가상화폐가 금융 세계에 혁명적인 변화를 일으키고 있다. 하지만 절도가 놀라울 정도로 쉬운 것도 사실이다. 그렇다면 세계 최대 가상화폐 거래사이트 코인베이스 Coinbase는 블록체인의 가장 위험한 결점을 개선하기 위해 어떤 노력을 기울이고 있을까.
숀 에버렛 Sean Everett은 가상화폐가 어떤 결과를 낼지 확신하지 못한 채 가능성만 믿고 투자를 했다. 하지만 그렇게 빨리 끝날 것이라곤 예상하지 못했다.
지난 3월 그는 애플, 아마존을 포함한 모든 보유 주식을 매각했다. 그 매각 금액의 상당 부분을 코인베이스 웹사이트의 비트코인과 이더리움을 구매하는 데 사용했다. 인공 지능 신생기업 프롬 Prome의 CEO인 에버렛은 그 결단 덕분에 단숨에 부자가 될 수 있었다. 구매 후 몇 주 동안, 블록체인 기반 화폐의 가치가 기하급수적으로 상승했기 때문이었다. 그러나 그는 지난 5월 17일 수요일 밤 10시, 개를 산책시키다가 티 모바일 T-Mobile로부터 전화 한 통을 받았다. 다른 휴대폰으로 번호 이동을 할 것인지를 묻는 확인 전화였다.
에버렛이 단 한 번도 받아본 적 없는 미심쩍은 전화였다. 그는 번호 이동을 막아달라고 부탁을 했지만 때는 이미 늦은 상황이었다. 5분도 채 지나지 않아 에버렛의 휴대폰이 갑자기 먹통이 됐다. 그는 서둘러 컴퓨터로 달려갔고, 그의 가상화폐가 도난 당하는 것을 실시간으로 목격할 수 밖에 없었다.
이미 많은 알림 메일이 와 있었다. 누군가가 무단으로 그의 지메일 계정에 접속해 코인베이스 ‘지갑’이 해킹 당했다는 사실을 알리는 메일이었다. 해킹은 변경된 전화 번호 덕분에 성공할 수 있었다. 에버렛의 계정에 접속하기 위해선 두 번째 보안장치인 이중 인증코드를 문자 메시지로 받아야 했다. 해커가 갖고 있던 휴대폰에 이 인증코드가 바로 전송된 것이었다.
해커가 에버렛의 돈을 모두 훔치는 데 걸린 시간은 단 2분이었다. 당시 가치로 수 천 달러의 디지털 코인이었다. 하지만 이후 3주 동안 이더리움의 가격이 4배나 급등했다. 에버렛에겐 더 쓰라린 기억으로 남을 수밖에 없었다. 어느 습한 6월 오후, 뉴욕에 있는 커피숍에서 그를 만나기 불과 몇 시간 전에는 그 가격이 사상 최고가인 400 달러를 찍고 있었다. 한편 그 하루 전 비트코인 가격은 사상 최초로 3,000 달러를 돌파했다. 에버렛은 도난 당한 디지털 코인을 무척 아까워했다. 그는 “가치뿐만 아니라, 가격 상승분까지 도난 당한 것이나 마찬가지”라며 억울해했다.
에버렛 뿐만 아니라 다른 많은 비트코인 열광자들을 놀라게 할만한 사실은 또 있었다. 바로 그 도난이 코인베이스에서 일어났다는 점이었다. 샌프란시스코에 위치한 세계 최대 규모의 이 가상화폐 거래 사이트는 해킹을 당한 적이 없는 몇 안되는 업체 중 하나였다. 이 같은 차별성은 블록체인 세계에서 또 다른 영향력을 갖게 해주었다. 엄청난 피해액을 기록한 몇몇 해킹 사건이 전 세계 언론의 헤드라인을 장식한 바 있었다. 마운트 곡스 Mt. Gox에 투자한 초기 투자자들 거의 대부분이 돈을 잃었다. 이 거래소는 해킹 공격으로 2014년 거의 5억 달러의 비트코인을 잃었다. 작년 여름엔 홍콩의 가상화폐 거래소 비트피닉스 Bitfinex 가 7,200만달러 상당의 비트코인을 한번에 해킹 당하기도 했다.
