최근 일본의 한 가상화폐 거래소가 5700억원에 달하는 대형 해킹사고를 당하면서 국내에서도 이를 우려하는 목소리고 높아지고 있다.

특히 이미 일부 가상화폐 거래소가 해킹 피해를 당한 바 있다. 이 때문에 일부 가상화폐 거래소 업체들은 '금융회사 수준의 보안을 갖추겠다'며 투자자를 안심시키고 있다.

그렇다면 정말로 국내 금융회사 수준의 보안 인프라를 갖출 수 있을까.

허언이 아니라면 민간 가상화폐 거래소가 금융권 수준의 보안 인프라를 갖추는데는 최소한 50억원 이상의 투자가 필요한 것으로 분석됐다. 인프라 구축 비용외에 보안 전문인력의 확보 등 당장 산출이 힘든 항목은 제외한 것이다.

전문가들은 국내 민간 거래소들이 처음부터 보안을 고려하지 않고 설계한 경우가 많아, 지금이라도 아키텍처 재정립을 실시해야 한다고 지적하고 있다.

<디지털데일리>는 국내 보안업체인 SK인포섹과 국내 가상화폐 거래소가 금융권 수준에 미치려면 어느 정도의 투자를 집행해야 하는지 견적을 산출해 보았다. 다만, 거래소별 상황과 도입하는 보안제품과 솔루션 등에 따라 금액은 달라질 수 있으며, 이는 이해를 돕기 위해 내놓은 대략적인 금액임을 미리 밝힌다.

◆금융권 보안 수준? “현실적으로 쉽지 않다” = 문병기 SK인포섹 전문위원(팀장)은 “거래량이 많은 주요 거래소 기준으로 말하자면, 필수적으로 도입해야 하는 보안투자만 10억~20억원 수준”이라며 “금융권 수준까지 맞춘다고 하면 50억원~100억원까지 필요하다”고 말했다.

이어 문 위원은 “한국은 증권거래소와 예탁결제원 등으로 분산돼 있는데, 가상화폐 거래소는 하나로 운영되고 있다”며 “정부 컨트롤러없이 보안 영역을 확장하고 스토리지와 백업체계까지 모두 구축한다면, 최대 100억원까지 필요하기 때문에 민간 기업이 이같은 투자들 하는 것은 현실적으로 쉽지 않다”고 덧붙였다.

가상화폐 거래소에서 말하는 금융권 수준의 보안을 갖추려면 거래원장부터 시작해 금융권에서 요구하는 개인정보 관리체계를 갖추고 재해 대책까지 마련해야 한다.

금융권의 경우, 고객자산 보호가 법적으로 명시돼 있고 내부지침도 명확한 편이다. 비즈니스 연속성 관리(BCP)를 통해 재해대책도 요구된다. 포렌식, 관제시스템 분석 도구 등도 추가적으로 들어간다.

문 팀장은 “금융권은 매출액의 5%를 보안에 투자해야 하며, 중요한 점은 고도화를 진행한다는 것”이라며 “실질적으로 초기투자비와 고도화까지 감안하면 보안에 투입되는 비용이 만만치 않다”고 설명했다.

한편으로 금융권은 내부 통제에 대한 부분도 강화하고 있다. 망분리는 기본이며, 망연계에 대한 경로를 통제한다. 노트북 등 개인용 기기가 늘어나기 때문에 엔드포인트 보안 강화를 위한 엔드포인트 탐지 및 대응(EDR)을 도입하고, 계정관리는 필수다.

보안 조직을 구성하고 인원도 확보해야 한다. 매년 취약점 진단 컨설팅을 실시하고 보안 정책 고도화를 꾀한다. 의무사항이다. 모의훈련도 매년 실시한다. 현재 단계에서 가상화폐 거래소가 이 모든 조건을 충족하기 위해 따라간다는 것은 쉽지 않다는 설명이다.

◆"1차 방어선은 넘어야, 그래도 15억" = 금융권 수준에는 미치지 못하더라도 일반 인터넷서비스의 보안 수준은 넘어야 한다.

기본적으로 가상화폐 거래소는 계정관리와 외부 침입에 대응하기 위해 ▲디도스 ▲웹방화벽 ▲방화벽 ▲침입방지시스템(IPS) 등 네트워크 점점에 구축해야 하는 보안시스템을 갖춰야 한다.

또한 ▲망분리 ▲암호화 ▲DB 암호화 ▲접근통제 시스템을 도입해야 하며, 보안 전문업체를 통한 관제서비스를 제공받아야 한다.

문 팀장은 “클라우드와 인터넷데이터센터(IDC)에 관계없이 서버에 접근하기 위한 단말과 네트워크를 구분하고, 망을 분리하는 작업을 해야 한다”며 “인터넷망을 사용하지 못하게 하고, 업무망을 한정하는 거라면 IDC·클라우드 모두 마찬가지”라고 부연했다.

여기까지 완료했다면, 1차 방어라인은 완성됐다. ‘기본’은 갖춘 것이다. SK인포섹에 따르면 대략적으로 10억원~15억원가량의 견적이 나온다. 논리적 망분리에만 5억원에서 10억원가량이 든다.

