이석우 두나무 대표가 암호화폐 거래소 보안 강화를 위해 투자자 자금을 ‘핫월렛’과 ‘콜드월렛’으로 분리해 보관해야 한다고 주장했다.

핫월렛은 입‧출금이 용이하지만 해킹에 취약해 망이 분리된 콜드월렛에 고액의 자산을 보관해야 피해를 최소화할 수 있기 때문이다.

아울러 전자지갑에 접근하는 프라이빗키를 한 사람이 보관하지 않고 최소 3개 주체가 나눠 가지는 멀티시그(Multi Sig)를 적용해야 한다고 밝혔다.

이석우 대표는 13일 서울 삼성동 코엑스에서 열린 ‘제 24회 정보통신망 정보보호 컨퍼런스’ 기조 연설을 통해 암호화폐 거래소 보안 현황과 기준을 제시했다.

이 대표는 투자자들의 암호화폐를 보관하는 전자지갑을 반드시 ‘핫월렛’과 ‘콜드월렛’으로 분리해야 한다고 설명했다.

핫월렛은 인터넷과 연결된 전자지갑으로, 입‧출금이 쉽고 빠른 대신 해킹에 취약하다. 반면 콜드월렛은 오프라인 전자지갑으로, 출금이 번거롭지만 상대적으로 해킹에 안전하다.

이석우 대표는 “거래소를 이용하기 위해서는 수시로 입출금해야 하기 때문에 핫월렛은 소액만 보관하고, 대부분의 암호화폐는 콜드월렛에 보관하는 것이 이상적이다”면서 “전체 보관화폐를 기준으로 봤을 때 수시로 입출금 되는 금액은 적은 편이기에 모두 다 핫월렛에 넣을 필요가 없다”고 밝혔다.

이 대표는 핫월렛과 콜드월렛 분리가 이뤄지지 않아 해킹을 당한 일본의 코인체크와 한국의 유빗을 사례로 들었다. 코인체크는 올해 초 핫월렛에 보관 중인 넴(NEM) 암호화폐 5700억 원어치를 해킹 당했다. 유빗의 경우 지난해 4월과 12월 두차례에 걸쳐 핫월렛에 보관 중인 프라이빗 키가 유출되면서 각각 55억 원, 120억 원의 손실을 입었다.

그는 “정확하게 밝히는 것은 영업기밀 유출이겠지만 두나무 역시 전체의 70% 이상의 암호화폐를 콜드월렛에 보관하고 있다”며 “핫월렛과 콜드월렛 분리는 반드시 이뤄져야 한다”고 말했다.

아울러 전자지갑에 접근할 수 있는 프라이빗키를 분리해 보관하는 멀티시그 기술 적용도 이뤄져야 한다고 설명했다. 

이 대표는 “키를 한사람이 보관할 경우 본인이 나쁜 마음을 먹고 자금을 유출시키거나 해커들에게 탈취당하게 됐을 때 대책이 없다”면서 “키를 3개로 쪼개 각기 다른 사람과 기관이 열쇠 갖고 있다가 최소 2개의 키가 있어야 지갑이 열리는 멀티 시그니처 방식의 프라이빗 키 시스템이 필요하다”고 지적했다.

이외에도 그는 지속적인 모니터링을 통해 이상징후를 철저히 감시해야 한다고 조언했다.

이석우 대표는 “전자지갑 뿐만 아니라 웹사이트나 애플리케이션의 취약점이나 내부직원 이메일 등을 통해 서버에 접근하는 등 다양한 방식으로 해킹이 시도된다”면서 “여러 사람으로부터 한 계좌로 거액이 입금되는 등의 이상 패턴이 나타날 경우 계정을 정지시키는 등 모니터링 시스템 구축이 반드시 필요하다”고 말했다.

[테크M = 김태환 기자(kimthin@techm.kr)]