가상화폐 거래소의 보안, 클라우드와 프라이빗 키가 지킨다

[IT동아 강일용 기자] 비트코인(Bitcoin), 이더리움(Ethereum) 등 가상화폐가 인터넷 상의 새로운 대체화폐와 투자수단으로 각광받고 있다. 이러한 가상화폐의 호황으로 개인끼리 가상화폐를 거래할 수 있는 가상화폐 거래소도 가상화폐 못지 않은 호황을 누리고 있다.

가상화폐가 화폐라면, 가상화폐 거래소는 은행과 유사한 서비스라고 할 수 있다. 기술과 금융이 만난 핀테크 서비스인 셈이다. 때문에 은행 못지 않게 보안이 중시된다고 할 수 있다.

해커가 가상화폐 거래소에 침입해 가상화폐를 빼돌리면, 은행이 해킹된 것 못지 않은 피해가 발생한다. 실제로 얼마 전 국내의 한 가상화폐 거래소는 해킹으로 3831 비트코인(당시 시세 기준 약 55억 원)을 도난 당해 이용자들에게 엄청난 피해를 주기도 했다.

이러한 피해를 막기 위해 여러 가상화폐 거래소가 보안에 심혈을 기울이고 있다. 국내 3대 가상화폐 거래소 가운데 한 곳인 코빗은 클라우드 서비스를 활용해 가상화폐 거래를 안전하게 중개하고 있다. 코빗의 클라우드 서비스 활용 사례에 대해 자세히 알아보자.

코빗은 비트코인, 이더리움 등 가상화폐를 개인이 구매하거나 판매할 수 있도록 중개해주는 서비스다. 6월 셋째주 기준 하루 평균 1만 2,700 비트코인과 25만 7,000 이더리움이 코빗을 통해 거래되고 있다. 사실 코빗을 포함한 가상화폐 거래소는 은행이라기 보다는 개인간의 안전한 거래를 중개하는 에스크로 서비스에 더 가깝다. 개인의 가상화폐 거래를 중개하기만 하고 개인의 가상화폐를 보관하거나, 운용해 수익을 올리지는 않기 때문이다.

코빗은 가상화폐가 각광받기 시작한 2013년에 설립되었다. 채굴(마이닝), 해외결제 등으로 어렵게 구해야 했던 가상화폐를 개인이 좀 더 편하고 안전하게 구매할 수 있도록 하는 것이 목표다. 처음에는 비트코인 위주로 거래를 중개했지만, 작년부터는 이더리움 중개도 지원하기 시작했다. 현재는 리플(Ripple), 라이트코인(Litecoin), 모네로(Monero), 제트캐시(Zcash) 등 거의 대부분의 가상화폐 거래를 중개하고 있다. 국내에서 제공하는 서비스답게 서비스에 가입하려면 이동통신사를 통한 본인 인증 절차가 필요하다. 사기를 방지하고, 기존 은행과 제휴를 진행하기 위함이다.

가상화폐 거래소의 모든 서비스를 클라우드 위에 올리다

박상곤 코빗 CTO(최고기술책임자)는 일리노이 대학교에서 컴퓨터공학을 전공한 후 액센추어 등 미국의 컨설팅 기업에 다니다가 2014년 코빗에 합류한 개발자다. 일반 개발자로 시작해 현재는 CTO 역할을 하고 있다. 코빗 서비스에 새로운 기능을 추가하고, 보안을 강화하는 것도 박 CTO의 임무다. 코빗은 어떻게 클라우드를 활용해 보안을 강화하고 있는 것일까? 박 CTO에게 그 기술적 원리에 대한 설명을 들었다.

"코빗의 많은 서비스가 아마존웹서비스(AWS)가 제공하는 클라우드 위에서 제공되고 있습니다. 웹 서버, 비트코인 서버, 데이터웨어하우스 등을 클라우드 상에 올려놓았습니다."

"코빗은 서비스를 처음 시작한 2013년부터 클라우드를 이용해왔습니다. 서버를 쉽게 관리할 수 있고, 서버 확장도 용이하기 때문입니다. 사용자가 몰려 서비스 사용량이 폭주해도 손 쉽게 서비스 규모를 증감할 수 있는 것도 클라우드를 서비스 인프라로 선택한 이유입니다."

"무엇보다 개인이 가상화폐를 안전하게 거래할 수 있도록 안전한 중개 서비스를 만드는데 클라우드가 많은 도움이 되었습니다. 가상화폐 거래소는 보안이 제일 중요합니다. 보안이 허술한 거래소는 사용자의 신뢰를 받을 수 없습니다."

"신뢰할 수 있는 가상화폐 거래소를 만들기 위해 코빗은 다양한 보안 기술을 이용하고 있습니다. AWS클라우드가 제공하는 각종 보안 서비스, 가상화폐 보관은 콜드월렛에 가상화폐 거래는 핫월렛에서 진행하는 분리 저장 시스템, AWS 클라우드의 'VPC(Virtual Private Cloud)'에 핫월렛의 '프라이빗 키(Private key, 비트코인 거래를 위해 개인임을 식별할 수 있는 암호화된 가상 열쇠)'의 일부만 올려두는 보안 정책, 블록체인(Blockchain) 멀티 시그니처 기술을 활용한 제 3자 인증 시스템 등이 코빗이 이용하는 보안 기술입니다."

