다시 한번 돌아보는 거래소 해킹 사례

1. 마운트곡스(Mt. Gox)

마운트곡스는 2006년, 추후 리플의 개발자가 될 제드 맥칼렙(Jed McCaleb)이 매직: 더 개더링(Magic: The Gathering) 카드 거래 플랫폼으로 설립한 사이트였습니다. 2010년에 비트코인 거래소로 전환된 후, 2011년 3월 프랑스 개발자 마크 카펠레스(Mark Karpeles)가 인수하면서 본격적으로 성장했습니다. 2013년까지 마운트곡스는 전 세계 비트코인 거래량의 약 70%를 처리하며 업계의 중심으로 자리 잡았습니다.

그러나 2011년 6월, 첫 번째 해킹 사건이 발생했습니다. 해커가 관리자 계정을 탈취해 비트코인 2,000 BTC를 도난당했고, 시스템에 침투해 비트코인 가격을 1센트까지 떨어뜨리는 조작을 시도했습니다. 이 사건은 약 30,000 달러의 손실로 끝났지만, 보안 허술함의 첫 신호였습니다.

2011년 이후에도 마운트곡스는 지속적으로 공격에 노출되었습니다. 특히 마운트곡스 거래소는 대부분의 자금을 핫월렛에 보관했으며, 단일 키로 관리되는 구조였기에 해커에게 쉬운 표적이었습니다. 2013년부터 사용자들은 출금 지연을 경험하기 시작했고, 이는 내부적으로 자금이 부족하다는 의혹을 낳았습니다.

https://www.bbc.com/news/technology-37009319

2014년 2월 7일, 마운트곡스는 기술적 문제를 이유로 모든 비트코인 출금을 중단했습니다. 사용자들의 불안이 커지던 중 2월 24일 거래소 웹사이트가 갑자기 오프라인 상태가 되었고, 2월 28일, 마운트곡스는 도쿄 지방법원에 파산 보호를 신청하며 공식적으로 운영을 중단했습니다.

조사에 따르면, 2011년부터 2014년까지 약 85만 BTC(당시 약 4억 7천만 달러)가 점진적으로 유출된 것으로 밝혀졌습니다. 당시 도난 금액은 약 4억 7천만 달러로 평가되었지만, 이는 비트코인 초기 가치에 기반한 금액이었기에 이후 비트코인 가격 상승으로 피해 규모가 천문학적으로 커졌습니다. 마운트곡스 거래소의 주장에 따르면, 이는 트랜잭션 가소성(Transaction Malleability) 취약점을 악용한 공격이 원인이었습니다. 해커는 트랜잭션 ID를 조작해 출금이 완료되지 않은 것처럼 보이게 하고, 이를 반복하며 자금을 빼돌렸습니다. 그러나 마운트곡스는 이를 사용자에게 공개하지 않고, 자산이 충분하다는 허위 보고로 상황을 은폐했습니다.

마운트곡스 파산은 비트코인 커뮤니티에 큰 충격을 주었고, 암호화폐에 대한 신뢰를 흔들었습니다. 약 2만 4천 명의 채권자가 피해를 입었으며, 법적 분쟁은 10년 넘게 이어졌습니다. 2014년 약 20만 BTC를 회수했지만, 나머지 65만 BTC는 여전히 행방불명입니다. 2021년부터 채권자 상환 계획이 승인되어 2024년 기준 일부 비트코인이 반환되기 시작했으나, 초기 투자 대비 손실은 막대합니다.

마크 카펠레스는 2019년 횡령 혐의로 징역 2년 6개월, 집행유예 4년을 선고받았지만 해킹의 전모는 아직 명확히 밝혀지지 않았습니다. 이 사건은 중앙화 거래소의 보안과 투명성의 중요성을 일깨운 계기가 되었고, 이후 거래소들은 보안 강화를 위해 멀티시그 지갑과 정기 감사를 도입하기 시작했습니다.

2. 바이낸스(Binance)

현 시점 세계 최대 규모의 암호화폐 거래소 바이낸스 또한 해킹 시도를 피해가진 못했습니다. 2019년 5월 8일, 바이낸스는 대규모 보안 침해를 당했다고 발표했습니다. 해커들은 약 7,074 BTC(당시 약 4,070만 달러)를 탈취했습니다. 이 자금은 바이낸스의 핫월렛에서 도난당했으며, 바이낸스 전체 BTC 보유량의 약 2%에 해당했습니다.

