지난 주 뉴스이기는 하지만 국내 최대 가상화폐(암호화폐) 거래소인 빗썸이 해킹을 당했다. 지난 주 뉴스에서는 350억원이 해킹당했다고 했는데 이 글을 쓰는 시점에서 나온 뉴스를 보니 190억원으로 해킹 피해액이 줄었다. 세계 화폐 거래서와 협업을 통해 일부를 되찾았고 350억이라고 발표한 것은 해킹을 당했다고 발표한 날에 최대 예상액을 KISA에 얘기했기 때문에 그 금액이 나왔다고 하는 것이다. 어찌되었던 팩트는 빗썸은 해킹을 당했고 190억원 상당의 암호화폐를 해킹을 당했다는 것이다.



비트코인, 이더리움, 리플 등 가상화폐라 불리는 암호화폐는 그 자체의 보안은 무척이나 높은 편이다. 알다시피 블럭체인이라는 기술을 이용하여 이들 암호화폐가 거래가 되는데 이 블럭체인의 알고리즘만으로 본다면 암호화폐 그 자체의 보안은 무척이나 단단하다. 해킹하기 무척이나 어려운 구조다. 암호화폐 옹호론자들이나 블럭체인을 연구하는 사람들이 한결같이 보안에 대해서는 자신하는 이유가 그 알고리즘에 있다. 물론 블럭체인 알고리즘이 100% 완벽하다고는 할 수 없지만 현 시점에서는 그래도 가장 우수한 알고리즘인 것은 분명하다.


하지만 생각을 해보자. 해킹을 당하는 것은 암호화폐가 아니다. 비트코인이나 이더리움, 리플의 거래 자체가 해킹당하는 것이 아니라는 얘기다. 해킹은 대부분 거래소가 당한다. 왜? 비트코인이나 이더리움 등의 암호화폐를 개인이 1:1로 거래하는 경우에는 해킹을 당할 경우가 흔치가 않다. 암호화폐 옹호론자들이 얘기하는 그대로가 진행된다면 말이다.


해킹은 암호화폐가 당하는 것이 아니다. 거래소가 당한다. 왜? 거래소는 일반 웹사이트다. 그리고 그 웹사이트를 운영하는 것은 암호화폐의 근간을 이루는 블럭체인 알고리즘과 그것을 이용하는 시스템이 아니다. 일반 웹서비스를 운영하는 기업이 거래소를 운영한다. 그렇다면 거래소 서비스 자체의 보안 뿐만이 아니라 거래소를 운영하는 시스템 자체의 보안도 중요하다.


해커들이 어떤 서비스를 공격하는 것은 보면 서비스 자체를 외부에서 공격하기 보다는 서비스를 운영하는 내부 시스템을 공격하는 경우가 더 많다. 서비스 자체를 외부에서 공격하는 것은 DDoS 공격 정도다. 그것도 요즘에는 다양한 DDoS 방어 시스템들이 있어서 나름 안전하게 운영할 수 있는 환경이 만들어져 있는 것이 현실이다. 하지만 내부 시스템을 공격하는 것은 얘기가 다르다.


내부 시스템을 공격한다는 것이 어떤 얘긴지 애매모호할 수 있는데 이런 것이다. 거래소 웹서비스를 운영하는 운영자들의 PC, 서버 등은 거래소 웹서비스를 제공하는 시스템에 손쉽게 접근할 수 있게 되어 있다. 당연한 얘기다. 내부에서마저 접근이 어려우면 운영하는데 있어서 유지보수를 하는데 있어서 무척이나 애로사항이 생긴다.


그래서 실제 운영자들은 회사 내 자신들의 PC에서는 손쉽게 운영 시스템에 접근할 수 있게 해둔다. 다만, 그 운영 시스템에 접근할 수 있는 PC나 서버 그 자체는 무척이나 까다로운 보안 장치들이 적용되어 있다. 외부와의 연결도 차단되어 있는 경우가 많다. 그런 이유로 운영자들은 운영 시스템에 접근할 수 있는 PC, 그리고 그 외 작업을 하는 PC를 별도로 사용하기도 한다.


이른바 망분리 시스템을 통해 운영 시스템에 접근하는 PC는 외부로부터의 접근 자체를 막아버려서 외부의 위협으로부터 운영 시스템을 보호하는 것이다. 많은 금융권 시스템들이나 정부 시스템들이 이렇게 물리적 망분리 시스템을 적용하는 경우가 많다.