VPC: 가상 사설 클라우드. 외부 인터넷에서 접근하지 못하도록 분리된 클라우드 공간을 의미한다.
Blockchain: 가상화폐 생태계 유지를 위한 분산 데이터베이스 관리 시스템(DBMS). 모든 비트코인 거래 내역이 기록된 공개 장부라고 할 수 있다. 거래에 참여하는 모든 사용자에게 거래 내역을 보내 주며, 거래 때마다 이를 대조해 데이터 위변조를 방지하는 것이 특징이다.

가상화폐 보관은 오프라인 스토리지로, 거래는 클라우드로

"클라우드를 활용한 비트코인 거래 시스템을 이해하려면 먼저 '핫월렛(Hot wallet)'과 '콜드월렛(Cold wallet)'의 개념을 이해해야 합니다. 핫월렛은 가상화폐 거래를 위해 온라인에 연결된 지갑입니다. 콜드월렛은 가상화폐의 안전한 보관을 위해 온라인과 연결을 끊은 지갑입니다."

"평소 코빗은 거래를 위한 예비 비트코인과 사용자가 맡긴 비트코인을 콜드월렛 형태로 스토리지(저장장치)에 보관하고 있습니다. 인터넷에 연결되어 있지 않기 때문에 외부에서 침입할 수 없습니다."

"사용자가 거래나 출금을 위해 비트코인을 요청하면 핫월렛이 활성화됩니다. 핫월렛에서 사용자의 비트코인 출금 요청(Bitcoin transaction)을 프라이빗 키로 서명합니다. 때문에 해커의 공격으로부터 1차적으로 안전합니다."

"이후 블록체인의 멀티 시그니처 기술을 통해 코빗과 동일한 정책(하루 가상화폐 거래 한도, 가상화폐 보관 방식 등)을 펼치고 있는 제 3자 업체(기업용 가상화폐 지갑(Enterprise wallet)을 제공하는 업체)가 모두 자신의 블록체인 키로 서명을 해야 비트코인 출금이 실행됩니다. 이 업체들은 상 징후가 발견되면 서명을 하지 않습니다. 이 멀티 시그니처 기술 덕분에 해커의 공격으로부터 2차적으로 안전합니다."

"즉, '거래 요청 > 핫 월렛에 프라이빗 키만 클라우드에 업로드 > 블록체인 멀티 시그니처를 활용한 제 3자 서명 > 실제 가상화폐 출금'의 형태로 거래가 이뤄지고 있는 것입니다."

"사용자가 거래 요청을 해도 비트코인이 콜드 월렛에서 핫 월렛으로 이동하는 경우는 거의 없습니다. 거래를 위해 코빗이 보유한 핫 월렛의 잔고가 부족할 때에만 콜드 월렛에서 핫 월렛으로 비트코인 충전을 요청할 뿐입니다. 이렇게 거래 시 2중으로 보안이 유지되기 때문에 사용자는 안심하고 가상화폐 거래를 진행할 수 있습니다. 코빗 뿐만 아니라 상당수의 전 세계 신뢰할 수 있는 가상화폐 거래소가 이와 유사한 출금 시스템을 갖추고 있습니다."

안전한 가상화폐 거래, 시스템뿐만 아니라 사람 관리도 중요하다

박 CTO는 가상화폐 거래소의 보안 문제는 IT 시스템보다는 이를 운영하는 사람에게서 비롯된 경우가 많다고 설명했다. 즉, 가상화폐 거래 기술과 시스템이 해킹당하는 것보다 가상화폐 거래 업체 직원의 실수로 문제가 발생하는 경우가 더 많다는 것이다.

"가상화폐가 외부로 유출되는 문제는 기술적인 해킹보다 사람이나 업체에서 발생한 사회적인 허점인 경우가 더 많습니다. 해커가 대표 이름으로 피싱을 시도했는데 직원이 순진하게 이에 따른 경우도 있고, 직원의 이메일로 해킹 프로그램을 보내 침투한 경우도 있습니다. 때문에 가상화폐 거래소는 내부 직원 관리가 철저해야 합니다. 코빗 역시 철저하게 내부 직원들에게 보안 관련 교육을 하고, 시스템을 운영하고 있습니다."

'클라우드(Cloud)가 세상을 변화시킨다.' 이제는 4차 산업혁명, 나아가 디지털 트랜스포메이션 시대에서 핵심적인 역할을 하는 최첨단 정보기술(IT) 클라우드의 중요성에 대해 어느 누구도 부인하지 않습니다. 하지만 일선 비즈니스 현장으로 들어가면 '과연 많은 돈을 들여 클라우드를 써야 하는 것일까'하는 의문은 남아있습니다. 비즈니스인사이트와 IT동아는 클라우드가 미디어부터 제조업, 유통업, 금융업, 스타트업 등 실제 산업 현장에서 어떻게 적용되고 있고, 향후 어떻게 비즈니스 생태계를 변화시킬 것인지에 관해 비즈니스맨들에게 인사이트를 제공하고자 합니다. 오늘부터 클라우드가 바꾸는 비즈니스 환경, 다시 말해 Biz on Cloud라는 주제로 연재를 시작합니다.

비즈니스인사이트 바로가기(http://m.blog.naver.com/PostList.nhn?blogId=businessinsight&categoryNo=0)

글 / IT동아 강일용(zero@itdonga.com)