“가상화폐 등 디지털시대 해킹은 역설적으로 아날로그 방식으로 막을 수 있습니다.”
보안 전문가인 장화철(49·사진) 씽크에이티 이사회 의장은 26일 서울경제신문과의 인터뷰에서 “가상화폐거래소에서 보안을 위해 SMS(단문메시지서비스) 인증이나 OTP(1회용 비밀번호) 인증을 하지만 해커는 고객의 PC나 스마트폰을 악성코드에 감염시켜 인증정보를 빼가고 있다”며 “가상화폐 거래시스템 해킹을 막기 위해서는 은행 등에서 하는 전화인증(ARS 거래내역 승인)을 도입해야 한다”고 강조했다.
최근 가상화폐거래소 ‘유빗’이 해킹 공격을 받아 170억원의 고객자금이 유출돼 파산하면서 가상화폐 시장의 보안 취약성이 이슈로 부상했다. 장 의장은 정보보호솔루션인 n프로텍트를 성공시킨 보안업계 1세대로 꼽힌다. 현재 금융권과 정부 민원서비스에서 본인확인을 위한 전화인증 업무를 대행하고 있고 최근에는 카톡·그룹웨어·밴드 등을 융합한 오이톡으로 B2B(기업 간 거래) 시장을 공략 중이다.
장 의장은 “해커는 가상화폐 거래 과정에서 지갑(온라인 계좌)에 돈이 이체될 때 아이디와 비밀번호를 쉽게 빼내고 보안을 강화한 가상화폐거래소를 이용하는 고객 역시 해킹할 수 있다”고 주장했다. 실제 SMS 인증의 경우 지난해 미국 표준기술연구소(NIST)가 보안상 문제가 있다고 보고 권고 기술에서 퇴출했다. 모바일 OTP 인증의 경우에도 인증에 필요한 1~3분동안 피싱이나 파밍 등과 같은 해킹에 취약하다고 그는 설명했다.
이에 따라 지난 2013년부터 은행 등 금융권에서 전자금융사기 예방 수단으로 널리 사용하는 전화인증을 도입하면 고객 부주의로 PC나 스마트폰이 악성코드에 감염되더라도 가상화폐 소유자에게 전화로 확인하게 돼 보호할 수 있다는 게 그의 주장이다. 그는 “북한이나 외국인으로부터 해킹이 많이 이뤄지며 가상화폐가 유출되고 있는데 전화인증을 도입하면 효과적으로 막을 수 있다”고 말했다. 그는 또 “은행은 올초부터 피싱·스미싱·파밍 등이 발생하면 고객 중과실이 아닌 경우 모두 손해배상하고 있다”며 “가상화폐거래소가 해킹피해를 고객에게 전가하는 것은 부당하다”고 지적했다. /고광본 선임기자 kbgo@sedaily.con
