"작년에만 3조원 도난에, 글로벌 1위도 탈취"…보안 사각지대에 놓인 가상자산 거래소

작년 해킹 피해액 전년比 21%↑…수법도 고도화

오픈AI '달리(DALL-E)'를 이용해 만든 이미지. [자료=DALL-E]

최근 미국 최대 가상자산거래소인 코인베이스에서 고객 개인정보 유출 사고가 발생했다. 글로벌 1위 거래소조차 해킹 위협에서 자유로울 수 없다는 사실이 드러나면서 국내 거래소 보안에 대한 우려도 도마에 올랐다.

19일 가상자산업계에 따르면 최근 코인베이스는 해킹 공격으로 일부 고객 계정 정보가 외부에 노출됐으며 그 피해 규모가 최대 4억 달러(약 5400억원)에 이른다고 공시했다. 유출된 고객 정보는 전체 고객 중 1%가 되지 않는 것으로 파악됐다. 

이번 사고는 단순한 서버 침입을 넘어 개별 이용자 개인정보가 탈취됐다는 점에서 심각성을 더했다. 개인정보가 유출되면 보이스피싱, 2차 금전 요구 등 범죄로 이어질 위험이 크기 때문이다.

가상자산 시장 성장세가 가팔라지면서 해킹 피해 규모도 갈수록 커지고 있다. 글로벌 블록체인 데이터 분석기업 체이널리시스의 '2025 가상자산 범죄 보고서'에 따르면 지난해 전 세계 가상자산 해킹 피해액은 22억 달러(약 3조1000억원)로 전년 대비 21% 증가했다. 해킹 건수도 282건에서 303건으로 늘어났다.

해킹 수법 또한 점차 고도화하며 탐지와 대응이 더 어려워지고 있다. 최근 가상자산 해커들은 인공지능(AI)과 머신러닝을 활용해 실시간으로 다양한 공격 경로를 만들어 해킹하는 형태로 발전하고 있다. 또 내부 직원과 협력업체를 대상으로 위장 접근하거나 사람 심리를 이용한 해킹 사례도 늘어나고 있다.

이는 국내 시장에도 경각심을 불러일으키고 있다. 이미 2017년 빗썸에서 개인정보가 약 3만건 유출됐으며, 2018년에는 350억원 상당 가상자산이 도난당했다. 2019년에는 업비트가 북한발 해킹으로 당시 기준 580억원에 상당하는 이더리움을 탈취당했다. 올해 2월 말에는 게임사 위메이드가 발행한 위믹스 865만4860개(약 90억원)가 불법 인출되는 사고가 발생했다.

국내 거래소들은 해킹 사고를 사전에 막기 위해 보안 수준 강화에 나서고 있다. 빗썸은 지난 2월 말 총 8차례에 걸쳐 전 임직원 대상 미공개 중요 정보 이용 행위 금지 교육을 진행했으며, 업비트는 앞서 외부 전문가들로 구성된 개인정보보호 자문위원회를 구성했다.

여기에 5대 가상자산거래소(업비트·빗썸·코인원·코빗·고팍스)는 최근 금융보안원 가입을 마쳤다. 금융보안원 가입 시 거래소는 통합보안관제 서비스, 위협 정보 공유, 침해 위협 및 침해 사고 대응, 취약점 분석 및 평가, 보안 관련 교육 등에서 지원을 받을 수 있다.

그러나 전문가들은 아직 거래소의 내부통제 한계가 분명해 여전히 취약점이 남아 있다고 지적한다. 최경진 가천대 법대 교수는 "거래소는 개인정보 유출되면 즉각적으로 가상자산이 탈취될 가능성이 크다"며 "현재 거래소들은 정보 보호까지 관리하는 인증인 ISMS에 이어 개인정보까지 관리할 수 있는 ISMS-P 인증을 획득하고 있는데, 사업자 신고 시 이를 의무화하는 방안이 필요하다"고 말했다.