여기서 더 나아가 보안수준을 높이려면 ▲엔드포인트, PC·단말 보안 ▲서버 관리를 위한 추가 분리 ▲최고 권한을 가진 접근이 필요한 곳에 쓸 수 있는 격리된 룸 ▲키관리시스템(KMS) ▲바이오인증 등 추가 인증 등을 채택할 수 있다.

문 팀장은 “핫월렛을 보호하려면 웹쉘·멀웨어·지능형지속위협(APT) 솔루션들이, 콜드월렛은 스토리지 보안 솔루션이 필요하다”며 “직원 수가 늘어날수록 엔드포인트 솔루션 라이센스가 추가적으로 들어가게 된다”고 말을 보탰다.

◆국내 가상화폐 거래소, 현재 보안수준은? = 하지만 현실은 기본적인 망분리와 암호화 조치조차 돼 있지 않은 경우가 태반이다. 대부분의 거래소의 보안수준이 낮다는 정부 결과가 발표되기도 했다.

금융권이 아닌 인터넷서비스 업체 기준으로 보안수준을 점검했지만, 이마저도 낙제점을 받았다. 방송통신위원회는 빗썸에 개인정보 유출로 과징금 조치를 내렸고, 코빗·코인원·두나무 등 8개사에는 과태료 및 시정명령을 부과했다.

최근 사이버범죄자들의 공격이 가상화폐 거래소에 집중되고 있다. 지난달 일본 가상화폐 거래소 코인체크는 해킹으로 580억엔(한화 약 5700억원) 상당의 뉴이코노미무브먼트(NEM) 코인을 유출 당했다.

지난 12일에는 이탈리아 가상화폐 거래소 비트그레일이 자체 개발한 ‘나노’ 1700만개가 해킹으로 무단 인출됐다. 이는 1억7000만달러, 한화로 약 1800억원에 달하는 규모다.

금전 탈취 목적의 사이버공격이 성행하면서 국내 가상화폐 거래소도 대규모 코인유출의 가능성이 커지고 있다. 골드만삭스 보고서에 따르면 한국은 미국·일본에 이어 전세계 3번째로 큰 가상화폐 시장 규모를 자랑하고 있으며, 전체 가상화폐의 14%를 차지하고 있다.

문 팀장은 “금융권은 모두 내부에 구축하고 방어막을 세우는데, 그래도 뚫리는 경우가 있다”며 “가상화폐 거래소는 클라우드를 채택하기도 하면서 진입 경로가 외부에서 생겨 보안 통제가 어려운 부분이 있기 때문에 현재로서는 논리적 망분리밖에 없다”고 조언했다.

시스템 관리자 접근부터 철저히 망분리와 망연계를 철저히 설계해야 한다는 지적이다. 결국, 업무와 망에 대한 분리를 다시 고려한 재설계가 이뤄져야 한다는 것. 리모델링이 필요한 이유다.

◆기초작업부터 다시 “리모델링 선제돼야” = 문 팀장은 “실수하는 부분 중 하나가 솔루션, 벤더 중심으로 보안 솔루션을 도입했다고 말하는 것”이라며 “IPS, 웹방화벽을 설치하는 것이 문제가 아니라, 보안정책이 내부에서 꼬이기 시작하면서 추후에 타격을 받을 수 있다”고 말했다.

대충 지어놓은 집에 경보기와 CCTV 등을 여기저기 설치하는 셈이다. CCTV에 찍히지 않도록 담을 넘을 수 있는 사각지대가 발생할 수 있는데, 우선 보안제품을 가져다 놨으니 안전하다는 주장이다. 이를 방지하고 근본적인 문제 해결을 위해 리모델링을 해야 한다. 이는 아키텍처 수립을 뜻한다.

문 팀장은 “보안 시스템을 하나 가져다 놓고 정책을 새로 만들고, 또 다른 보안 시스템을 도입해 새롭게 정책을 만들다 보면 정책 통일성에 문제가 발생한다”며 “이 때문에 금융권은 보안 컨설팅을 받고 있으며, 아키텍처 수립이 무엇보다 중요하다”고 강조했다.

가상화폐 거래소는 서버 한 대만으로도 시작할 수 있는 사업이라, 초창기 사업자들은 보안이 결여된 가운데 거래소를 운영하는 곳이 많았다. 지금도 크게 달라지지는 않았지만, 일부 작은 규모의 거래소들은 클라우드 사업자가 제공하는 보안만으로 기본적인 보안을 충족했다고 자평한다. 망분리 개념도 없고, 추가적인 보안 조치도 없다면 고객자산을 보호할 수 없는 것은 자명하다.

문 팀장은 “일부 거래소는 망에 대한 부분을 재설계하려고 한다”며 “무조건 금융권 수준의 보안을 요구하는 것이 아니라, 인프라와 애플리케이션 측면에서 효율적인 리모델링을 꾀해야 한다”고 강조했다.

그는 “중구난방으로 보안제품을 넣어 놓는다면, 정책 혼선, 중복 투자, 신뢰성을 담보할 수 없게 된다”며 “전체 보안의 튼튼한 틀을 만들려면 설계부터 먼저 고민하고 아키텍처를 수립해야 한다”고 역설했다.

<최민지 기자>cmj@ddaily.co.kr