빗썸 해킹에 대하여.......

어제 오전 빗썸에서 350억의 암호화폐를 도난 당했다고 합니다.

http://bithumb.cafe/archives/33189

빗썸에서 공지한 내용으로 보면 핫월렛에 보관되어 있던 코인을 탈취 당한 것으로 보입니다.

핫월렛은 온라인으로 연결되어 있으니 해커들 표적이 됩니다.

국내 거래소에서 발생했던 해킹 사건들 모두 핫월렛이 털린 것으로 알고 있습니다.

과연 빗썸은 보안에 대해 어떤 것을 하고 있는지 홈페이지를 통해서 확인해 봤습니다.

https://www.bithumb.com/u1/customer_security_guide

빗썸은 통합 보안 솔루션인 안랩 세이프 트랜잭션을 적용합니다.

빗썸은 국내 암호화폐 거래소 중 최초로 통합 보안 솔루션인 ‘안랩 세이프 트랜잭션’을 도입하고, 안드로이드 백신 앱인 ‘V3 모바일 플러스 2.0’을 구축했습니다. 이는 시중은행 등 제1금융권에 적용된 첨단 보안솔루션으로, 해킹 우려를 줄이고 거래소 서버 보안 수준을 한층 강화합니다. 더불어 망 분리 및 외부 해킹에 대한 침입 차단·방지 시스템을 갖추고 있으며, 국내 최고 보안회사의 보안 컨설팅을 실시하고 24시간 상시 모니터링 체계를 유지하고 있습니다.

빗썸은 고객의 안전한 거래를 위해 세계 최고 수준의 보안 시스템을 지향합니다.

위 내용을 보면 좀 이상한 곳이 보입니다.

'안랩 세이프 트랜잭션'은 암호화폐 거래를 하기 위해 빗썸에 접속하는 개인 PC를 보호하기 위한 솔루션 입니다.

'V3 모바일 플러스 2.0' 도 역시 개인 스마트폰을 보호하기 위한 솔루션 입니다.

이것을 적용하여 빗썸을 이용하는 사용자 PC와 스마트폰 보안을 강화했을 뿐 이것이 서버의 보안 주준을 강화하지는 않습니다.

그런데 위의 이야기를 보면 '거래소 서버 보안 수준을 한층 강화합니다.' 라고 되어 있습니다.

서버 보안 강화는 개뿔..... ㅡ.ㅡ?

지갑을 털기 위해서는 private key가 필요합니다.

보통 거래소들은 핫월렛의 키를 온라인 서버상에 저장, 종이에 적어 오프라인 보관 등의 방법을 취하는 것으로 알고 있습니다.

또한 위 거래소의 규모로 봤을때는 단일 서명이 아닌 다중 서명(여러 개의 개인키를 두고 일정 수 이상이 개인키가 모여야 지갑에 접근)을 사용했을 것으로 추정됩니다.

망분리가 되어 있고 침입차단 방지 시스템이 구축되어 있는데 어떻게 일이 벌어졌을까?

네트워크가 분리되어 있으면 외부 공격자가 접근하는 것은 매우 어려운 일입니다.

그럼 빗썸은 어떻게 털렸을까? 기존에 일어났던 침해 사고 사례를 기반으로 생각을 해봤습니다.

2016년 5월 3일에 인터파크에서 개인정보 유출되는 사고가 있었습니다.

망분리가 되어 있었는데 해커가 내부 DB에 접속하여 개인정보를 털어갔습니다.

해커가 접근한 과정은...

1. 이메일 스푸핑을 통하여 직원에게 악성코드가 첨부된 이메일을 발송

2. 직원이 이메일을 확인하여 악성코드에 감염되고 파일공유서버에 접속하여 악성코드를 설치

3. 파일공유서버를 경유하여 개인정보 취급자 PC로 접속 이후 내부 DB에 접속하여 개인정보 탈취

4. 개인정보 취급자 PC -> 직원 PC -> 인터넷 경로로 개인정보 유출

지난 2017년 6월에 있었던 빗썸 개인정보 유출 사고와 위 사례와 같이 생각해보면 비슷한 상황이 일어나지 않았을까 주정됩니다.

망이 분리되어 있다고 100% 안전한 것은 아닙니다.

내부망과 외부망간 자료 교환이 없을 수 없습니다.

물론 내부망과 외부망간에 자료를 교환할 때 망연계 솔루션을 사용하여 보호를 하는 곳도 있지만 이것도 역시 100%는 아닙니다.

예를 들어 망연계 솔루션에는 문서 같은 것에 포함되어 있는 매크로 처리 정책이나 설정, 파일 확장자를 검사하는 설정 같은 것은 사람이 설정을 합니다.

이런 것이 설정되어 있지 않거나 인위적으로 풀었을 때 내부망으로 침입 사고가 일어날 것입니다.

그간의 운영 형태 및 사고로 봤을 때 빗썸 해킹은 시스템 문제라기 보다는

돈이면 보안은 해결된다(ex 망분리 작업)라 생각한 운영상의 미숙으로 인하여 벌어진 사태가 아닐까 생각됩니다.

보안에 관련된 시스템 구성보다 더 중요한 것은 운영이라 생각합니다.

홈페이지에 작성되어 있는 내용을 생각해보면.... 빗썸은 다음과 같은 것은 되어 있었을까?

1. 이메일 스푸핑에 대한 방어 대책 (이메일을 통한 악성코드 문서가 종종 보입니다.)

2. 망연계 솔루션의 적절한 자료 교환 정책, 문서 처리 정책 적용

3. 내부망 적절한 계정 관리 (규모가 되다보면 많은 시스템을 관리하기 위해서 동일한 패스워드 설정 원격 관리 하는 경우가 종종 있음)

4. 사내 임직원 대상 정기적 보안 교육 실시

(보안사고는 사람에 의해 발생 한다는 말이 있습니다. 고가의 장비와 솔루션이 적용되어도 한명의 행위로 무너질 수 있습니다. 우리나라는 특히 수직적인 관계 또는 갑질로 인해 더 발생하기 쉬운 형태)