빗썸에서 140억원 규모의 암호화폐가 비정상적으로 유출되면서 다시 한 번 보안에 구멍이 뚫렸다. 최근 3년간 빗썸에서 보안 관련 이슈가 발생한 만큼 빗썸의 보안 수준이 3년째 제자리걸음이라는 지적을 피하기 어려워 보인다.
1일 암호화폐 업계에 따르면 지난달 29일 빗썸에서는 140억원 규모의 암호화폐(EOS, 이오스)가 비정상적인 방법으로 유출됐다.
이번 사건은 30일 영국의 이오스 모니터링 'EOS 어쏘리티'를 통해 드러났다. 어쏘리티는 30일 "빗썸 EOS 계정에서 의심가는 행위가 포착돼 빗썸이 도움을 요청해왔다"며 "5300만개 EOS 가운데 300만개의 EOS가 탈취됐다"고 밝혔다. EOS 300만개는 약 145억원 규모다.
빗썸은 이번 사건이 내부자 소행이라고 해명했다. 빗썸은 "29일 오후 10시경 일부 암호화폐에 대한 비정상적 출금행위가 발생했다는 사실을 인지하고 전체 암호화폐에 대한 입출금 서비스를 같은날 오후 11시부터 중단시켰다"며 "이번 출금 사고는 외부 공격이 아닌 내부자 소행으로 판단중"이라고 설명했다.
이어 "점검 결과 외부 침입 흔적이 전혀 발견되지 않았고 최근 전사적인 비용 절감, 전직 지원을 통한 희망퇴직 실시 등으로 회사에 불만을 갖거나 퇴직하면서 한 몫을 노린 일부 직원이 이 같은 행위를 저질렀을 것"이라며 "현재 경찰과 관계당국에 신고를 통해 암호화폐 입출금 시스템 점검과 사고 원인 조사를 진행중"이라고 덧붙였다.
다만 빗썸은 "사고 발생 후 회원들의 자산 유출 등 피해는 전혀 발생하지 않았고 회원들의 자산은 회사 규정에 따라 콜드월렛에 100% 안전히 보관돼 있다"며 "현재 비정상적으로 출금된 일부 암호화폐는 핫월렛에 보관된 회사 보유분으로 확인됐다"고 강조했다.
문제는 보안에 허점이 드러난 게 이번이 처음이 아니라는 점이다. 빗썸은 지난해에도 억단위 암호화폐를 탈취당했다. 지난해 6월 빗썸에서는 e메일 피싱을 통해 350억원 규모의 암호화폐가 유출됐다.
e메일 피싱을 통한 해킹은 고전적인 해킹 수법 가운데 하나로 거래소 직원 컴퓨터에서 시작해 서버로 침투하는 방법이다. 악성코드가 담긴 문서를 e메일을 통해 보낸 뒤 직원이 파일을 열어보면 컴퓨터가 감염되는 방식으로 진행된다.
당시 빗썸은 정부가 실시한 점검에서 취약 보안을 지적받아 보안조치 권고를 받았다. 그러나 정부 권고에도 불구 보안 개선을 이행하지 않은 상태에서 암호화폐 유출이 발생해 질타를 받았다. 빗썸은 이번 해킹으로 보안 취약으로 화두에 오른지 약 9개월만에 다시 한 번 오점을 남기게 됐다.
개인정보가 유출된 적도 있다. 2017년 6월 빗썸에서는 해킹으로 3만6000여명의 개인정보가 유출됐다. 개인정보는 해킹 공격을 통해 이용자 정보 3만1500여건, 빗썸 웹사이트 계정 정보 4900여건 등이 유출됐다. 유출 계정 가운데 266개에서는 암호화폐가 출금되기도 했다.
암호화폐 업계의 한 관계자는 "이번 사고는 내부자 소행이던 혹은 외부자 소행이던 간에 내외부를 떠나서 같은 업체에서 여러번 유출 사고가 발생했다는 점이 더 중요하다"며 "최근 정부 기조 역시 긍정적인 방향으로 흘러가고 있었는데 국내 거래소 중 가장 큰 빗썸에서 또 다시 사건이 발생해 업황에 영향을 끼칠까 안타깝다"고 우려했다.
관련기사
