국내 1위 가상자산거래소 업비트가 개인키 알고리즘 결함으로 암호가 뚫린 것으로 알려졌다.

해킹 수법이 그동안 전례를 찾아보기 힘든 방식이어서 보안업계에서는 향후 가상자산업계에 대한 강력한 보안체계 구축 필요성을 제기하고 있다.

9일 금융당국에 따르면 금융감독원과 금융보안원은 지난달 27일부터 진행한 업비트에 대한 현장 점검을 마쳤으며 해킹 수법이 개인키 탈취 방식이 아닌 개인키 알고리즘 설계를 잘못한 결함 때문이라는 잠정 결론을 낸 것으로 알려졌다.

개인키는 블록체인 지갑 주소와 자산에 접근할 수 있는 일종의 비밀번호를 말한다. 지갑에서 이뤄지는 거래는 블록체인에 기록되고 누구나 볼 수 있도록 공개돼 있다. 하지만 지갑에서 코인을 이동시키려면 개인키를 알아야 한다.

개인키는 난수 기반으로 생성되는데, 난수 생성이 단순하면 보안이 취약해진다. 금융당국은 난수를 생성하는 알고리즘의 설계 부실로 난수 조합 방식에 문제가 있어서 업비트의 개인키 보안에 허점이 생긴 것으로 파악하고 있다.

업비트는 “블록체인에 공개돼 있는 다수의 업비트 지갑의 트랜잭션을 분석하면 개인키를 추정할 수 있는 당사의 보안 취약점을 발견해 조치했다”고 밝힌 바 있다.

하지만 이 같은 업비트의 발표에 대해 솔라나코리아는 정면으로 반박하고 나섰다. 이성산 솔라나코리아 대표는 지난 5일 서울 여의도 국회에서 열린 ‘스테이블코인 시대 리더십 확보를 위한 정책 세미나’에서 “트랜잭션을 분석해 개인키를 유출할 수 있다는 주장은 성립하지 않는다”며 “그렇다면 블록체인 탐색기를 통해 모든 지갑의 개인키가 노출될 수 있다는 얘기인데, 이는 블록체인 기술의 전제를 부정하는 것”이라고 밝혔다.

단순히 트랜잭션 분석으로 개인키를 추정한 것이 아니라 개인키 생성 알고리즘의 취약성이 더해지면서 암호가 뚫렸을 가능성이 높다.

보안업계 관계자는 “그동안 이런 방식의 해킹은 없었고 사실상 처음이라서 상당히 이례적”이라며 “원화 스테이블코인 발행을 위한 제도가 추진되고 있는 상황에서 가상자산 해킹을 막기 위한 강력한 보안 대책이 필요해졌다”고 말했다.

강민국 국민의힘 의원이 금융감독원에서 제출받은 자료에 따르면 업비트 해킹 출금사고 발생시점은 지난달 27일 새벽 4시42분, 해킹 실행 완료 시간은 5시36분으로 해킹을 통한 가상자산 외부 전송시간은 54분에 불과했다.

그 시간 동안 해킹으로 털린 가상자산 규모는 솔라나 계열 24종 코인 1040억6470만4384개에 피해액은 444억8059만4889원이다. 1초당 약 3212만개(1373만원)가 빠져나갔다.

업비트는 지난 2019년 이더리움 핫월렛에서 34만2000개(약 580억원)에 이르는 이더리움을 해킹 당한 적이 있다.

당시 해킹은 개인키를 관리하는 가상자산거래소의 관리자 계정을 탈취해서 벌어진 것으로 이번에 개인키 암호를 풀어서 가상자산을 빼간 방식과는 달랐다. 이 때문에 6년 전 범인으로 지목된 북한 해킹 조직 ‘라자루스’가 이번에 도 범행을 했는지는 단언하기 어려운 실정이다. 다만 북한을 포함해 정부 조직의 지원을 받는 해커그룹일 가능성은 열려 있다.

보안업계 관계자는 “개인키 알고리즘이 취약하다고 해도 암호를 푼 것은 해킹들 사이에서도 상당히 실력이 뛰어나야만 가능하다”며 “결과적으로 보면 난수 조합이 단순해서 뚫린 것으로 볼 수 있지만 그걸 알지 못한 상태에서 암호를 풀었다는 것은 대단한 고수”라고 말했다.

특히 해킹 발생 시점이 2019년 11월 27일 새벽과 2025년 11월 27일 새벽으로 6년 전과 정확히 같은 날이라는 점에서 의도적으로 시간을 맞춘 것으로 보인다.

일각에서는 해커가 이미 6개월 전에 암호를 풀었고 공격 시점을 6년 전 같은 시간으로 잡았을 것이라는 말도 나오고 있다.

보안업계에서는 제3자 보안성 점검을 강화해야 한다는 지적을 하고 있다. 외부 전문가나 기관이 보안 취약점 및 관리 실태를 점검하는 것을 말한다.

금융당국은 가상자산 2단계 입법에 전자금융거래법과 동일한 수준의 보안 규정과 배상 책임을 물리는 방안을 검토하고 있다. 전자금융거래법은 전자금융업자에게 거래 안전성·신뢰성을 확보할 것을 의무로 규정하고, 불가피한 사고 위험에 대한 시스템 관리자로서 금융기관의 무과실 책임까지 인정하고 있다.

업비트의 ‘늑장 신고’ 논란도 일고 있다. 업비트는 지정하지 않은 지갑 주소로 가상자산이 전송된 정황을 27일 새벽 4시 42분에 확인하고도 금감원에 유선 보고한 시점은 약 6시간이 경과된 10시 58분이며, 시스템을 통해 문서로 공식 보고한 시점은 11시45분이기 때문이다.

이에 대해 업비트 운영사인 두나무는 “해킹 발생 시 기업의 보고 의무는 ‘정보통신망법’에 근거하며, 사고 인지 후 24시간 이내 한국인터넷진흥원(KISA)에 신고해야 하는데, 업비트는 사고 발생 당일 KISA에 신고했다”며 “금융당국에 대한 보고 의무는 규정에 따라 해킹을 인지·발견한 날의 ‘익영업일’까지 금융정보교환망(FINES)로 보고해야 하는데, 업비트는 사고 당일 금감원에 보고했다”고 밝혔다.

이경기 기자 cellin@naeil.com