것 같다. 작년과 올해 초 있었던 거래소 해킹에 대한 걱정도 여전하다. 현재 가상화폐 거래소의 보안 수준은 어떤가?
답변 1.
최근 일본의 가상화폐 거래소 해킹은 진정 국면인 것 같다. 거래소에서 훔쳐낸 NEM이라는 가상화폐도 NEM 측의 신속한 대응이 있었지만 피해 보상에 대한 거래소의 명확한 답은 아직 찾아보지 못했다. 국내 거래소도 수차례의 해킹 피해가 있다. 그러나 많은 경우 피해는 고스란히 개인 투자자에게 전가되었다. 매우 안타까운 일이다. 작년 한국인터넷진흥원(KISA)이 가상화폐 거래소에 대한 보안 취약점을 점검했지만, 국내 주요 10개 가상화폐 거래소 중 보안 점검 기준을 통과한 업체는 한 곳도 없었다. 심각한 수준이다. 빠르게 개선돼야 한다.
주요 거래소들인 업비트, 빗썸, 코인원, 코빗 등 4곳은 올해부터 정보보호관리체계(ISMS) 인증 의무대상자로 지정이 된 것으로 알고 있다. 이 인증은 대체로 매출액이 100억 원 이상이거나 하루 평균 이용자 수가 100만 명 이상인 업체에 해당한다. 인증을 받는 효과는 해당 업체의 전체적인 보안 관리체계가 표준이상으로 올라가는 것이다. 그리고 중소규모 거래소들은 자율인증을 유도한다고 한다. 자율인증인 개인정보관리체계(PIMS) 인증과 개인정보보호 인증마크(ePRIVACY Mark)를 받도록 하는 것이다. 그런데 이런 인증을 받은 기업도 터무니없는 해킹을 받은 경우도 많다. 왜냐하면, 이런 권장 사항이나 의무사항을 형식적인 것으로 여기고 현장에서 실천에 옮기지 않는 기업이 있기 때문이다. 사실 보안 인증은 최소한의 기준이다. 앞으로 거래소가 보안을 철저히 지켜나갈 것인지는 더 지켜봐야 할 것이다.
질문 2.
우리나라는 과거 20년 동안 온라인 뱅킹이나 전자상거래를 오랫동안 해왔고 해킹을 막기 위한 노력과 기술이 축적됐는데, 가상화폐 거래소에 대해서도 해킹에 효과적으로 대비하고 막을 방법은 없을까?
답변 2.
해커는 돈이 될만한 곳에 끊임없이 공격을 시도한다. 취약한 부분을 찾아내려고 온갖 기술을 동원한다. 따라서 방어하는 사람 역시 장비를 도입하고 소프트웨어를 까는 것으로 그치면 안 된다. 지능화되는 해커의 공격을 막는 노력은 꾸준히 해야 한다.
방어를 잘하는 기업도 해커에 뚫린다. 그러나 보안을 잘 하는 회사와 아닌 회사의 큰 차이는 복구능력에서 확연하게 차이가 난다. 이를테면 자료가 암호화되어있으면 해커가 가져가도 열어볼 수 없어서 2차 피해를 막을 수 있다. 그리고 치명적인 피해를 보아도 백업이 저장되어있으면 어느 정도 복구가 가능하다. 보안은 여러 가지 다양한 방법과 기술이 있지만, 그것 역시 전담하여 고민하는 담당자가 지속해서 경험을 축적해야만 체력이 길러진다. 뚫린 후에도 복원하는 능력도 필요하다. 가상화폐 거래소는 은행 등 금융기관의 보안 체계를 벤치마킹해야 한다. 소프트웨어나 시스템 몇억짜리 장비를 도입하는 것보다 더 우선하여 배워야 하는 것은 축적된 보안체계다. 특히 경영의 관점에서 보안을 봐야만 비즈니스 전체를 보호할 수 있다. 보안을 경영자가 직접 들여다볼 수 있을 때 가장 높은 대응력을 갖게 되는 것은 많은 경험에서 나온 결론이다. 거래소의 보안 수준은 하루빨리 금융권 수준에 도달해야 한다. 우리나라 금융권의 보안 수준은 사실상 세계적인 수준이다.
