지닥, 해킹으로 약 190억 규모 코인 증발…“내부자 소행 가능성 배제 못해”

입력 2023-04-11 17:30수정 2023-04-11 18:05

  • 작게보기

  • 기본크기

  • 크게보기

특금법 이후, 거래량 6위권 국내 거래소 첫 수백억원 해킹 발생
비트코인ㆍ이더리움ㆍ위믹스 등 22만개, 보관자산 22% 사라져
KISAㆍ서울청 합동수사 착수…전문가 "내부망 이용했을 수도"

가상자산 거래소 지닥이 해킹으로 약 190억 원 규모의 가상자산을 탈취당했다. 거래소 보관 자산의 23%에 달하는 금액이다. 특금법 시행 이후 벌어진 첫 수백억대 해킹 사건인 데다가, 내부 인프라 시스템 침투 가능성까지 제기되면서 논란이 커지고 있다.

10일 지닥은 9일 오전 7시경 해킹으로 총 보관자산의 23%가 식별되지 않은 지갑으로 전송됐다고 밝혔다. 사라진 가상자산은 △비트코인(BTC) 60.80864074개 △이더리움(ETH) 350.5개 △위믹스(WEMIX) 1000만 개 △테더(USDT) 22만 개 등 180억 원 이상 규모에 달한다.

지닥은 입출금 시스템과 관련 서버를 중단 및 차단한 상태다. 현재 한국인터넷진흥원(KISA)과 서울청 사이버 수사대가 지닥을 합동 조사하고 있다. 금융정보분석원(FIU)도 11일 국내 가상자산거래소에 공문을 보내고, 관련 의심 거래 차단 등을 요청한 상태다.

이유리 지닥 부대표는 본지에 “해외거래소에 전송된 것으로 추정되는 것들이 있어서 해외거래소 및 국내 거래소, 발행사 등과 공조하며, 해커의 자금세탁을 차단하고 자산 회수에 힘쓰고 있다”고 말했다.

지닥은 코인마켓 거래소로 국내 점유율이 높지는 않지만, 거래량으로는 6위권에 드는 거래소다. 특히 지난해 12월 국내 원화마켓 거래소에서 상폐된 위믹스를 상장해 크게 주목을 받았다. 위믹스 상장 이후 거래량이 크게 늘어 코인마켓캡 집계에서 한때 고팍스 거래량을 넘기도 했다.

지닥은 2020년 ‘정보보호 관리체계(ISMS)’ 인증을 받았고 지난해 말에도 사후 심사를 통과해 인증을 유지했다. 가상자산 업계 관계자는 “ISMS는 기본적인 허들이기 때문에 보안과 안전성을 담보해주지 않는다”면서 “사실상 보안은 각 거래소 기술 역량에 달렸다”고 말했다.

업계에서는 FIU 검사 덕분에 지닥 측이 그나마 피해를 줄였다고 말한다. FIU는 3월 종합검사에서 지닥이 자산 대부분을 인터넷과 연결돼 보안 수준이 낮은 ‘핫 월렛’에 보관했음을 확인했고, 지닥 측은 최근에야 오프라인 상태인 ‘콜드 월렛’ 비중을 늘렸다. 금융당국은 자산의 70% 이상을 콜드월렛에 보관하도록 거래소에 권고하고 있다.

내부 시스템 침투 가능성…“여러 가능성 두고 조사해야”

(게티이미지뱅크)

일각에서는 이번 해킹이 내부 시스템 침투를 통해 이뤄졌을 가능성이 높다는 주장이 제기됐다. 이 경우, 거래소 내부자와의 연관성도 배제할 수 없어 논란이 커질 전망이다. 정보보안 기업 티오리는 11일 보고서를 내고, 해커의 가상자산 트랜잭션 내역을 분석한 결과, 지닥 해킹의 원인이 내부 인프라 시스템 침투로 보인다고 밝혔다. 가상자산 거래소 해킹은 크게 거래소 지갑의 비밀 키(key)가 유출되거나 내부 인프라 시스템에 해커가 침투하는 방법으로 이뤄진다.

티오리 측은 해커가 바로 이용자 지갑에서 바로 해킹하지 않고, 굳이 다시 한번 거래소 지갑으로 코인을 보낸 뒤 해킹한 점에 주목했다. 이러한 거래 과정을 ‘스윕’(sweep)이라고 부르는데, 보통 출금을 한꺼번에 용이하게 처리하게 이뤄진다. 해커가 모든 입금 지갑의 비밀 키를 탈취했다기 보다 내부 인프라 공격을 통해 스윕 거래를 발생시킬 수 있는 권한을 쥐게 됐을 확률이 높다는 분석이다. 또 잔고가 적은 계좌부터 순서대로 트랜잭션이 발생한 점, 해킹 대상 지갑에 보관된 모든 자산을 탈취하지 않은 점 등도 근거로 제시했다.

염흥열 순천향대 정보보호학과 교수는 “각 계좌의 개인 키를 알고 있었다면 임의적으로 선택하기 때문에 이렇게 순서대로 트랜잭션이 이루어지지 않는다”고 말했다. 이어 “이더리움 같은 경우는 거래가 발생할 때마다 가스비라고 이전에 필요한 수수료를 조금씩 빼는데도 해커는 내부 거래소를 거쳐서 갔다”고 분석했다.

염흥열 교수는 “조심스럽지만, (현재 기술상으로 봤을 때) 내부자일 가능성을 배제할 수는 없다. 여러 가능성을 두고 조사해야한다”면서 “다만 보통 해커라면, 안전성이 높은 비트코인이나 이더리움을 가져갈텐데 위믹스를 더 많이 가져갔다는 건 내부 시스템에서 접근했다는 주장에 대한 반론이 될 수 있다”고 덧붙였다.

지닥 측은 이날 오후 2차 공지를 통해 “현재 탈취된 고객자산을 실시간 모니터링하고 있으며, 대부분의 물량이 아직 현금화되지 못한 것을 온체인 데이터상 확인할 수 있다”면서 “조사 관련 사항은 기밀에 포함되며, 탈취범 특정에 도움이 안될 수 있으므로 공개가 어려운 점 양해 부탁드린다”고 말했다.

  • 좋아요0
  • 화나요0
  • 슬퍼요0
  • 추가취재 원해요0
주요뉴스
댓글
0 / 300
e스튜디오
많이 본 뉴스
뉴스발전소