본문 바로가기

빗썸, 사흘 전부터 해킹공격 대비하고도 350억 털렸다

중앙일보 2018.06.21 01:18 종합 6면 지면보기
“빗썸까지 털리다니….”
 

“비정상적 접근 늘어 서버 등 점검”
최근 보안 투자 늘렸지만 속수무책
투자자들 당혹감 … 비트코인 출렁
회사 측 “고객 피해는 모두 보상”

국내 최대 암호화폐(일명 가상화폐) 거래소 빗썸이 해킹당했다. 빗썸에 따르면 지난 19일 밤부터 20일 오전 1시 사이 빗썸의 지갑(월렛, 일종의 계좌)에서 리플 등 약 350억원 상당의 암호화폐가 유출됐다.
 
빗썸은 20일 오전 1시쯤 홈페이지에 “보안 위협 시도 증가로 당분간 입금 서비스를 중단한다”고 알렸다. 이어 이날 오전 9시47분에는 해킹 피해 사실을 공지하며 암호화폐 입출금 및 원화 출금 서비스 전면 중단을 안내했다.
 
빗썸은 이와 함께 한국인터넷진흥원(KISA)에 피해 사실을 신고했다. KISA는 경찰 등과 함께 조사에 착수했다. 경찰청 사이버안전국은 이날 오전 수사관 7명을 서울 강남구 빗썸 사무실에 보내 서버 관련 자료 등을 확보했다.
 
[그래픽=차준홍 기자 cha.junhong@joongang.co.kr]

[그래픽=차준홍 기자 cha.junhong@joongang.co.kr]

빗썸 관계자는 “남은 암호화폐 자산은 전량 해킹으로부터 안전한, 인터넷에서 물리적으로 분리된 콜드월렛으로 이동 조치해 보관 중”이라고 말했다. 현재 블록체인상에서의 암호화폐 이동이 없는, 빗썸 사이트 안에서의 매매는 가능하다.
 
빗썸 해킹 소식을 접한 투자자들은 당혹감을 감추지 못했다. 투자심리 악화로 이날 비트코인 가격은 한때 700만원 선을 위협받았다.
 
앞서 지난 10일 국내 7위 거래소인 코인레일이 해킹으로 400억원 상당의 피해를 보았다. 지난해 4월에는 야피존이 55억원, 12월에는 야피존이 사명을 바꾼 유빗이 다시 해킹당해 172억원 상당의 암호화폐를 도난당했다. 하지만 모두 중소 거래소다.  
 
충격은 빗썸 같은 대형 거래소까지 해킹당했기 때문이다. 해커들의 거래소에 대한 공격은 최근 전방위적으로 이뤄지고 있다. 빗썸에 대한 공격도 이날이 처음은 아니다. 빗썸은 지난 16일 홈페이지에 “최근 지속적으로 비정상적인 접근 시도가 증가해 긴급 서버 점검을 실시했다”고 안내했다. 해킹 공격에 대비해 거래를 중단하고 다량의 암호화폐를 콜드월렛으로 옮기는 작업을 했다는 것이 빗썸 측의 설명이다.
 
실제로 빗썸은 최근 보안에 대한 투자에 집중하고 있다. 지난 2월에는 제1 금융권에서 적용 중인 통합보안 솔루션 ‘안랩 세이프 트랜잭션’을 암호화폐 거래소 업계에서는 처음으로 도입했다. 지난달에는 금융업계 대표적인 정보보호 조항인 ‘5.5.7 규정’을 준수한다고도 홍보했다. 이 규정은 전체 인력의 5%를 정보기술(IT) 전문 인력으로, IT 인력의 5%를 정보보호 전담 인력으로, 전체 예산의 7%를 정보보호에 사용하도록 금융당국이 금융회사에 권고한 사항이다.
 
그럼에도 해커들의 공격에 뚫렸다. 보안전문업체 하우리의 최상명 CERT실장은 “(빗썸이) 보안에 대해 투자를 많이 한다고 하지만 보안 수준이 법으로 강제된 금융회사와 비교하면 자율에 맡긴 거래소의 보안 수준은 한참 멀었다”고 말했다.  
 
빗썸은 해킹 피해를 알리면서 동시에 보상을 약속했다. 빗썸 관계자는 “고객 피해가 있다면 회사가 전량 보상하겠다”며 “고객 피해는 전혀 없으니 불안해 하지 말아 달라”고 강조했다. 빗썸의 운영사인 비티씨코리아닷컴이 금융감독원에 제출한 2017년 감사보고서에 따르면, 이 회사가 지난해 거둔 당기순이익은 약 5349억원에 이른다. 반면에 열흘 전 해킹 사고가 일어난 코인레일은 아직까지 뚜렷한 보상책을 내놓지 못하고 있다.
 
한 거래소 관계자는 또 “거래소마다 보험에 가입했다고 광고하지만 실상 피해가 발생하면 보험사들이 각종 면책조항을 이유로 보험금을 잘 지급하지 않는다”며 “보험에 가입했다고 안심하긴 어렵다”고 말했다. 빗썸도 총 60억원 규모의 사이버종합보험에 가입했지만 재산 담보가 포함되지 않아 피해 금액을 보상받기는 어려워 보인다. 앞서 유빗은 DB손배보험에 30억원대 보험금 지급을 신청했지만 고지의무 위반 등의 사유로 거절당했다.
 
고란·하선영 기자 neoran@joongang.co.kr
공유하기
광고 닫기