질문 3.
거래소를 운영하는 회사에서 귀담아들어야 할 이야기 같다. 그런데 최근 가상화폐의 거래에 필요한 전자 지갑에 대한 해킹도 많다고 들었다. 우선, 전자지갑은 무엇인가?
답변 3.
가상화폐 전자지갑이라고 부르기도 하는데 분명하게 표현하기 위해 암호화폐 지갑이라고 부르는 게 더 맞다. 간혹 이름 때문에 처음 들으며 마치 지갑에 가상화폐를 담고 있는 것으로 여겨질 수 있는데, 실물 지갑처럼 무언가를 담는 것이라기보다는 가상화폐를 자신의 계좌에 넣고 다른 사람에게 보내는 일종의 앱이라고 보는 게 맞다.
암호화폐 지갑을 흔히 인터넷 뱅킹 앱에 비유하기도 한다. 예금주가 자신의 계좌에서 송금할 때 인터넷 뱅킹 앱을 이용하면서 계좌를 관리하는 것처럼, 사용자는 암호화폐 지갑을 이용해서 가상화폐를 주고받을 수 있다.
대표적인 암호화폐인 비트코인이나 이더리움 등에 이용되는 지갑은 쉽게 구할 수 있다. 앱 스토어에서 내려받아 스마트폰에 설치하거나, 노트북에 소프트웨어 형태로 설치할 수도 있다. 또 별도 소프트웨어 없이 인터넷 웹사이트에 접속해서 지갑을 이용하는 방식의 암호화폐 지갑 서비스도 있다. 보안을 강화하는 목적으로 설계된 하드웨어로 된 암호화폐 지갑도 있다. 하드웨어 지갑은 USB처럼 생겨서 노트북에 연결해서 사용하기도 하고 블루투스 등 스마트폰에 무선으로 연결해서 사용하는 것도 있다.
이런 지갑을 최초로 사용할 때는 이메일 등으로 기본적인 사용자 인증과 기기의 인증을 거치게 된다. 은행이 아니라서 실명인증은 필요하지 않다. 소프트웨어 지갑은 대부분 무료이지만 송금 수수료 비즈니스와 연계된 경우가 많다. 하드웨어 형태의 지갑은 가격도 수만 원에서 수십만 원 정도 하는 것도 있다.
한가지 특기해야 할 점은, 여러 가상화폐는 각자의 지갑이 있다는 점이다. 물론 가상화 폐간에는 같은 지갑을 사용할 수 있는 것도 있다. 예를 들어 비트코인 계열의 몇몇 코인은 비트코인 지갑과 호환될 수 있고, 이더리움 계열 코인은 이더리움 지갑을 이용할 수 있다. 그러나 대부분 새로 만들어지는 많은 가상화폐는 별도의 지갑이 있어야 하는 경우가 훨씬 많고, 호환이 된다고 하여도 기술적으로 반드시 검증해야만 한다.
그리고 암호화폐 지갑을 만들어 배포하는 회사는 아주 많다는 점 역시 주의해야 한다. 은행용 인터넷 뱅킹 앱은 은행에서 책임지고 만들고 배포하기도 하지만, 비트코인이나 이더리움 같은 여러 가지 코인의 암호화폐 지갑은 누구나 개발하여 만들 수 있고 앱으로 배포할 수 있다. 개발 도구도 개방되어있고 오픈소스도 많이 사용되고 있어 암호화폐 지갑을 만드는 것 자체는 첨단 기술이 아니다. 다만 해킹에 안전한지, 보안은 잘 되어있는지 아닌지는 미지수이므로 소비자 입장에서는 주의해야 한다. 암호화폐 지갑은 개인의 선택이므로 만에 하나 발생하는 지갑과 관련한 문제는 스스로 책임져야 하기 때문이다.