해커들은 다양한 공격 기법(피싱, 악성코드 등)을 사용해 사용자 계정의 API 키, 2FA 코드 등 민감한 정보를 확보했습니다. 바이낸스 CEO 창펑 자오는 해커들이 매우 인내심 있게 여러 독립 계정을 통해 치밀하게 행동했다고 밝혔습니다. 공격은 단일 트랜잭션으로 실행되었으며, 기존 보안 점검을 통과할 수 있도록 구조화되었습니다. 도난 자금은 단일 지갑으로 이동되었고, 이후 자금 세탁을 위해 분산되었습니다.

바이낸스는 해킹을 감지한 즉시 모든 출금을 중단하고 SAFU 비상 보험 기금을 활용해 피해를 전액 보상한다고 발표했습니다. 약 일주일간 입출금을 중단하며 시스템 보안 점검을 진행했고, 5월 15일 거래를 재개했습니다. 창펑 자오는 트위터 AMA에서 비트코인 네트워크 롤백 가능성을 검토했으나, 신뢰도 손상을 우려해 포기했다고 밝혔습니다. 바이낸스는 이 사건 후 보안 강화를 위해 멀티시그 지갑 사용을 확대하고 2FA 보안을 개선했습니다.

사용자 자금은 SAFU 기금으로 보호되었으나, 해커가 훔친 자금은 회수되지 않았습니다. 당시 비트코인 가격은 약 5,800달러였으며, 이 사건은 암호화폐 초기 성장기에 큰 충격을 주었습니다.

3. 업비트(Upbit)

이번에는 한국 최대 거래소 업비트의 사례도 살펴보겠습니다. 2019년 11월 27일 업비트의 이더리움 핫월렛에서 약 342,000 ETH가 알 수 없는 지갑으로 전송되는 비정상 거래가 발생했습니다. 당시 이더리움 시세를 기준으로 약 580억 원에 달하는 금액으로, 이는 업비트 역사상 가장 큰 단일 손실 사건이었습니다.

업비트 운영사 두나무의 CEO 이석우는 사건 발생 몇 시간 후 공식 발표를 통해 해킹 사실을 인정하고, 고객 자산에 영향을 주지 않겠다고 밝히며 즉각적인 대응에 나섰습니다. 거래소는 모든 입출금을 중단하고, 남은 핫월렛 자산을 콜드월렛으로 옮기는 조치를 취했습니다. 초기에는 공격 경로가 명확히 공개되지 않았으나, 사용자들 사이에서 보안 관리 부실에 대한 우려가 제기되었습니다.

https://www.cylynx.io/blog/tracing-the-trail-of-the-upbit-hack/

블록체인 분석에 따르면, 해커는 단일 트랜잭션으로 342,000 ETH를 탈취한 뒤, 다음 날인 11월 28일부터 자금을 여러 지갑으로 분산하기 시작했습니다. 이 과정에서 필링 체인(peeling chain) 기법이 사용되었는데, 이는 큰 금액을 작은 단위로 쪼개어 여러 중간 지갑으로 옮기며 추적을 어렵게 만드는 방법입니다. 온체인 데이터 분석 업체 사이린스(Cylynx)와 같은 전문가들은 해커가 약 5만 개 이상의 이더리움 지갑과 10만 건 이상의 트랜잭션을 통해 자금을 세탁하려 했다고 밝혔습니다.

자금의 일부는 바이낸스, 후오비, OKX, 비트맥스 등 주요 거래소로 유입되었고, 이를 통해 해커가 암호화폐를 현금화하려는 의도를 보였습니다. 업비트는 즉시 다른 거래소들과 협력해 해당 지갑 주소를 블랙리스트에 올렸고, 바이낸스 CEO 창펑 자오는 트위터를 통해 의심스러운 자금을 동결했다고 발표했습니다. 그러나 이미 토네이도 캐시(Tornado Cash)와 같은 플랫폼을 통해 세탁된 자금은 추적이 어려운 상황이었습니다.

업비트는 사건 발생 후 약 2주간 입출금을 중단하며 시스템 점검과 보안 강화를 진행했습니다. 12월 13일, 입출금 서비스를 재개하며 고객 자산은 안전하다고 강조했으며, 도난당한 580억 원은 두나무의 자체 자산으로 충당해 고객 손실을 방지했다고 밝혔습니다. 이 과정에서 업비트는 핫월렛과 콜드월렛 운영 방식을 재정비하고, 보안 시스템을 업그레이드했다고 공지했습니다.

