정보통신기술(ICT) 업계를 넘어 사회 전 영역에서 뜨거운 이슈로 부상한 가상화폐(암호화폐) 열풍을 보고 있노라면 그야말로 격세지감을 느낍니다. 우리가 인터넷으로 상품을 주문하고, 집에서 편히 받아볼 수 있게 된 것은 20년도 채 되지 않았습니다. 아이폰이 한국에 상륙한 것이 2009년이니, 스마트폰이 몰고 온 모바일 혁명을 마주한 지 이제 꼭 10년째입니다. 사토시 나카모토가 대표적인 가상화폐 중 하나인 비트코인을 처음 선보인 때도 2009년이지만, 대중의 주목을 받기 시작한 시기는 2013년부터라고 보면 정말 대단한 파급력이 아닐 수 없습니다.
이제는 '지갑' 하면 가상화폐를 가장 먼저 떠올리는 건 비단 저뿐만은 아닐 겁니다. 가상화폐는 종류에 따라 조금씩 차이는 있지만, 기본적으로 채굴이나 거래를 하기 위해 우선 지갑을 만들어야 합니다. 가상화폐 지갑의 개념은 좀 복잡합니다. 일각에서는 이 지갑을 말 그대로 가상화폐를 보관하는 곳으로 정의합니다. 다른 한편에서는 가상화폐 거래를 할 수 있도록 해주는 프로그램이라고 부르기도 합니다. 가상화폐 거래소에서는 자산을 핫 월렛과 콜드 월렛에 분산 보관하고 있다고 설명합니다. 대체 가상화폐 지갑의 정체와 진짜 역할은 뭘까요? 이름은 또 왜 이렇게 다양할까요?
가상화폐 지갑을 보는 다양한 관점은 상황에 따라 맞기도 하고 틀리기도 합니다. 가상화폐 자체가 엄밀히 실체가 없기 때문에 지갑에 가상화폐가 들어있다고 할 수는 없지만, 소유자가 지갑을 통해 자신의 가상화폐 보유량을 확인할 수 있다면 이 지갑은 보관의 기능을 수행한다고 봐도 무방합니다. 가상화폐 거래 프로그램이라는 주장도 일리는 있습니다. 가상화폐 지갑만 있으면 은행이나 중앙기관 도움 없이 사용자 간 자유로운 거래를 할 수 있기 때문입니다. 가상화폐 지갑이 일종의 계좌 역할까지 한다는 점을 고려하면 거래소는 수많은 가상화폐 계좌가 모여 있는 금고인 셈입니다.
가상화폐 지갑에는 잔고가 존재한다기보다 가상화폐 거래 참가자들과 공유하는 거래 장부가 들어있다고 보는 편이 적절합니다. 이것이 바로 최근 4차산업혁명 핵심 기술로 주목받는 '블록체인'입니다. 비트코인 지갑의 역할은 이 블록체인을 바탕으로 전 세계에 흩어져 있는 가상화폐 중 지갑 소유자에게 할당된 가상화폐가 몇 개인지 계산하는 것입니다. 지갑 소유자가 이를 숫자로 확인할 수 있다면 은행 통장에 찍힌 잔액을 보고 뿌듯해하는 것과 다를 게 없습니다.
핫 월렛과 콜드 월렛이란 해당 지갑이 인터넷에 연결돼 있는지에 따라 구분하는 개념입니다. 거래소는 물론이고 개인 투자자에게도 마찬가지로 적용됩니다. 인터넷 데이터센터에서 자주 읽고 쓰는 데이터를 '핫 데이터'라고 하듯, 핫 월렛은 투자자들에 의해 활발히 입출금이 이뤄지는 지갑입니다. 반대로 읽고 쓰는 빈도가 적어 굳이 대기 상태에 있을 필요가 없는 '콜드 데이터'는 나중에 필요할 때까지 따로 안전하게 보관하듯 콜드 월렛은 입출금과 무관하게 거래소와 물리적으로 분리된 지갑을 의미합니다. 인터넷 연결이 안되니 해킹 위험도 없습니다.
가상화폐 지갑을 '소프트(웨어) 지갑'과 '하드(웨어) 지갑'으로 구분하기도 합니다. 소프트 지갑은 가상화폐 거래소나 가상화폐 지갑 전문 인터넷 사이트 기본 제공하는 지갑을 말합니다. 투자자가 이용하는 기기 환경에 따라 웹 지갑, PC 지갑, 모바일 지갑 등으로 부르기도 합니다. 하드 지갑은 USB나 카드 형태의 실물 디바이스로 보급됩니다. 하드웨어 기반의 강력한 보안 기능을 갖추고 있고, PC와 분리되면 그 자체로 콜드 월렛이 되기 때문에 가장 안전한 형태의 가상화폐 지갑이라는 평가를 받습니다. 하지만, 하드웨어 지갑도 인터넷이 연결된 PC에 접속하는 순간 핫 월렛이 될 수 있습니다.