하지만 코인베이스의 가상 요새가 해킹 공격에 뚫린 적은 단 한번도 없었다. 이 방어력 덕분에 코인베이스는 ‘가장 안전한 비트코인 구매처’라는 명성을 얻을 수 있었다. 이런 장점을 앞세워 900만 명이 넘는 고객들을 유치할 수 있었다. 이 투자자들은 코인베이스에 최소 30억 달러의 가상화폐를 보유하고 있으며, 지금까지 코인베이스 중개업체와 기관 거래소 지닥스 GDAX를 통해 250억 달러를 거래해왔다. 창립 5주년을 맞은 코인베이스는 최근 1억 달러의 신규 투자를 유치했고, 기업 가치도 16억 달러까지 올라 블록체인 업계의 첫 유니콘 기업이 되었다. 벤처 투자자이자 코인 베이스의 초기 대규모 투자자 중 한 명인 프레드 윌슨 Fred Wilson은 지난 3월 열린 한 콘퍼런스에서 “코인베이스의 보안, 신뢰, 안전은 세계적 수준이다. 솔직히 이 모든 것들은 은행들이 가진 강점”이라며 “블록체인 업계의 제이피 모건이나 골드만 삭스에 비유할 수 있다”고 밝히기도 했다.
그러나 이젠 코인베이스의 개인 고객들도 도난을 당하고 있다, 그 빈도수가 놀랍고 불안할 정도로 많은 상황이다. 윌슨 또한 경악스러운 경험을 했다. 그가 6월 초 유럽에서 휴가를 즐기고 있을 때였다. 에버렛과 마찬가지로, 윌슨은 누군가가 자신의 코인베이스 계정에 불법 침투를 시도했다는 이메일을 받았다. 다행히 그는 도난이 일어나기 전 계정을 봉쇄했다. 하지만 투자 포트폴리오에 포함시킨 기업을 이례적으로 공개 비난했다. 그는 블로그에 ’끔찍한 경험에 아직도 간담이 서늘하다. 피해망상에 걸릴 지경“이라는 글을 올렸다.
그 후 포춘은 IT기업 CEO들과 유명 블록체인 지지자들을 포함해 10여 명의 피해자들을 인터뷰했다. 이들의 코인 베이스 계정은 거의 같은 방식으로 해킹을 당했다(하지만 여전히 다른 거래소에서 도난 당하는 경우가 더 많다). 에버렛이 계정 도난을 당한 이튿날, LA 기업가 애덤 다치스 Adam Dachis의 당시 1만 달러 계정도 해킹을 당했다. 지난 7월 7일에는 블록체인 고문 마이크 코스타케 Mike Costache의 코인베이스 지갑에 있던 1만 8,000 달러도 모두 도둑들에게 털렸다. 그가 해외출장 중 수면을 취하고 있던 4시간 동안 벌어진 일이었다. 크리스마스 이후 코인베이스 사용자들은 월 30회 도난을 당했는데, 하루에 한 번 꼴로 해킹이 발생한 셈이었다.
해킹 공격이 있을 때마다 불현듯 깨닫게 되는 사실이 하나 있다. 그로 인해 블록체인의 본질적 역설이 집중 조명을 받는다. 전통 화폐와 다른 가상화폐의 본질적 강점인 ‘즉각적이고 불가역적인 거래’가 치명적인 약점도 될 수 있다는 사실이다. 런던 소재 블록체인 추적업체 엘립틱 Elliptic의 공동 창업자이자 최고데이터책임자(CDO)인 톰 로빈슨 Tom Robinson은 “비트코인의 존재 이유 중 하나는 검열 받지 않는 것”이라고 설명했다. 정부나 중앙은행을 포함한 그 누구도 디지털 화폐 거래를 막을 수 없다는 의미다. 따라서 전통 화폐 예금주들이 의지했던 사기방지 보호 시스템이 (가상화폐 업체) 대부분에는 마련돼 있지 않다. 로빈슨은 이에 대해 “거래 취소와 같은 가역성(可逆性)은 비트코인의 생성 목적에 반(反)하는 것”이라고 강조했다.
바로 이 점이 실물화폐보다 가상화폐가 점점 더 많이 도난의 표적이 되는 이유 중 하나다. FBI 인터넷 범죄수사센터(Internet Crime Complaint Center)에 따르면, 2016년 가상화폐 관련 범죄로 인해 발생한 손실은 2,800만 달러에 달했다. 2015년 총액의 3배가 넘는 액수다. 이는 개인피해자들의 자발적 신고를 통해 추산된 액수로, 비트피닉스 거래소 해킹 같은 대규모 도난 사건은 거기에 포함되지도 않았다. 수 많은 대규모 실질 손해액이 과소평가되어 있다고 할 수 있다.