질문 4.
암호화폐 지갑은 가상화폐를 주고받는 일종의 앱인 셈인데, 지갑에 담겨있지 않은 가상화폐를 어떻게 빼내 가는 것인가?
답변 4.
개인의 은행 계좌를 해킹하는 것과 크게 다르지 않다. 은행에 접속할 때 스마트폰 앱을 사용하면 비밀번호를 입력하거나 혹은 지문, 홍채 등을 사용하게 되는데, 해커는 스마트폰에 악성 프로그램을 심어 비밀번호를 알아내거나 하는 방법으로 은행 계좌에 접근하게 된다. 또 은행에서 사용하는 공인인증서에는 전자서명에 사용되는 개인 키가 있는데 해커가 그것을 탈취하면 예금주가 보낸 것으로 위장하여 송금할 수도 있다. 공인인증서를 사용하지 않는 뱅킹이 요즘 늘고 있는데, 그렇다고 하여도 전자서명에 필요한 개인 키는 저장되어있게 마련이다. 해커는 인증을 위한 개인 키를 탈취하고 본인도 모르는 사이에 예금주가 한 것처럼 전자서명을 하여 악의적으로 송금을 할 수 있다. 또 송금할 계좌번호를 바꿔치기하는 수법도 종종 이용된다. 그밖에 보안카드 번호를 알아내거나 하는 등 무수히 많은 해킹 수법이 있다.
이러한 인터넷 뱅킹에 사용된 해킹 수법은 고스란히 암호화폐 지갑에도 이용된다. 지갑이 깔린 스마트폰이나 노트북에 침투해서 비밀번호나 개인 키를 탈취하는 것은 물론이고 받는 사람의 암호화폐 주소를 바꿔치기하는 수법도 흔히 사용된다. 따라서 인터넷 뱅킹을 위해 개인 기기의 보안을 주의해야 하는 것과 같은 노력이 필요하다. 암호화폐 지갑이 깔린 스마트폰이나 노트북에 악성코드가 깔리지 않도록 주의해야 한다.
질문 5.
그런데 투자자가 거래소에서 가상화폐를 사고팔 때도 이런 지갑이 필요한 것인가? 거래하면서 지갑을 일일이 이용했다는 이야기는 잘 들어보지 못했다.
답변 5.
맞다, 거래소 안에서 거래할 때 소비자는 사실 지갑이 필요 없을 수 있다. 그러나 사실 거래소에서는 일반 투자자는 인식하지 못한 사이에 백그라운드에서 지갑을 제공하고 있다. 가상화폐 송금 서비스를 제공하는 데에서는 지갑이 필요하기 때문이다. 거래소에서 투자할 때는 눈에 띄지 않았지만, 이체를 할 때는 긴 계좌번호를 보았을 텐데, 그것이 바로 암호화폐 지갑의 주소(계좌)이다. 예를 들어 비트코인을 송금하거나 받아본 경험이 있다면 아주 긴 숫자와 문자 조합으로 된 것을 본 적이 있을 것이다. 주로 이런 형태로 생겼다. 16rCmCmbuWDhPjWTrpQGaU3EPdZ (참고로 이것은 전 세계에서 비트코인이 가장 많이 들어있는 비트코인 지갑의 주소다) 상대방의주소로 비트코인을 보낼 수도 있고 또 자신의 주소로 비트코인을 받을 수도 있다. 이때 반드시 암호화폐 지갑이 필요하다. 암호화폐 지갑의 주소는 계좌번호의 역할을 한다. 기술적으로는 암호화폐 지갑이 생기면 전자서명과 암호 생성을 위한 공개키와 비밀키 쌍이 만들어지는데, 공개키는 지갑의 주소에 이용되고, 비밀키는 송금 시 전자서명에 이용된다.
