“국내 프로젝트 대부분 매뉴얼로 접근, 휴먼 리스크”
ISMS 취득했던 오지스는 내부자 소행 추정
최근 3개월간 갤럭시아부터 오지스, 썸씽까지 국내 가상자산 기업에 대한 해킹 사고가 이어지고 있다. 연이은 사고에 가상자산 업계가 뒤숭숭한 가운데, 전문가들은 프로젝트들이 보안과 내부통제 시스템에 더 투자해야 한다고 입을 모은다.
1일 가상자산 업계에 따르면 지난 3개월간 한 달에 한 번꼴로 국내 가상자산 재단과 기업에 대한 코인 탈취 사건이 발생했다. 먼저 지난해 11월 갤럭시아SG는 재단 지갑에 있는 갤럭시아 토큰 3억 8000개를 해킹당했다. 당시 시세 기준 약 32억 3000만 원 정도이다. 지난달 1일에는 오지스가 오르빗 체인에 있는 1080억 원 규모 가상자산을 도난당했다. 같은달 27일에는 썸씽이 시장에 유통되지 않은 자사 코인을 180억 원어치를 탈취당했다. 글로벌 웹3 보안기업 서틱이 매달 발간하는 월간 가상자산 시장 보안사고 리포트에서 두 회사는 12월(오지스)과 1월(썸씽) 각각 피해 규모 1등을 차지했다. 오지스는 현재 내부자 연루 가능성을 사측에서 제기했고, 썸씽은 외부 소행으로 추정된다고 밝혔다.
썸씽과 오지스는 정보보호인증 체계를 받은 상태였다. 오르빗은 지난해 한국인터넷진흥원(KISA)에서 ISMS(정보보호관리체계) 인증을 받았고, 썸씽 운영사 이멜벤처스는 2022년 국제표준화기구(ISO)가 지정한 ISO/IEC 27001 국제표준 규격 인증을 취득했다.
업계에서는 가상자산 보안사고 위협이 나날이 증가하는 가운데, ISMS 등 정보보안 인증이 안전을 완전히 보장하지 않는다고 입을 모은다. ISMS 인증을 받았던 지닥 역시 2023년 3월 해킹으로 당시 시세 기준 약 190억 원에 달하는 피해를 본 바 있다.
오지스의 경우 2020년과 2022년에 자사가 개발한 서비스에 해킹이 발생한 이후 ISMS를 취득했지만, 이번에 또 해킹이 발생했다. 오지스 측은 해킹 사건 원인이 전 CISO(최고정보보호책임자) A씨가 방화벽을 취약하게 만든 탓이라고 주장하며 내부자 연루 가능성을 제기했다. 오지스는 현재 A 씨를 상대로 손해배상청구소송을 낸 상태다.
가상자산 업계에서는 기업 규모가 크고 보안에 투자를 많이 하는 가상자산 거래소와 달리 국내 코인 발행 프로젝트의 보안 체계가 취약할 것이라고 입을 모은다. 실제로 이멜벤처스는 직원 30명, 오지스는 직원이 58명인 작은 스타트업이다.
보안 무사고를 기록한 가상자산 거래소 코인원의 경우 전체 직원이 200여 명인데 보안 조직 전체 인력 대비 10% 수준으로 일반 IT기업보다 많다. 또 코인원은 정보보호 예산은 IT 파트 전체 예산의 약 30%로 3분의 1 수준으로 투자하고 있다. 코인원은 외부 기관을 통해 보안 아키텍처를 주기적으로 점검하고 전문 컨설팅도 받고 있다.
김지혜 쟁글 비즈니스솔루션 본부장은 “메인넷이나 디앱 같은 경우, 스마트 컨트랙트에 대한 기술감사(Audit)를 정기적으로 받는 것을 추천한다”면서 “특히, 대부분의 국내 프로젝트가 시스템 없이 메뉴얼로 접근 권한 또는 키 관리를 하는 상황이라 휴먼 리스크가 높은 것으로 보인다. 이를 관리할 수 있는 툴 이나 시스템을 도입하는 것이 최우선”이라고 말했다.
황석진 동국대학교 국제정보보호대학원 교수는 “오지스의 경우 직원 내부 소행으로 추정된다고 회사에서 직접 밝혔는데, 직원의 일탈이라 해도 회사의 책임이 작아지는 게 아니다”라면서 “회사 내부 통제 시스템의 실패로 볼 수 있으므로 회사의 책임이 크다라고 볼 수 있다”고 말했다.