전통 금융기관을 겨냥한 사이버 범죄도 늘고있다. 재블린 전략 연구소(Javelin Strategy & Research)에 따르면, 코인베이스 해킹 수법과 비슷한, 소위 ‘계좌 탈취’라는 절도법으로 행해진 범죄액 규모는 지난해 61%나 급증해 23억 달러에 달했다. 하지만 이런 계좌 해킹으로 인한 피해액은 은행이 보관 중인 수조 달러에 비하면 상대적으로 적은 액수다. 총 시장 가치가 1,350억 달러에 불과한 가상화폐의 경우, 해커들이 시장 파이에 비해 훨씬 더 큰 비율로 돈을 훔치고 있다. 사이버보안 기업 체이널리시스 Chainalysis에 따르면, 지난 12개월 동안 범죄자들이 훔쳐 도주한 이더리움의 가치는 시장 총액의 1%인 2억 2,500만 달러였다. 비트 코인의 경우, 그 규모가 더 클 것으로 추정되고 있다.
노스웨스턴 대학교 켈로그 경영대학원의 비즈니스 및 신경과학 교수 모런 서프 Moran Cerf-기업 해커로 활동한 경력이 있다-는 “실제 은행을 털려는 일반 강도들은 두 가지 문제를 해결해야 한다”고 말했다. 첫 번째는 돈을 훔치는 것이고, 두 번째는 증거를 인멸하는 것이다. 그는 “가상 화폐는 익명성을 보장하기 때문에 비트코인에선 두 번째 문제가 해결된다”고 설명했다. 비트코인 추종자들은 ‘거래의 불가역성과 그 결점’이라는 현실을 인정하는 듯하다. 블록체인 투자자 크리스 버니스크 Chris Burniske는-지난해 12월 본인 계정이 해킹을 당해 현재가치로 10만 달러가 넘는 디지털 화폐를 도난 당했다-이에 대해 “버그가 아닌 비트코인의 한 가지 특성이라고 생각한다”고 말했다. 그는 곧 발간될 ‘가상 자산(Cryptoassets)’의 저자이기도 하다.
그러나 피해자들의 돈이 도난을 당해 낯선 이의 전자 지갑으로 흘러 드는 일은 비단 코인베이스만의 문제가 아니다. 더 크게는 비트코인의 존재가치에 대한 위협이다. 가상 화폐의 가치가 급등하면서, 투자자들은 수익을 내는 일뿐만 아니라 그것을 어떻게 지켜낼지도 고심하고 있다. 지난 5월 계정 해킹을 당해 15분 만에 8,000 달러를 도난 당한 적이 있는 코디 브라운 Cody Brown은 “코인베이스는 은행처럼 보이고, 은행처럼 말하고, 은행처럼 수백만 달러에 달하는 현금을 보관하고 있다. 하지만 운영 방식 자체는 어두컴컴한 지하 카지노와 다를 바 없다”고 꼬집었다. 그는 “코인베이스 사이트의 균형 잡힌 글씨체와 매끈한 파란색 음영, 신뢰를 내세우는 광고 문구는 아무런 의미가 없다”며 “사람들은 눈 뜬 장님처럼 도난을 당한 후에야 비로소 그런 사실을 깨닫는다”고 경고했다.
코인베이스는 모든 계정 탈취 사건을 조사하고 있다는 얘기 외에 구체적인 언급은 피하고 있다. 하지만 코인베이스의 창업자 겸 CEO인 브라이언 암스트롱 Brian Armstrong(34)은 브라운과 윌슨의 경험이 회사가 개선 방법을 찾는 데 “도움이 됐다”고 말하고 있다. 미심쩍은 행위를 감지하는 머신 러닝부터 이중 인증 의무에 이르기까지, 코인베이스 보안 장치들은 이미 은행에 버금가거나 그것을 뛰어넘는 수준을 보이고 있다. 하지만 암스트롱은 코인베이스가 은행보다 쉬운 표적이라는 사실을 인정했다. 그는 포춘과의 인터뷰에서 ”디지털 화폐 자체가 워낙 새롭고, 흥미롭고, 강력한 개념이라, 가상화폐를 해킹하고 싶어하는 사람이 많을 수 밖에 없다“며 “우리는 좀 더 높은 수준의 보안 장치를 갖출 필요가 있다”고 역설했다.