만일 한 개인이 여러 거래소를 이용하는 경우, 거래소마다 자신의 암호화폐 지갑이 있는 셈이다. 자신이 이용하는 거래소 A에서 거래소 B로 비트코인을 이체하는 경우도 있을 텐데, 그것을 조금 더 구체적으로 말하면 거래소 A에 있는 암호화폐 지갑에서 거래소 B에 있는 암호화폐 지갑으로 송금하는 것이다. 물론 이체 시 수수료가 발생한다. 그런데 수수료는 생각보다 절대 작지 않다.
질문 6.
그렇다면 앞서 말한 지갑과 거래소에서 만들어진 지갑은 어떤 차이가 있는 건가?
답변 6.
기능 면에서는 차이는 없다. 그러나 누가 관리의 책임이 있는가? 혹은 해킹은 누가 책임지는가 하는 문제에 차이가 있다. 개인이 내려받아서 사용하는 암호화폐 지갑의 최종 책임자는 개인이다. 그래서 스마트폰에 있는 지갑이 해킹되어 발생하는 피해의 책임은 개인이 지게 된다. 반면, 거래소에 있는 지갑이 해킹되어 입은 피해의 책임은 거래소가 지는 것이 원칙이다. 물론 거래소의 약관이 공평하게 피해보상을 제공하는 상황에 해당하는 이야기다. 어떤 거래소는 그런 피해 보상을 제공하지 않는 경우도 있으니 약관을 꼼꼼하게 읽어봐야 한다. 잘 명기되어있지 않다면 거래소에 이메일 등으로 문의해서 피해보상 규정을 반드시 따져봐야 한다. 피해보상이 잘 되어있다고 해도, 거래소가 해킹 등의 피해로 파산하면 보상을 받을 수 없을 가능성이 크다.
따라서 많은 양의 코인을 보유하고 있다면 위험을 분산하기 위해 코인을 분산 보관하는 것이 바람직하다. 이럴 때 개인이 직접 사용하는 암호화폐 지갑은 매우 유용한 도구가 된다. 어떤 거래소에 종속된 암호화폐 지갑이 아니고 자신이 완전히 통제할 수 있는 지갑이므로 이 지갑에 (정확히는 이 지갑의 주소에) 가상화폐를 옮겨 놓으면, 거래소가 해킹되어도 전혀 영향을 받지 않게 된다. 은행에 비유를 들자면, 통장에서 찾은 현찰을 집에 있는 금고에 넣어두는 것에 비유할 수 있다. 가상화폐는 실물이 아니라 인터넷상의 기록에 불과하기 때문에 금고에 넣을 수는 없지만, 자신만의 암호화폐 지갑을 사용하여 별도의 주소(계좌)에 옮겨 보관하면 거래소 해킹의 불안에서 벗어날 수 있다는 것이다. 물론 빈번하게 옮기면 이체할 때마다 송금 수수료가 생기는 점은 고려해야 한다.
극단적인 경우일지 모르지만 이런 경우를 상상해 보자. 개인 투자자 A 씨는 비트코인에 투자하기 위해 가상화폐 거래소에 계좌를 만들고 돈을 송금했다. 투자를 잘해 비트코인 10개가 생겼다. 투자를 그만하고 싶어졌다. 5개는 돈으로 바꿔 찾았고 나머지는 비트코인으로 갖고 장기적으로 보유하기로 했다. 그런데 A씨는 이 거래소가 어떤 이유에서인지 마음이 불안해, 별도로 내려받은 암호화폐 지갑을 이용하여 자신의 주소(계좌)로 비트코인 5개를 이체했다. 그런데 다음 날 그 거래소가 해킹되어 거래소에 있던 모든 비트코인을 도둑맞는다. A 씨는 가슴을 쓸어내리며 안도의 한숨을 쉰다. 한발만 늦었으면 자신도 피해를 보았기 때문이다.
