FBI, 해커 ‘흔적’ 좇아 코인 회수…네트워크 해킹은 못 해

리사 모나코 미국 법무부 부장관이 지난 7일(현지시간) 해커에게 빼앗긴 암호화폐를 회수했다고 발표하고 있다. [AP=연합뉴스]

미국 연방수사국(FBI)은 7일(현지시간) 송유관을 해킹한 러시아 단체로부터 비트코인을 되찾았다고 발표했다. 이들은 송유관 기업에 랜섬웨어(시스템·데이터를 잠그고 대가를 요구하는 악성 프로그램)를 퍼트리는 방식의 사이버 공격을 하고, 원상 복구의 대가로 비트코인을 요구했다. 그러데 FBI가 이 과정에서 비트코인 지갑의 ‘개인키’를 추적했다는 내용이 큰 이슈가 됐다. 암호화된 개인정보인 개인키의 추적 가능성은 블록체인 네트워크의 해킹 확률로 이어질 수 있는 큰 사건이다. 이날 비트코인 가격은 10% 넘게 하락했다.

이 사건으로 많은 사람이 블록체인의 보안성에 의구심을 갖기 시작했다. 그동안 블록체인은 해킹에 안전하고, 익명성이 현존하는 그 어떤 시스템보다 뛰어난 것으로 알려졌기 때문이다. 비트코인이나 이더리움 등 각종 암호화폐 가격도 이 같은 익명·보완성을 바탕으로 형성됐다. 만약 블록체인 기술이 많은 사람이 알고 있는 것처럼 ‘철옹성’이 아니라면, 암호화폐 가격은 크게 출렁일 가능성이 크다.

결론부터 말하자면, 블록체인 기술은 현존하는 철옹성이 맞다. 블록체인도 해킹이 가능하다고 생각하는 건 블록체인 기술이 갖고 있는 성격에서 비롯된 오해다. 우선 이번 사건은 블록체인 네트워크의 해킹이 아니다. 암호화폐 탈취는 블록체인 네트워크와는 관계가 없는 경우가 대부분인데, 많은 사람이 이를 무의식적으로 인과관계로 받아들이는 경향이 있다. 1세대 블록체인인 비트코인 네트워크조차 전 세계의 모든 수퍼컴퓨터의 연산력을 동원해야 겨우 해킹을 시도해 볼 만하다. 이것 역시 이론적으로만 존재한다. 전문가들은 현실적으로는 해킹이 불가하다고 입을 모은다.

그래픽=박춘환 기자 park.choonhwan@joongang.co.kr

암호화폐 탈취나 검거 과정은 대부분 블록체인 네트워크 이외의 영역에서 일어난다. 미국 송유관 사건의 경우 업계 관계자들은 러시아 해커 집단이 이용한 클라우드 서버 기록이 수사의 단초가 됐을 것으로 짐작하고 있다. FBI가 자세한 내용을 밝히지 않았기 때문인데, 비트코인 선구자로 잘 알려진 블록스트림 공동 창업자 아담 백도 8일 자신의 트위터 계정에 이 같은 취지의 글을 올렸다. 결국 수사기관이 암호화폐를 환수할 수 있었던 것은 블록체인 네트워크의 해킹이 아니라 범죄자가 남긴 또 다른 흔적 때문일 것이라는 분석이다.

블록체인 네트워크 밖 범죄가 가장 빈번하게 발생하는 공간은 암호화폐 거래소다. 암호화폐는 거래소를 거쳐 현금화 과정을 거치는데, 이 때 흔적이 남기도 한다. 예를 들어 개인 암호화폐 계좌 정보와 거래소 내 계좌 정보를 대조하거나, 거래 기록 조회 등으로 이용자 신원 특정이 가능한 것이다. 여러 은행에 다른 번호의 계좌를 가진 동일인 간 거래가 발생하는 상황을 생각하면 된다. 올해 초 서울시는 고액체납자 676명에게서 251억 상당의 암호화폐를 압류했고, 7일에는 경찰이 해커가 해외에 은닉한 암호화폐 범죄수익금을 환수했다. 모두 국내외 암호화폐 거래소와의 공조를 통해 용의자들의 신원을 파악한 사례다.

이처럼 암호화폐 탈취 및 환수 사례의 대부분은 블록체인 네트워크 밖에서 발생한 이벤트로, 블록체인 네트워크의 기술적인 측면과는 직접적 관계가 없다. 다만, 이번 사건을 계기로 분명히 알고 넘어가야 할 게 있다. 블록체인의 익명성이다. 블록체인의 익명성은 완전무결하다는 과도한 믿음이 있는데 절대 그렇지 않다. 서비스 목적에 따라 익명성의 정도가 달라진다. ‘공공 블록체인’은 투명성을 앞세우기 때문에 익명성이 최우선 가치가 아닌 경우가 많다. 실제 암호화돼 있기는 하지만 거래 정보의 대부분을 열람할 수 있다. 따라서 익명성보다는 ‘가명성’란 표현이 더 알맞을 것이다.

‘기업 블록체인’은 실명제에 가까운 서비스를 제공한다. 해외송금 목적의 암호화폐 리플은 해외 송금 거래 가능 은행을 지정하고 있다. 카카오의 암호화폐 클레이는 카카오톡의 암호화폐지갑에서 전송되기 때문에 손쉽게 사용자 신원 파악이 가능하다. 이런 의미에서 기업 블록체인 서비스는 앞으로도 법적 장치를 통해 개인정보 보호 정도의 적절한 익명성을 유지할 것으로 예상된다.

물론 익명성을 극대화한 블록체인 기반의 암호화폐도 존재한다. 하지만 이들 암호화폐의 입지는 갈수록 좁아지고 있다. 소위 ‘다크코인(Darkcoin)’으로 불리는 이들 암호화폐는 개인정보 보호를 절대적 차별점으로 앞세워 잠시 인기를 끌었지만, 점점 돈세탁·마약매매 등 불법 거래의 주요 수단으로 활용되면서 국제 사회의 집중 감시를 받고 있다. 각국 정부의 공조 분위기 속에 암호화폐의 거래소는 다크코인을 퇴출하고 있다. 우리나라 정부도 2020년 11월 발표한 특금법 개정안 시행령에 ‘가상자산 거래소의 다크코인 유통을 금지한다’라고 명시했다.

결론적으로 암호화폐 자체는 현재 기술로는 해킹이 불가하므로 블록체인 기술을 바탕으로 한 정보보안 문제는 의심할 필요가 없다. 다만 암호화폐를 현금화하는 과정은 일반 은행 거래와 비슷해 사고가 일어날 수 있다. 블록체인을 기반으로 한 암호화폐라도 보안은 만능이 아니라는 점을 명심해야 한다.

최화준 아주대 경영대학원 겸임교수
연세대에서 영어영문학을, 미국 펜실베니아대에서 경제학을 공부하고 프랑스 HEC파리에서 경영학 석사, 연세대에서 기술경영학 박사과정을 수료했다. 한국에 와서 블록체인 컨설팅 프로젝트를 진행하기도 했다.