만약 비트코인이 종교였다면, “예수께선 어떻게 하시겠습니까?”라는 질문에 대한 답은 “너 자신이 은행이 되라(BYOB: Be your own bank)”였을 것이다. 이는 비트코인 업계에서 널리 쓰이고 있는 비공식 슬로건이다. 초기 비트코인 모델은 지난 2009년 나카모토 사토시 Satoshi Nakamoto라는 ‘베일에 싸인 창업자(혹은 복수의 창업자들)’가 만든 것이다. 나카모토는 지금은 전설이 된 백서에서 ‘비트코인의 창조 목적은 금융 기관을 거치지 않고도 거래가 되는 이상적인 형태의 전자 현금을 만드는 것’이라고 밝힌바 있다.
그러나 이러한 ‘이상’을 통째로 흔드는 불안 요소가 나타났다. 그로 인해 많은 잠재적 수요자들이 가상화폐를 멀리 했다. 암스트롱은 그 틈을 타 당시 해커와 암호 무정부주의자들이 주도하는 비트코인 업계를 개선할 기회를 탐색했다. 그는 “비트코인이 주류가 되려면, 좀 더 신뢰할 만한 브랜드가 필요했다”고 말했다.
암스트롱은 초창기 엔지니어로 일하던 에어비앤비에서 2012년 퇴사한 후, ‘디지털 화폐의 지메일’격인 코인베이스를 창업했다. 그의 전략은 가상화폐를 더 쉽고 안전하게 보관하고, 사고 팔 수 있게 만드는 것이었다. 초창기 비트코인 지갑 기업들은 고객들이 항상 개인 암호 열쇠(private key)-가상화폐에 접근하기 위한 64글자 비밀번호-를 사용하도록 했다. 반면 코인베이스는 선구적인 혁신을 통해, 고객을 대신해 인증 키를 보관해 줬다. 물론 위험도 따랐다. 고객들은 실제 인증 키 대신 비밀번호만 알면 자신들의 비트코인에 접근할 수 있었는데, 이는 해커들도 마찬가지였다. 앳된 얼굴의 CEO 암스트롱은 “큰 책임감을 갖고 접근해야 할 문제”라고 인정했다. 그는 “하지만 가상화폐 업계가 규모를 더 늘려, 앞으로 1억이나 10억 명 정도의 사람들이 더 이용할 수 있도록 접근성을 높여야 한다”고 덧붙이기도 했다.
코인베이스는 새 화폐 제도를 대중에게 전파하는데 독보적인 능력을 보여주었다. 대부분 미국 거주자들인 고객이 하루에 5만 명씩이나 가입해 지난 5개월간 50% 가입자 수가 증가했다. 거래량은 7월에만 전년 대비 2배 증가했다. 거래 수수료를 통해 수익을 올리는 코인베이스도 흑자 전환에 가까워지고 있는 것으로 전해졌다. 암스트롱은 올해 포춘이 선정한 ‘40세 이하 가장 영향력 있는 인물 40명’ 중 10위에 이름을 올리기도 했다. 하지만 그는 회사의 한계점도 명확히 인지하고 있다. 암스트롱은 “대부분의 사람들이 우리를 가상화폐 은행으로 생각하겠지만, 코인베이스는 은행이 아니다”라고 말했다. 실제로 코인베이스는 은행이 하는 대출업무를 다루지 않는다. 또 다른 중요한 차이점이 있다. 이 회사는 페이팔 PayPal이나 웨스턴 유니온 Western Union처럼 송금업체로 규제를 받는다. 하지만 미국연방예금보험공사(FDIC)의 보장을 받지 못하고, 은행에 적용되는 고객 보호법의 영향도 전혀 받지 않는다.
암스트롱은 오랫동안 월급 전액을 비트코인으로 받아왔다. 그는 매달 집세를 내고 남는 금액을 현금으로 전환하고 있다. 많은 다른 직원들도 마찬가지다. 그들은 보안문제를 가장 잘 이해하지만, 고객 보호는 그들에게도 어려운 과제다. 해커들은 버라이즌 Verizon과 스프린트 S같은 통신사들의 취약점을 악용해 고객 계정에 침투한다. 그렇기 때문에 엄밀히 말하면 해킹은 코인베이스의 직접적인 잘못이 아니다. 한 임원은 “이성적으로 판단할 때, 고객들의 계정 해킹을 막는 건 매우 어려운 일”이라고 털어놓았다.
