필자는 예전에 글로벌 거래소인 후오비가 만든 후오비 월렛의 송금 비밀번호를 잃어버린 적이 있었다. 비밀번호는 10회가 지나면 별도 인증을 해야 하는데 도저히 기억나지 않았다.

문득 지갑을 만드는 방식을 생각하다가 이더리움 외에 다른 코인의 송금을 확인해보았다. 결과적으로 송금 비밀번호 인증 횟수는 각 코인마다 따로 설정되어 있었다.

결과적으로 비밀번호를 풀 수 있었다. 이 보안적인 취약점을 나는 후오비 월렛 커뮤니티를 통해 개발팀에 전달 했다.

최근 여러 거래소를 한번에 관리하는 종합 관리가 가능한 가상화폐 월렛 서비스가 인기를 끌고 있다. 카피 트레이딩을 비롯하여 사용자의 편의 기능이 있어 많은 인기를 끌고 있다.

결론적으로 몇몇 지갑은 개인이 가상화폐 거래소 연동을 위해 등록한 비밀번호를 암호화하지 않고 저장하거나 앱 서버에 저장하고 있었다.

이 경우 가상화폐 월렛 서버가 해킹되면 고객의 가상화폐 거래소 계정 전체가 유출될 수 밖에 없다. 더구나 특정 월렛의 경우 사용자의 가상화폐 거래 로그를 수집하여 본인들의 가상화폐 트레이딩 사업에 사용하고 있는 경우도 있었다.

최근 중국 거래소에서 흥행한 타인의 가상화폐 트레이딩 정보를 하나의 상품으로 코인 투자자에게 판매하는 카피 트레이딩이 인기를 끌고 있다. 수익율이 좋은 코인 투자자의 코인 거래 정보는 돈이 된다.

이런 점을 노리고 거래소 통합 월렛 서비스 업체들이 통합 코인 계좌 관리 서비스를 제공하고 개인의 투자 정보를 불분명하게 이용하고 있는 것이다.

보안의 입장에서는 가상화폐를 보유한 자산이 하나의 앱에 패스워드를 포함하여 저장하고 있다면 그 위험성은 높다고 할 수 있다.

가상화폐 투자를 하고 있다면 다음과 같이 가상 화폐 자산 운영 규칙을 가질 필요가 있다.

1. 거래소에 보관할 경우 OTP와 같이 2차 인증 수단을 등록한다.
2. 개인 지갑의 경우 메타마스크를 비롯하여 시장에서 검증된 지갑만 사용한다.
3. 공공 장소 및 보안이 허술한 곳의 와이파이를 사용하지 않는다.
4. 앱스토어 외에 APK를 다운받아 사용하지 않는다.
5. 가상화폐 거래소 사이트를 카피한 가짜 사이트가 많기 때문에 네이버 등 검색 엔진을 통해 거래소 웹사이트에 접속한다.

은행의 경우 통합 계좌 관리를 위한 보안 및 정책 가이드가 있기 때문에 금융 자산 통합 관리의 경우 큰 위험성이 없다. 하지만 가상화폐 거래소는 아직 민간의 영역이고 보안이 금융권 수준으로 되어 있지 않다. 더구나 해외 가상화폐 거래소에서 해킹을 당하면 보상을 받기 힘들고 해킹 문제가 개인의 부주의로 몰고 가는 경우가 많다. 해외 거래소의 경우 유명 거래소라도 거래소 소재지가 모호하고 법적으로 소송을 하기 힘들다.

그래서 개인의 가상화폐 자산 관리에 있어 개인의 책임과 주의가 그 어느 때보다 중요한 시점이 되었다.

필자 소개: 베타랩스 김호광 대표는 블록체인 시장에 2017년부터 참여했다. 나이키 Run the city의 보안을 담당했으며, 현재 여러 모바일게임과 게임 포털에서 보안과 레거시 시스템에 대한 클라우드 전환에 대한 기술을 지원하고 있다. 최근 관심사는 사회적 해킹과 머신 러닝, 클라우드 등이다.