해커는 난공불락의 블록체인 대신 거래소 서버나 투자자 개인 PC, 스마트폰 등 가상화폐 지갑이 보관되는 기기를 노립니다. 이유는 간단합니다. 언제든 실수를 저지를 수 있는 사람이 조작하고 관리하는 기기이기 때문입니다.
거래소를 공격하는 해커는 우선 거래소 직원 PC에 침투합니다. 이를 위해 해커는 해당 직원이 관심 있어 할만한 내용의 이메일에 악성코드를 첨부해 보냅니다. 직원이 첨부파일을 열어보면 PC는 악성코드에 감염돼 해커의 손아귀에 들어갑니다. 해커는 이 PC의 관리자 권한을 이용해 마치 직원처럼 거래소 서버를 드나들 수 있게 됩니다. 이후 핫 월렛에서 가상화폐 탈취를 시도하고, 여의치 않으면 투자자 개인정보라도 들고나오는 식입니다.
거래소보다 상대적으로 보안성이 낮은 개인 투자자 기기의 경우 더욱 속수무책입니다. 실제로 작년 국내에서 발견된 악성코드의 예를 들어보겠습니다. 이 악성코드에 감염된 PC는 딱히 이상행동을 보이지 않습니다. 결정적인 한순간을 노리기 위해서입니다. 바로 투자자가 거래소 지갑에서 PC에 있는 지갑으로 가상화폐를 옮기려는 순간입니다.
계좌번호 역할을 하는 가상화폐 지갑 주소는 가상화폐 종류에 따라 영문 대소문자와 숫자가 무질서하게 뒤섞인 30~40자리 긴 문자열로 이뤄져 있습니다. 웬만큼 똑똑한 사람이 아니고서야 이를 정확히 외워 직접 타이핑하기란 쉽지 않습니다. 이 경우 대부분 투자자는 지갑 주소를 복사(컨트롤+c)해서 송금 대상 지갑 주소란에 붙여넣기(컨트롤+v)하기 마련입니다.
국내 가상화폐 거래소의 하루 거래량이 15조원에 달하지만, 금융기관 수준으로 보안에 신경 쓴 곳은 아직 찾아볼 수 없습니다. 일본은 가상화폐를 결제 수단으로 인정하고 관련 산업을 진흥했지만, 최근 일본 최대 가상화폐 거래소 코인체크가 해킹으로 6000억원이 넘는 가상화폐를 잃은 것으로 알려져 충격을 주고 있습니다. 우리 정부는 가상화폐 거래소에 현행 정보통신망법상 보안 조치 기준을 충족하는 수준으로 보안을 강화할 수 있도록 행정지도하는 한편, 전체 자산의 70%를 콜드 월렛에 보관할 것을 권고했습니다.
개인 투자자의 경우 가상화폐 지갑 해킹에서 벗어날 수 있는 마땅한 대책이 없는 게 현실입니다. 보안 업계는 될 수 있는 대로 개인용 하드 지갑을 활용하되 PC에 연결할 때는 번거롭더라도 인터넷을 차단해 철저하게 콜드 월렛 상태를 유지할 것을 권장합니다. 대부분의 하드 지갑은 물리적인 파손이나 분실 시 복원할 수 있는 복구 키를 제공하므로 안심해도 되지만, 소중한 자산을 보관하는 지갑인 만큼 철저한 관리가 필요함은 두말할 나위가 없습니다.
또 한 가지 잊지 말아야 할 점은 거래소나 가상화폐 지갑의 보안성이 담보되더라도 거래소나 지갑에 접근하는 사용자 기기, 즉 PC나 스마트폰이 보안에 취약하면 언제든 해킹에 노출될 수 있다는 점입니다. 앞서 언급한 가상화폐 지갑 주소 바꿔치기 악성코드의 경우 웹을 통해 무차별 유포된 사례로, 평소 운영체제 및 소프트웨어 최신 업데이트를 잘 수행했다면 감염을 예방할 수 있었습니다. 가상화폐와 블록체인, 4차산업혁명과 최첨단 신기술을 논하기에 앞서 기본적인 보안 수칙은 잘 지키고 있는지 한 번쯤 돌아볼 때입니다.