대중화의 주인공 : 브라이언 암스트롱은 가상화폐의 대중화를 위해 코인베이스를 설립했다. 그는 온라인 거래소를 ‘디지털 화폐의 지메일’이라 부르고 있다.그렇다고 코인베이스가 문자 그대로 해킹 문제를 수수방관할 수만은 없는 노릇이다. 비록 은행은 아니지만, 회사는 여전히 뱅킹 시스템 규약준수 비용을 감당해야 한다(반면 전통 금융기관들은 해커들이 훔친 부정한 돈을 회수할 수 있다). 예를 들면, 다치스가 가상화폐를 도난 당했을 때, 코인베이스의 고객지원 담당자는 그에게 곧바로 이메일을 보냈다. 나중에 사기 거래로 판명된 ‘은행 환불 건으로 회사가 1,657.41 달러의 손실을 봤다’는 것이 주된 내용이었다. 최근 한 업계 행사에서 코인베이스의 데이터 과학 책임자 숩스 란얀 Soups Ranjan은 “회사가 모든 걸 뒤집어 쓰고있다”고 말했다. 신용 카드를 통한 미심쩍은 가상 화폐 구매를 포함한 이런 여러 문제들로 인해 회사가 지출하는 비용이 매출의 10%에 이르고 있다. 페이팔 사기 손실의 20배에 달하는 비율이다. 란얀은 “코인베이스가 현재 세계에서 가장 어려운 결제 사기 및 사용자 보안 문제를 겪고 있다고 단언할 수 있다”고 말하기도 했다.
이 같은 문제를 해결하기 위해 코인베이스는 사기 및 지불 거절을 당할 수 있는 고위험 고객을 분석하는 예측 프로그램을 활용해 그들의 구매력을 선제적으로 제한하거나 계정을 봉쇄해왔다. 하지만 이 방법에도 단점은 있다. 일단 고객들의 불만이 높았고, 수 만 건에 달하는 고객 서비스 요청이 쇄도하기도 했다. 전체 직원이 180명인 이 회사는 수요에 대처할 만큼 빠르게 신입 사원을 뽑지 못했다. 현재 100명의 추가 인력을 고용하려 하고 있다. 심지어 코인베이스의 고객지원센터에는 전화번호도 없다(원래는 9월 개통할 예정이었다).
동시에 코인베이스는 ‘가상화폐 업계의 골드만 삭스’로서 그 기대를 충족해야 하는 어려운 현실에도 직면해있다. 2015년 소득 신고서에 비트코인 수입 신고를 한 납세자가 802명밖에 되지 않자, 미국 국세청(IRS)은 법원에 코인베이스의 사용자 기록 열람을 요청했다. 지난 6월에는 이더리움의 가치가 잠깐이지만 10센트까지 떨어지는 패닉 사태가 벌어지기도 했다. 그 결과 코인베이스는 처음으로 ‘플래시 크래시’ flash crash *역주: 갑작스런 주가 폭락 를 경험했다. 회사는 ”모든 거래가 적절히 이뤄졌다“고 해명했지만, 결국 도의상 거래자들에게 ‘마진 콜’ *역주: 투자원금에 손실이 발생할 경우, 추가증거금의 보전을 요구하는 것 로 발생한 손실분을 배상해주었다. 또 8월 초 비트코인 블록체인의 ‘하드포크’ *역주: 블록체인의 오류를 바로잡기 위한 기술 를 통해 비트코인 캐시라는 또 다른 가상 화폐가 탄생하자, 코인베이스는 이 화폐에 대한 서비스를 지원하지 않겠다고 발표하기도 했다. 몇 시간 후 보복으로 여겨지는 서비스 거부 해킹 공격이 벌어져 사이트가 완전히 먹통이 되자, 고객들은 회사를 고소하겠다고 위협을 했다. 결국 코인베이스는 백기를 들었다. 계정 보유자들이 2018년부터 비트코인 캐시를 인출할 수 있도록 한 것이었다. 암스트롱은 “우리는 현재 초고속성장 시기를 거치고 있다”며 “신나긴 하지만 조금 혼란스러운 것도 사실”이라고 말했다.
많은 블록체인 열성 지자자들은 코인베이스 해킹 사건들을 통해 다른 이에게 가상화폐 보관을 맡기는 일이 얼마나 위험한지 다시 한번 깨닫게 되었다. 블록체인 기술을 활용해 신분 확인을 하는 시빅 Civic의 최고기술책임자 조너선 스미스 Jonathan Smith는 “개인암호 키가 없다면 화폐 자체가 없는 것이나 마찬가지”라고 경고했다. 다시 한번 비트코인의 불명예스러운 비밀이 드러나고 있다: 미래를 상징하는 화폐를 스스로 관리해야 한다는 사실은 마치 유인원 시절로 퇴화하는 것 같은 느낌일 것이다.