그런데 2대를 사용하는 것이 무척이나 귀찮다. 특히 외부의 자료를 이용해서 작업을 해야 하는 경우라면 데이터 전송도 문제가 된다. 그래서 많은 기업들이 하나의 PC에서 일반 업무와 운영 시스템 접근을 동시에 한다. 그 대신 운영 시스템 접근을 무척이나 까다롭게 해 안정성을 높히려고 노력을 많이 한다. 운영 시스템으로 접근하는 루트의 경우 가상화를 이용해서 접속한다던지 하는 등의 다른 방식으로 접속을 하게 하는 방법으로 말이다. 이른바 논리적 망분리 시스템이라 불리는 것이 이런 방식이다.


어찌되었던 보통은 운영 시스템에 접근하는 시스템들은 외부에서의 위협으로부터 보호받기 위해 외부와의 차단이 일어나는 것이 일반적이다. 그런데 그렇게 하지 않는 기업들이 많고 해커들은 그 틈을 노린다. 운영 시스템에 직접적으로, 혹은 직접은 아니더라도 건너서 간접적으로도 접근할 수 있는 PC를 악성코드로 감염시키는 방식을 사용하는데 악성코드가 담겨져있는 웹사이트에 접속하게 한다던지 악성코드가 담겨져있는 메일을 보내서 읽게 한다던지 하는 방식을 이용한다. 이른바 APT 공격이라 불리는 방식인데 이메일을 이용하는 방식의 경우 요즘의 이메일 시스템들이 많이 걸러는 주지만 여전히 해커들이 많이 이용하는 방법이며 여전히 많이 당하는 방식이기도 하다.


왜 이런 얘기를 썼는가 하면.. 아직 빗썸이 어떻게 해킹을 당했는가에 대해서는 구체적으로 나오지는 않았지만 내 예상에는 이런 APT 공격을 통해 빗썸 운영 시스템에 직접적으로 접근할 수 있는 PC가 감염이 된 것이 아닐까 싶다. 직접적으로 접근하는 PC가 아니더라도 빗썸 내부 직원의 PC들 중 하나를 감염시키고 그 PC에 연결되어 있는 다른 PC들을 감염시켜서 점점 운영 시스템에 접근할 수 있는 단계까지 가지 않았을까 하는 얘기다. 충분히 가능성이 있는 얘기다. 실제로 보안이 잘되어있다고 하는 금융권 시스템도 이런 방식으로 많이 해킹을 당했고 지금도 공격을 당하고 있는 중이다.


이런 해킹의 문제는 시스템 자체의 문제라기 보다는 그 시스템을 운영하는 사람의 문제라고 할 수 밖에 없다. 스팸메일이라 생각하는, 악성코드가 있을 것이라 예상할 수 있는 메일은 아예 안보는 것이 맞지만 사람인지라 호기심에 열어봤다가 큰 피해를 보는 상황이다. 지속적으로 보안에 대한 인식을 교육해야 하고 생각하도록 인지시켜야 하는데 과연 빗썸이 운영자들에게, 혹은 직원들에게 이런 교육을 시켰을까, 그리고 그 운영자들이나 직원들은 이런 생각을 하고는 있을까 하는 생각이 든다. 보통 보안은 당하지 않으면 그 필요성을 못느끼는데 말이다. 시스템적으로 어느정도는 방어를 할 수는 있지만 실제로는 그것을 운영하는 사람이 문제가 된다면 아무리 시스템이 좋아도 당할 수 밖에 없는 것이 해킹이다.


어찌되었던 빗썸의 이번 해킹으로 인해 빗썸을 비롯한 암호화폐 거래소의 보안 수준이 다시 한번 문제가 되었다. 빗썸이 문제가 되었다고 해서 나머지 암호화폐 거래소가 맘놓고 있을 처지도 못된다. 한국에서 가장 큰 빗썸이 당했다는 것은 다른 거래소도 언제든지 털릴 수 있다는 것을 의미하니 말이다. 과연 빗썸은 이후에 어떤 조치를 취할지 사뭇 궁금해진다. 인터뷰 내용에 보니 어뎁티브 시큐리티(적응형 보안)를 적용하겠다고 하는데 그 어뎁티브 시큐리티라는 말도 처음 들어봐서 어리둥절했고 말이다. 일단 좀 지켜봐야 할 듯 싶다.


# 업데이트 1

보안뉴스에 나온 기사를 보니 빗썸 내부 서버에 다수의 웹셸이 발견되었다고 한다. 그것도 DRM 서버에도 발견되었다고 하는데 도대체 DRM 서버에 웹셸이 왜 발견된거지? 어찌되었던 DRM 서버는 외부에서 접근이 불가능하니 내부 해킹이 맞는 듯 싶다.



블로그 이미지

스마트 학주니

학주니의 시선으로 본 IT 이슈와 사회 전반적인 이슈에 대한 블로그

댓글을 달아 주세요