당시 업비트는 구체적인 해킹 경로를 공개하지 않았기에 해커가 어떻게 핫월렛에 접근했는지에 대한 의문이 남았습니다. 또한 해킹의 배후가 누구인지도 밝혀지지 않았으나, 2024년 11월 북한의 해킹 그룹 라자루스(Lazarus Group)의 소행이라는 경찰 수사 결과가 발표되었습니다.

업비트는 사건 이후 보안 강화를 위해 자산의 70% 이상을 콜드월렛에 보관하는 정책을 도입했고, 핫월렛을 다중 구조로 운영하며 재발 방지에 힘썼습니다. 2023년 기준, 업비트는 2019년 이후 단 한 건의 추가 보안 침해도 발생하지 않았다고 보고했으나 약 5,800만 달러 상당의 이더리움이 여전히 회수되지 않은 상태로, 자금의 최종 행방은 미궁 속에 남아 있습니다.

이 사건은 한국 암호화폐 시장에 큰 영향을 미쳤습니다. 사용자들은 거래소의 보안 수준에 더욱 민감해졌고, 규제 당국은 거래소에 대한 감시를 강화했습니다. 2021년 시행된 특정금융정보법은 이러한 사건을 계기로 더욱 엄격한 보안 기준을 요구하게 되었습니다.

4. 와지르엑스(WazirX)

2024년 7월 18일, 인도 암호화폐 거래소 와지르엑스는 이더리움 네트워크상의 세이프 멀티시그 지갑에서 약 2억 3천만 달러(약 2,000억 원)의 디지털 자산이 새로운 주소로 무단 전송되었다는 사실을 확인했습니다. 도난 자산은 시바이누(SHIB, 약 1억 달러), 이더리움(ETH, 약 5,260만 달러), 폴리곤(MATIC), 페페(PEPE) 등 다양한 암호화폐로 구성되어 있었습니다.

해커는 멀티시그 지갑의 스마트 컨트랙트 취약점을 노렸습니다. 구체적으로, 와지르엑스의 멀티시그 지갑은 와지르엑스가 5개, 커스터디 업체 리미널(Liminal)이 1개를 관리하는 6개 서명 중 4개가 필요한 구조였습니다. 공격자는 와지르엑스 서명자 3명과 리미널의 승인을 얻어 악성 업그레이드 트랜잭션을 실행했습니다. 이 과정에서 해커는 리미널의 인터페이스에 표시된 정보와 실제 서명된 내용 간의 불일치를 악용해 지갑 제어권을 탈취했습니다. 와지르엑스는 사건 직후 모든 입출금을 중단하고, 사용자 자산 보호를 위해 즉각적인 대응에 나섰습니다.

https://www.merklescience.com/blog/investigating-the-wazirx-hack-and-flow-of-funds

와지르엑스는 즉시 경찰에 신고하고 인도 금융정보분석원 및 컴퓨터 긴급 대응팀에 사건을 보고했습니다. 거래소는 500개 이상의 다른 거래소와 협력해 도난 자산의 이동을 추적했으며, 344명의 보안 전문가와 윤리적 해커가 참여한 바운티 프로그램을 통해 자금 회수를 시도했습니다. 그러나 도난 자산의 45%에 달하는 막대한 손실로 인해 와지르엑스는 1:1 자산 담보 유지 능력을 상실했고, 싱가포르 법원에 구조 조정을 추진 중입니다.

이 사건은 북한의 라자루스의 소행임이 미국, 일본, 한국의 공동 성명으로 공식화되기도 했습니다. 와지르엑스는 현재 자산 복구와 사용자 보상에 힘쓰고 있지만, 회복 가능성은 낮아 보입니다. 이번 해킹은 멀티시그 지갑의 블라인드 서명(Blind Signing) 문제와 커스터디 업체의 보안 허점을 드러냈다고 보입니다. 정말 무서운 점은, 바이빗 해킹 또한 와지르엑스와 유사한 방식으로 이루어졌다는 점입니다.

바이빗을 비롯한 중앙화 거래소 해킹 사건들은 자금 집중과 보안 취약성의 위험을 반복적으로 보여줍니다. 중앙화 거래소를 아예 사용하지 않을 수는 없지만, 최소한 개인이 주도권을 쥐고 자산을 보호할 수 있는 도구와 방법은 점점 발전하고 있습니다. 콜드월렛 사용, 자산 분산 보관, 의심스러운 접근 피하기, 경각심 유지 등 보안을 위한 행동을 실천한다면 해킹의 피해자가 되는 일을 최소화할 수 있을 것입니다.