인증키를 직접 보유한 스마트 머니 투자자들은 가장 기초적인 보호 전술에 의지하는 경우가 많다. 매트리스 아래 현금을 숨겨두는 것과 흡사하다: ▲종이에 개인암호 키를 인쇄해 여러 조각으로 자르고, 조합하는 방법을 모르는 가족들에게 다시 나눠주기 ▲암호화된 파일을 USB에 저장해 뒷마당에 묻기 ▲기억력에 의존해 비밀번호 기억하기 등이 대표적인 방법이다. 이런 임시방편들은 결점이 많다. 스스로 자초해 손실이 발생한 사례도 무수히 많다. 뉴욕의 한 남성은 하드 드라이브를 재포맷 했다가 2만 5,000달러에 상당하는 비트코인의 인증키를 삭제했다. 헤지펀드 리서치 애널리스트인 도미니크 포가티 Dominic Fogarty는 총각 파티를 한 후, 택시에 가상화폐가 저장된 휴대폰을 두고 내렸다. 그 후 그는 휴대폰을 찾기 위해 애디론댁Adirondacks 산을 넘어가야 했다(그는 포춘과의 인터뷰에서 “열차는 놓쳤지만 비트코인을 잃지 않았다는 사실이 더 중요했다!”고 말했다).
여기서 궁극적인 역설 하나가 등장한다. 보안의 최적 모델은 인터넷 연결 없이 별도의 ‘오프라인 저장소(cold storage)’에 개인암호 키를 보관하는 것인데, 이는 블록체인 주창자들이 피하고자 했던 ‘그 장소’에 개인암호 키를 보관하는 것을 의미한다. 바로 은행이다. 한 가상화폐 헤지펀드 매니저는 500만 달러의 가상화폐 인증 키를 맡겨놓은 안전 금고를 확인하러 웰스 파고 은행에 간 적이 있다. 하지만 금고는 비어있었다(몇 주 후, 금고는 원래 있어야 할 자리보다 한 칸 아래에서 발견됐다). 심지어 코인베이스도 ‘오프라인 저장’은 은행에 의존하고 있다. 금고에는 고객 자금의 98%가 보관돼 있다. 암스트롱 자신도 이에 대해 “조금 구식처럼 보이긴 한다”고 인정했다. 그렇지만 이것이 미래의 모습일 수도 있다. 더 많은 주류 투자자들이 자신만의 은행을 만들 걱정 없이, 오프라인 공간에 가상화폐를 보관하길 원하기 때문이다.
일부 가상화폐 추종자들에겐 이단 종교와 다를 바 없는 모습이다. 리먼 브라더스의 전직 애널리스트 마이클 크리거 Michael Krieger는 금융 위기 때 환멸을 느껴 월가를 떠나 가상화폐 업계에 들어왔다. 그는 “나는 개인암호 키를 은행의 안전 금고에 맡기진 않을 것이다. 최소한 나는 그럴 생각”이라고 말했다. 하지만 이미 금융업계에선 전통적인 보안과 변형된 블록체인 사이의 장벽이 무너지기 시작했다. 이 두 시스템이 매끄럽게 융합되는 날이 올 수도 있다. 스테이트 스트리트 State Street 은행 임원 출신인 후 리앙 Hu Liang은 지난 8월 퇴사 후, 기관투자자들을 위한 가상화폐 거래소를 만들었다. 그녀는 “역설적이면서 흥미로운 사실은, 우리가 없애고자 했던 규칙이나 절차들이 이제는 주요 고객을 보호하기 위해 도입하려고 하는 규칙들과 거의 유사해지고 있다는 점”이라고 설명했다. 블록체인 신봉자들은 수 백 년간 은행업을 정의해 왔던 관습들을 대체하는 꿈을 꾸면서도, 결코 거기서 벗어날 수 없음을 깨닫고 있다.
8월 어느 이른 아침, 맨해튼의 공동 업무공간 2층에 위치한 사무실에서 조너선 레빈 Jonathan Levin을 만났다. 그는 자전거를 타고 6마일을 달려와 숨을 고르고 있었다. ‘비트코인, 2009년 설립’이라는 회색 면 티를 입고 있는 27세의 이 영국 남성은 “이것이 바로 사이버 범죄에 맞서는 모습!”이라고 장난스럽게 소리를 질렀다.
