비트코인 거래소의 해킹과 다중서명방식(multi-sig)에 대한 도전

지난 수요일 홍콩의 대형 비트코인 거래소 Bitfinex가 해킹을 당했고, 이로 인해 약 119,756개의 비트코인을 잃은 것으로 확인되었다. Bitfinex의 Zane Tackett에 따르면 이 업체는 오프라인 서버에 비트코인을 저장하지 않았으며, 모든 비트코인을 온라인에서 관리하고 있었다고 한다. 때문에 Bitfinex는 해킹이 확인된 이후 추가 손실을 방지하기 위해 모든 거래를 중단시켜야 했다. 한편, 보안 파트너사인 Bitgo 측에서는 자신들의 서버가 해킹된 흔적이 없다고 트위터를 통해 밝혔다. 홍콩에서는 지난 2015년에도 한 차례의 비트코인 스캔들이 있었는데, 당시 MyCoin이라는 거래소의 창업자들이 810만 달러에 달하는 비트코인을 횡령하여 도주한 바가 있다.

테크니들 인사이트
’14년 Mt.Gox 거래소 해킹 사태와 달리, 이번 해킹은 하나의 에피소드로 치부될 문제가 아니다. 어쩌면 블록체인 인증방식에 대한 장미빛이 가득했던 업계 전반에 찬물을 끼얹을 수도 있는 소식이라 하겠다. Bitfinex는 블록체인 인증기업인 Bitgo와 파트너십을 맺고 multi-sig 인증(일부 국내외 기업들의 인증 S/W도 유사한 모델을 차용하고 있다)을 지원하고 있는데, 이는 각 비트코인 거래별 승인을 위해 사용자와 Bitfinex, Bitgo의 3자중 2개 Private Key가 반드시 요구되는 안전한 모델이라고 믿어져왔다. 이번 사례에서 각 개별 사용자는 Key를 제공하지 않았지만, 해커는 Bitfinex와 Bitgo의 Key를 성공적으로 획득해서 수천만 달러의 거래를 승인한 상황이다. (여기서 일부 사용자는 Bitfinex에 2개의 Key를 제공하였고, 이 경우 1개의 Key는 오프라인 스토리지에 보관된다. Bitfinex는 현재 오프라인 스토리지의 사용자 Key는 탈취된적이 없다고 주장하고 있다. 즉, 단순히 Bitfinex로부터 2개를 탈취하여 해킹이 성공한 것은 아니라는 의미이다.)

이번 해킹 방식에 몇 가지 시나리오가 있지만 두 회사 모두 상황을 조사중이기 때문에 원인을 단정짓기는 어렵다. 다만 Reddit 등의 커뮤니티에서는 Bitgo가 Bitfinex의 거래를 무분별하게 승인만 해주는 회사였다면 결국은 중간에 사람이 개입해서 이상거래 등을 모니터링했어야 한다는 의견까지 나오는 상황이다. Bitgo는 이 분야에 가장 신뢰도가 높은 기업이었고 이를 도입한 대형 거래소가 또 있기 때문에 이번 사례는 당분간 비트코인의 가치 하락에도 영향을 줄 수 있을거라고 생각한다.

관련 기사 | 이미지 출처: Masahble

Jihwan Kim

현재 삼성카드 디지털기획팀에서 사업기획을 담당하고 있습니다. 그 전에는 KT에서 모바일 마케팅 업무를 하였으며, 듀크MBA 과정을 2016년에 마쳤습니다. 핀테크와 블록체인이 주된 관심 분야입니다.

More Posts