업비트, 빗썸... 믿어도 될까?
디지털 자산 보안 인사이트
디지털 자산(암호화폐)의 거래량이 급증하면서 전 세계적으로 다양한 거래소가 등장했다. 비트코인(BTC), 이더리움(ETH)과 같은 주요 자산뿐만 아니라, NFT 및 스테이블코인 시장의 확장은 거래소 운영의 복잡성을 높이고 있다. 그러나 거래소가 성장하면서 해킹 및 보안 위협 또한 증가했다. 초기에는 단순한 피싱 공격이나 개인 키 도난이 문제였지만, 시간이 지나면서 정교한 스마트 계약 공격, API 취약점, 내부자 공격 등의 위협이 등장했다.
국내 가상화폐 거래자의 65% 이상이 이용하는(2025년 3월 기준) 업비트, 약 30%의 점유율을 가지는 빗썸은 디지털 자산에 관심이 있는 사람이라면 한번쯤 들어봤을 법 하다.
2024년까지만 해도 업비트는 점유율 85%에 육박했으나, 금융감독원이 1월 9일 특금법 위반과 관련한 제재를 통지한 이후, 점유율이 65%까지 떨어졌다. 업비트가 신규 등록 고객의 신원 정보를 제대로 확인하지 않았기 때문이다.
실제로, 거래소 보안이 중요한 이유는 단순한 기술적 문제가 아니라 신뢰의 문제이기도 하다. 거래소 보안의 중요성을 보여주는 대표적인 사례로는 2014년 일본의 마운트곡스(Mt.Gox) 해킹 사건이 있다. 당시 전체 비트코인 거래의 70%를 차지하던 마운트곡스는 85만 BTC를 도난당하며 결국 파산했다.
2018년에는 일본 코인체크(Coincheck) 거래소에서 5억 3천만 달러 상당의 NEM(XEM)이 유출되면서 핫월렛 보안의 취약성이 드러났다. 2019년에는 세계 최대 거래소 중 하나인 바이낸스(Binance)에서 API 및 2FA 취약점을 이용한 해킹 공격이 발생해 7천 BTC가 탈취되었다. 2022년에는 FTX 붕괴 사건이 발생했는데, 이는 단순한 해킹을 넘어 내부 리스크 관리 실패가 거래소 붕괴로 이어진 사례로 기록되었다. 이러한 사건들은 보안이 단순한 기술적 문제가 아니라 거래소 운영의 핵심 요소임을 증명했다.
그렇다면 디지털 거래소의 보안 체계는 어떻게 발전하고 있을까?
초기 디지털 자산 거래소는 단순한 계정 보호 및 데이터 암호화를 중심으로 보안 체계를 구축했다. 사용자 계정 보호를 위해 비밀번호 정책을 강화하고, 2단계 인증(2FA)과 OTP를 활용해 로그인 보안을 높였다.
이는 최근 인터넷 뱅킹과 로그인 정책에도 도입되고 있는 흔한 방식이며, 그만큼 간단하면서 효과적인 보안 체계이다.
그러나 해킹 기술이 발전하면서, 거래소들은 보다 정교한 보안 체계를 도입할 필요가 있었다.
대표적으로, 고객 자산 보호를 위해 핫월렛과 콜드월렛을 분리하여 운영하는 방식이 표준화되었다. 핫월렛에서는 최소한의 자산만 보관하고, 대부분의 자산은 인터넷과 분리된 콜드월렛에 저장함으로써 외부 해킹 위험을 낮췄다. 핫월렛과 콜드월렛의 정확한 정의와 활용에 대해 알고 싶다면, 이전 포스팅을 참고하면 된다.
이후 스마트 계약을 기반으로 한 탈중앙화 거래소(DEX)가 등장하면서 스마트 계약 코드의 보안성 검증이 중요한 요소로 자리 잡았다. 2016년 DAO 해킹 사건 이후, 스마트 계약 코드 감사를 표준화하는 흐름이 형성되었으며, 다중 서명(Multi-Signature) 지갑이 도입되어 내부자 공격이나 단일 키 유출 문제를 방지하는 방식이 발전했다.
또한, 거래소들은 지속적으로 보안 기술을 개선하기 위해 버그 바운티(Bug Bounty) 프로그램을 운영하며, 보안 연구자들이 취약점을 신고할 수 있도록 유도했다. 최근에는 AI 기반 이상 거래 탐지 시스템을 활용해 실시간으로 비정상적인 트랜잭션을 감지하고 차단하는 기술이 도입되었으며, 블록체인 기반 신원 인증 시스템(DID)을 적용해 사용자 인증 보안을 강화하는 시도가 이루어지고 있다. 이러한 보안 체계의 발전은 단순한 해킹 방어를 넘어 거래소의 신뢰성과 지속 가능성을 보장하는 필수 요소로 자리 잡고 있다.
업비트와 빗썸을 비롯한 국내 디지털 자산 거래소는 지속적으로 거래소의 성장을 위해 보안 위협에 대응하는 방안을 지속적으로 개발해나가고 있다.
현재까지는 국내 디지털 자산 거래소가 안전한 암호 알고리즘을 사용하며, 전자 정보 전송 시 암호화 등을 통해 코인 및 다양한 디지털 자산의 안전 거래를 보장하고 있다.