레빈은 가상 화폐 이동을 추적하고, 불법 사용을 조사하는 신생기업 체이널리시스의 공동창업자다. 이 회사의 소프트웨어는 법 집행을 돕고 있다. 범인 체포뿐만 아니라, 지난 7월 한 주 동안 ‘다크넷’ *역주: 저작권이 있는 디지털 파일의 불법 공유를 가능하도록 하는 네트워크나 기기들의 집합 시장인 알파베이 AlphaBay와 악명 높은 디지털 화폐 거래소 비티시-이 BTC-e의 범죄 기소에도 활용됐다. 이전에도 체이널리시스는 마운트 곡스와 비트피닉스에서 도난 당한 자금의 행방을 추적한 적이 있다. 비트코인은 모든 기록-말 그대로 돈의 자취-을 변경 불가능한 상태로 보관한다. 따라서 누구든 디지털 자금 출처인 지갑의 주소를 볼 수 있다. 체이널리시스의 인공지능인 ‘클러스터링(집단화)’ 기술은 특정 거래의 자금 흐름을 파악했다. 하지만 이런 기술발전도 누가 이 지갑을 통제해야 하는지를 결정하는 과정에선 막다른 골목에 다다른 듯하다. 레빈은 다소 과장된 어조로 “주요 비트코인 거래소에서 돈을 훔친 이들 중 과연 몇 명이나 체포됐는가?”라고 질문을 던진 후, “아무도 없다”고 자답을 했다.
전 연방 검사로 가상화폐 범죄 단속반을 이끌다가 지난 5월 코인베이스 이사회에 합류한 캐스린 혼 Kathryn Haun은 “그렇지 않다”고 말했다. 그녀는 거래소 해킹이나 가상 화폐 좀도둑질로 수감된 사람은 없지만, 알파베이와 비티시-이에 대한 조사는 아직 완전히 마무리가 안된 최초 사건들 중 일부에 관한 것들이라고 설명했다. 지갑 주소에는 가명이 사용되기 때문에, 코인베이스 같은 좀 더 은밀한 인터넷 공간에서 데이터를 모아 이와 연결된 한 사람을 적발하는 수사는 몇 년이 걸릴 수도 있다. 혼은 이를 은행강도 같은 전통 범죄에 비유했다. 그녀는 “만일 은행강도가 변장을 하고, 가발과 장갑을 착용하고 있으면, 범죄자를 잡기가 더 어려워진다”며 “그렇다고 불가능하다는 뜻은 아니다”라고 강조했다.
개인 도난 사건들은 연방 수준의 조사를 받기엔 규모가 너무 작다. 하지만 점점 더 많은 피해자들이 FBI나 다른 정부 기관에 신고를 하고 있기 때문에 희망의 여지는 있다. 체이널리시스는 개인 해킹 피해자들에게 도움을 호소해 지난 7월 개인 사건을 조사하는 특수팀을 꾸렸다. 전문가들은 해커들이 정교한 조직에 속해 있다고 믿고 있다. SNS에서 가상화폐 계좌에 대한 언급을 샅샅이 찾아낼 수 있는 기술과 인력을 가지고 있는 단체라는 것이다. 예를 들면, 이들은 이런 정보를 이용해 휴대폰 번호이동에 성공할 때까지 버라이즌에 24시간 동안 28회나 전화를 걸기도 했다. 헤지 펀드사 크립토체인 캐피털 Cryptochain Capital의 매니징 파트너 애덤 포코니키 Adam Pokornicky가 바로 이런 방식에 당하고 말았다. 그러나 이 같은 교묘한 노력도 흔적을 남길 수 밖에 없고, 결국 그 단서를 통해 패턴을 포착할 수 있다. 혼은 “번호 이동 해킹 건과 이런 술수가 법 집행기관의 주의를 끌었기 때문에, 앞으로도 계속 주시할 계획”이라고 말했다.
블록체인 세계의 합동 수사 노력이 사이버 범죄자들을 붙잡는 데 성공할지라도, 피해자들이 돈을 돌려받을 수 있을 것이란 보장은 없다. 가상화폐 해커에게 추징금을 물리려는 일부 판례들은 아직 적용되지 않았고, 무형의 자산을 압수할 수 있을지도 여전히 의문이다. 또, 전리품에 접속하려면 개인암호 키를 알아야 한다. 캘리포니아에서 디지털 화폐 전문 로펌을 이끌고 있는 제프리 번스 Jeffrey Berns는 “범죄자를 잡을 순 있지만, 정부가 추궁을 해서 금(돈)의 소재를 말하게 강요할 순 없다”고 설명했다. 다른 그 어떤 곳보다 분권화를 더 많이 내세우고 있는 시스템 하에서, 뱅킹 업무의 안정성은 결코 존재할 수 없을 것이다. 번스는 “가상 화폐엔 근본적으로 고객 보호 장치가 없다. 앞으로 마련할 수 있을지도 의문”이라고 말했다.
