안녕하세요, @jayplayco입니다.
코인원과 해킹당한 고객사이에서 일어난 당시 약 5천만원 정도의 규모의 피해사례가 일부 코인원의 배상으로 판결이 나서 주목을 끌고 있습니다.
해당건은 해커가 사용자의 계정정보를 가지고 로그인후 기존 암호화폐를 팔고 BTC를 구매후 2회에 걸쳐 출금한 것으로 나타납니다. 이때 특이한 것은 로그인시 비밀번호와 구글 OTP까지 세팅이 되었다는 것과, 1일 출금한도가 2천만원인데, 그 이상의 암호화폐가 출금이 된 경우입니다.
보통 암호화폐 거래소들은 2 factor 인증이라고 해서 구글의 2FA를 많이 사용합니다. 특수한 구글 앱을 설치하면 일정 시간마다 새로운 6자리 번호가 생성되는 방식으로, 핸드폰이 바뀌면 사실상 더 이상 작동을 하지 않아야 정상이긴 합니다. 하지만 이 2FA 인증 방식도 해킹이 완전 불가능한 것이 아닙니다. 결국 언제나 해킹에는 사람이라는 완벽하게 지킬 수 없는 존재가 있기 때문입니다. 그래 비교적 해킹하기 용이하지 않은 구글의 OTP까지 뚫어서 해킹을 한 범인은 성공적으로 BTC로 전환후 출금을 했습니다.
사실 여기까지는 거래소도 크게 잘못을 했다고는 볼 수 없긴 합니다. 계정정보가 해킹되는 것은 거래소 전체가 해킹된것이 아니면 사용자측에서 일어나는 일이니까요. 이는 구글 OTP 해킹까지도 부분 포함될 수 있습니다.
물론, 해커는 해외 VPN을 통해서 그동안 일상적이지 않은 IP로 접속을 했고, 그에 따른 조치가 전혀 없었다는 것은 그만큼 거래소의 보안이 허술하다는 것도 뜻할 수 있습니다.
일부 보안이 보완된 거래소들은 2FA (2 factor authentication)외에도 IP에 대한 추적을 통해 이상이 감지되었을때 문자로 재확인을 하거나, 이메일로 재확인을 하도록 하는 보안장치를 마련하기도 합니다. 업비트의 경우는 출금시 아예 카카오톡과 카카오 머니까지 연동이 되어서 승인을 해야 하는 관계로 해킹이 불가능하지는 않겠지만, 조금더 어렵게 설정이 되어 있는 상태입니다. 그외에도 이메일 승인후에야 출금이 되는 거래소도 있기도 합니다.
판결 역시 이부분에 대해서는 거래소에 손을 들어준 상황입니다.
그러나 일일 출금 제한의 경우는 거래소가 2천만원까지만 출금이 되도록 조치를 했어야 했는데, 이를 막지 않고, 전량 출금이 되어 버려서 이에 대해서는 손해배상을 2천5백만원을 하도록 판결을 내렸습니다.
개인적인 생각
매번 거래소들은 정기적으로 털리는 것 같습니다. 전세계 거래량이 가장 많고 규모가 가증 큰 바이낸스도 불과 몇달전에 7000 비트코인을 해킹 당했고, 빗썸 3천만불 해킹이 6월달에, 코인레일 3천 7백만불, 일본의 코인체크는 5억 3천만불치의 해킹을 당했었습니다.
결국 거래소는 지속적으로 해킹 위험에 노출될 수 밖에 없는 것도 사실입니다. 너무 많은 자금이 한곳에 모여있으며, 그 실질적인 자금이 암호화폐라는 형태로 실체를 가지고 각 Hot wallet과 cold wallet에 보관이 되어 있어 결국은 어떤 거래소도, 그리고 거래소를 이용하는 그 어떤 사용자도 타겟이 될 수 있습니다.
은행 온라인 거래와 비슷하게 암호화폐 거래시에는 깨끗한 PC, 모바일 환경에서 접속을 하는 것이 중요하고 사실상 거래소보다는 개인 지갑이 더 안전하다고 하기는 하나, 이것도 각각의 관리여부에 따라 결정지어지는 것 같습니다.