가상자산에 대한 관심이 급증함에 따라 이를 노린 사이버 공격도 증가하고 있다. 가상자산 거래소와 정부가 속속 투자자 보호를 위한 대책을 강조하고 있지만, 개인정보 탈취를 노린 해킹을 막기는 역부족이라는 지적이 나온다.
가상자산 투자자를 대상으로 한 피싱이 활발하게 이뤄지고 있다. 지난해에만 업비트는 보이스피싱 피해 60건을 구제, 13억 원을 환급했다. 1인당 평균 약 2100만 원 수준의 피해로 추정된다.
가상자산 관련 범죄는 2년 사이 5배 이상 증가했다. 2020년 경찰은 가상자산 범죄로 337건을 검거했다. 2018년 대비 5.4배, 2019년 대비 3.3배 늘어난 수치다. 특히 사기나 다단계를 이용한 수법이 가장 많으며, 거래소를 사칭한 스미싱 사기 문자가 다수 활용되고 있다.
스팸 차단 앱 ‘후후’를 제공하는 후후앤컴퍼니의 분석에 따르면 가상화폐 거래소 사칭 스미싱 메시지가 급증했다. 비트코인 가격이 급등한 2월 중순부터 스미싱 탐지가 2만여 건으로 증가하더니, 3월 중순 7만여 건으로 약 3.5배 늘었다.
업계 관계자는 “예를 들어 거래소 주소가 .com으로 끝나면 .co.kr로 끝나는 가짜 주소를 유포해 개인정보를 탈취하곤 한다”라며 “해외에서 계정이 로그인 됐다는 식으로 문자메시지가 오는데, 링크를 클릭하면 개인정보를 긁어가는 것”이라고 설명했다.
곧 코인이 상장될 것이라며 미리 투자금을 모은 후 도주하는 방식이나, 타 거래소에 상장된 상태에서 곧 해당 거래소에 상장될 것이니 지금 거래하라는 식으로 매매를 독려하는 방식도 횡행 중이다.
해커 노말틱(Normaltic, 본명 김한수)는 “가상자산 거래소가 오히려 다른 웹사이트보다 보안이 더 철저하다”라며 “하지만 가상자산의 경우 금융권 시스템보다 해킹을 하고 난 뒤 자산을 빼돌리기가 더 쉽다”라고 설명했다.
금융권의 경우 실명 계좌가 있어야 하고, 실시간으로 현금이 추적되는 만큼 공격자가 갑자기 대량의 금액을 빼내기 어렵다는 것이다. 하지만 가상자산의 경우 직접적인 이득을 취할 수 있고 빼돌린 자산을 세탁하기 쉬워 공격자의 표적이 된다는 설명이다.
가상자산 거래소들은 투자자 보호를 위해 팔을 걷어붙이고 나서는 분위기다. 6일 두나무는 100억 원을 투자해 디지털 자산 투자자 보호센터(가칭)를 설립한다고 밝혔다. 디지털 자산 사기 피해자에 대한 법률 지원 및 상담과 사기 피해금 일부 보존 및 긴급 저금리 융자 지원을 준비한다는 구상이다.
빗썸 또한 보이스피싱 등 금융사기를 막기 위해 원화 입금시 해당 입금금액만큼 24시간 동안 가상자산 출금 및 서비스 일부에 대해 이용을 제한하고 있다. 가상자산 입출금 패턴, 출금 금액, 접속 정보 등을 모니터링해 의심거래 및 이상 거래를 탐지하는 시스템이다.
코빗도 전사 임직원을 대상으로 자금세탁방지(AML) 교육을, 코인원 또한 일상 속 금융사기에 대한 대처 방법을 알리고 안전거래 캠페인을 진행하고 있다.
하지만 업계 관계자들은 스미싱이나 피싱으로 개인정보가 탈취된 경우를 막기는 역부족이라는 데 입을 모았다. ‘특정 금융거래정보의 보고 및 이용에 관한 법률(특금법)’ 개정안이 시행되고 △정보보호관리체계(ISMS) 인증 취득 △자금세탁방지(AML) 시스템 구축 △실명계좌 취득 등이 요구되고 있지만, 개인 투자자 보호보다 자금세탁 방지에 방점을 찍고 있어서다.
업계 관계자는 “개인이 피싱을 통해 해킹되거나 개인정보가 노출된 경우 기존 금융권도 통신사도, 가상자산 거래소도 마찬가지로 보호하기 어렵다”라고 설명했다.
다른 업계 관계자 또한 “핸드폰 탈취나 아이디, 패스워드 유출 시에는 실질적으로 현재 거래소 차원에서 어떻게 해드리긴 어렵다”라며 “수사기관이 붙어야 하는 일이고, 거래소에서는 수사기관에서 접속기록이든 자료든 요청하면 적극 협조하는 정도”라고 말했다.
피싱 발생 시 모든 거래소에서 공지를 통해 주의를 요구하고 있지만, 개인 단말이나 계정이 해킹될 경우 사실상 살피기 어렵다는 것.
기존 금융권과 달리 구제받을 수단 또한 녹록지 않은 것이 한계로 꼽힌다.
정수호 법무법인 르네상스 변호사는 “증권사나 금융사의 경우 금융감독원에 민원을 제기하고 분쟁조정제도를 통해 구제받을 수 있다”라며 “가상자산 거래소의 경우 개별 소송을 통해 구제를 받을 수밖에 없는 상황”이라고 설명했다.
이어 “증권사 등의 경우 전자금융거래업법에 금융기관의 과실을 추정하고 기관이 과실이 없음을 입증해야 하는 규정이 있어 투자자들에게 유리하다”라며 “거래소의 경우 해당 조항이 없어 일반적인 민사법적 권리에 따라 해결돼야 한다”라고 덧붙였다.
그러다보니 개인이 스스로 대비할 수밖에 없다는 주장이 나온다. 문자ㆍ메일로 날아온 링크는 클릭하면 안 되고, 자산 관련 계정은 타 사이트에서 사용하는 아이디ㆍ패스워드와 동일하게 설정하면 안 된다는 당부들이다.
해커 노말틱은 “공격 발생 한 달 전쯤 OTP가 공격자에 의해 해제되는 경우가 있었던 만큼, OTP가 해제됐는지 주기적으로 확인할 필요가 있다”라며 “OTP 등록을 해둬야 한다”라고 조언했다.