스위스의 깊은 산속 200미터 지하 동굴에는 지금도 2차 세계대전 당시의 군사용 벙커가 있다. 이곳에는 지구상에서 가장 큰 비트코인 저장소가 있는 것으로 알려져있다. 2014년 마운트 곡스 해킹 사건 이후, 아르헨티나 IT 기업가 웬스 카사레스 Wences Casares는 디지털 코인을 저장하는 방법이 있다고 생각했다. 바로 지하에 묻는 것이었다.
그의 회사 자포 Xapo는 현재 5개 대륙에서 경계가 삼엄한 금고들을 운영하고 있다. 일부는 땅 표면에서 약 1킬로 미터 깊이에 있다. 각각의 금고들은 암호화된 프라이빗 키가 보관돼 있는 ‘에어 갭 *역주: 외부 인터넷과 단절된 망 분리 네트워크 서버’를 갖고 있다. 회사는 개발도상국의 단돈 5달러짜리 계정 주인부터 세계 최대 헤지펀드와 기관들까지 고객들을 해킹으로부터 보호하기 위해 심혈을 기울이고 있다. 미 캘리포니아 팰로 앨토 Palo Alto에 소재한 자포의 대리인들은 서버가 조립 라인에서 생산되기 전부터 제작과정을 직접 지켜보고 있다. 그리고 밀폐된 금고까지 에스코트 한 후, 인터넷 접속을 차단하게 하고 있다. 페이팔의 이사회 멤버이기도 한 카사레스는 “인증 키의 철저한 보호를 위해 어떤 방법까지 취해야 하는지를 보면 우스꽝스럽다는 생각을 지울 수 없을 것”이라고 말했다.
그러나 이런 보호 조치에도 한계는 있다. 고객들이 거래 목적(이 자체도 48시간이나 걸린다)으로 자금을 자포의 ‘온라인 지갑(hot wallet)’으로 옮기면, 코인베이스 계정과 마찬가지로 해킹에 취약해질 수 있다. 결국 실제 사용 전까지만 최대한 안전하게 보관될 뿐이라는 얘기다.
■ 가상화폐 해킹법 분석
코인베이스 내부상황을 잘 아는 한 인사에 따르면, 이 거래소 계정 보유자들은 해킹으로 연간 500만 달러의 피해를 보고 있다. 해킹이 벌어지는 과정과 범인 추적이 어려운 이유를 살펴보자.
잠복근무
해커들은 블록체인 업계 종사자나 소셜미디어에서 비트코인과 코인베이스에 대해 언급하는 이들 중에서 목표를 물색한다. 이들은 온라인 게시 글이나 과거 유출된 데이터를 통해, 피해자들의 이메일 주소와 전화번호를 알아낸다.
예기치 못한 변동
해커는 피해자의 휴대전화를 장악하기 위해 이동통신사에 ‘번호이동’을 요청한다.
위장
지메일 계정은 2차 접속법으로 전화번호 인증을 요구하기 때문에, 해커는 피해자의 메일 계정에 로그인 한 후 비밀번호를 변경할 수 있다. 코인베이스에서도 같은 수법이 이용되고 있다.
접속 완료
코인베이스는 비밀번호 외에도 이중 인증(‘2FA’)을 요구한다. 이중 인증이 해커 휴대폰으로 전송되면 로그인이 가능하다. 도주 해커는 가상화폐를 자신의 디지털 지갑에 옮긴다. 사법당국은 블록체인에 기록된 도난 화폐의 이동을 쉽게 추적할 수 있다. 하지만 거래 자체는 막을 수 없고, 지갑의 주인을 밝혀내는 것도 어렵다.
돈 세탁
돈의 자취를 감추기 위해 가상화폐를 화폐거래소로 옮기거나, 추적이 어려운 다른 종류의 디지털 화폐로 전환할 수 있다. 결국 해커는 이를 현금이나 다른 종류의 자산으로 바꿀 수 있다.
더 강한 금고 제작
보안 강화법 : · ‘전화번호 이동 금지’ 신청을 한다. · 이중 인증으로 문자메시지를 택하지 않는다. 대신 구글 인증기(Google Authenticator) 같은 앱을 사용한다. · 다른 계정이나 소셜미디어에서 사용하지 않는 특이한 비밀번호를 사용한다.
서울경제 포춘코리아 편집부 / BY JEN WIECZNER