다시 말하면 거래소에서 관리하는 지갑이냐 아니면 자신이 직접 관리하는 지갑이냐의 차이가 있는 것이다.
질문 7.
개인이 직접 이용하는 암호화폐 지갑은 사이버 공간상에서 암호화폐를 위한 개인 금고와도 같은 역할을 하는 것 같다. 그러면 이런 개인용 암호화폐 지갑에서 소비자가 주의해야 할 사항은 없을까?
답변 7.
개인이 직접 책임져야 한다는 부담이 있다. 암호화폐 지갑의 분실이나, 해킹의 책임은 궁극적으로는 개인의 책임이다. 따라서 믿을만한 회사에서 만든 안전한 지갑을 사용하는 것이 중요하다.
안타까운 것은 소비자 입장에서는 어떤 지갑을 선택해야 할지 정하는 게 쉽지 않다는 점이다. 소프트웨어 개발회사에서 만들기도 하고, 몇몇 거래소나 환전소도 직접 만들어 배포하기도 한다. 어떤 회사는 핵심이 되는 개인 키를 여러 벌 복사한 후 관리해주는 멀티 시고 서비스를 내놓기도 했다. (예를 들면 암호화폐 지갑의 개인 키를 3개 만들고 한 개는 분실을 대비한 보관용으로 두고 나머지 하나는 업체에서 갖고 있다가 개인이 사용할 때 한 번 더 확인하여 이체하는 데 이용된다. 특히 개인이 일정 금액 이상을 송금할 때 업체는 보유하고 있던 개인 키로 인증을 해줘야 하기 때문에 해킹당했을 때 일종의 추가 보안을 제공하기도 한다) 그러나 어떤 형태의 암호화폐 지갑이든 해커는 취약점을 파고들 수 있다. 특히 새롭게 만들어지는 코인도 전용 암호화폐 지갑을 배포하게 되는데 개발력이 떨어지는 회사의 경우 보안에 허술한 경우가 많다. 고급 기술을 가진 해커는 소프트웨 지갑은 물론 하드웨어 형태의 지갑도 해킹을 시도하게 되며, 무선통신의 전송과정의 취약점을 이용해 해킹을 하기도 한다. 핵심은 어떤 암호화폐 지갑이던지 보안에 대한 체계적인 준비를 충분히 했는지가 관건일 것이다.
암호화폐의 종류가 많아지고 비트코인 등 가상화폐 가치가 상승하면서 안전한 보관과 거래에 대한 수요가 늘고 있지만, 해커의 수법도 더 지능화되고 있기 때문에, 지속해서 보안을 업그레이드하면서 방어할 수 있는 지갑이 더욱 중요해질 것이다. 우리 같은 보안회사에서도 암호화폐 지갑을 만들게 된 큰 이유는 암호화폐 지갑을 둘러싼 보안이 가장 중요하기 때문이다.
질문 8.
많은 회사가 암호화폐 지갑을 만들고 있다. 전망은 어떠한가?
답변 8.
새로 개발되는 암호화폐 지갑은 더욱 안전한 보관을 목적으로 하는 경우가 많다. 그러나 암호화폐가 더 많아지면 지갑은 점차로 암호화폐를 위한 플랫폼이 되므로 지갑을 활용한 여러 가지 응용서비스가 탄생할 것은 자명하다. 우리회하는 최근 블록체인과 코인을 개발하는 회사로부터 기술 협력에 대한 많은 문의를 받고있다. 앞으로 암호화폐 지갑이 어떻게 발전하고 변모할지 기대된다.
Upvoted ☝ Have a great day!
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Many thanks!
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
흐흐흐 여기서 이렇게 보게 되네요! 설명해주신 내용 Good!
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
@suhor 으흐흐 이렇게 여기서 만나게 되니 더욱더 반갑습니다. ^^
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit