가상자산 거래소 업비트에서 약 445억 원 규모의 해킹 사고가 발생하자 일부 온라인에서 블록체인 보안성에 대한 오해와 비판이 확산하고 있다. 그러나 가상자산 해킹 사고는 블록체인 기술이 아닌 인터넷 연결 지갑인 '핫월렛' 보안 문제에서 비롯된 것으로, 블록체인 구조와는 무관하다는 게 전문가들의 설명이다.

29일 업계에 따르면 온라인에서 블록체인의 보안성에 의문을 제기하는 글들이 일부 게시되고 있다. "블록체인은 해킹되지 않는다더니 결국 뚫린 것 아니냐", "가상자산의 끝은 몰락"과 같은 표현이 이어지면서 해킹 사고에 대한 비판의 화살이 블록체인 기술 자체로 향하고 있는 셈이다.

이러한 의구심은 최근 업비트에서 발생한 약 445억 원 규모의 해킹 사고 이후 불거졌다. 업비트는 27일 오전 4시 41분 일부 솔라나 네트워크 계열 가상자산에서 비정상적인 출금 행위를 탐지하고 즉시 해당 자산의 입출금을 중단했다.

같은 날 오후 12시 33분에는 공지를 통해 "유출 규모는 확인 즉시 파악했으며, 회원 자산에 피해가 발생하지 않도록 전액 업비트 자산으로 충당할 예정"이라고 밝혔다.

업비트에서 자산이 탈취된 것은 지난 2019년 11월 27일 약 580억 원 규모의 해킹 이후 6년 만이다. 이번 사고 역시 규모가 크다는 점에서 블록체인 자체에 대한 의구심을 키우는 모양새다.

하지만 업비트 해킹 사고는 블록체인이 아니라, 인터넷에 연결된 '핫월렛(온라인 지갑)' 보안 문제에서 비롯됐다. 지난 2019년 당시 업비트에서 해킹당한 자산도 모두 핫월렛에서 빠져나갔다.

다만 현재 거래소들은 지난해 7월 시행된 가상자산이용자보호법에 따라 이용자 자산의 80% 이상을 안전한 '콜드월렛(오프라인 지갑)'에 보관해야 한다. 콜드월렛은 USB와 같은 오프라인 저장장치로 인터넷과 연결돼 있지 않아 외부 침입이 거의 불가능하다.

이에 따라 전날 피해를 본 자산은 상대적으로 해킹 위험이 높은 핫월렛에서 보관 중이던 일부 물량으로 추정된다. 업비트가 공지 사항을 통해 탈취당한 지갑 주소를 공개했기 때문이다.

지갑 보안의 취약점은 '개인 키 관리 소홀'이 대부분이다. 이용자들이 가상자산을 보관한 지갑에 접근하려면 일종의 비밀번호 같은 암호화된 '개인 키'가 필요하다. 이를 분실하거나 유출할 경우 해킹에 노출될 가능성이 커진다.

한 가상자산 거래소 관계자는 "국내 투자자 대부분이 거래소 지갑에 자산을 예치하기 때문에 거래소의 개인 키·지갑 관리 체계는 매우 민감한 사안"이라고 말했다.

황석진 동국대 정보보호대학원 교수는 "가상자산 탈취 대부분은 블록체인 네트워크가 아니라 블록체인을 사용하는 중앙화 서비스나 키 관리가 해킹된 것"이라고 설명했다.

반면 블록체인 자체는 이번 사고와 무관하다. 블록체인은 블록에 데이터를 담아 체인 형태로 연결하고 수많은 컴퓨터에 복제·저장하는 분산원장 기술이다.

새 블록을 만들 때마다 이전 블록의 해시값(데이터)이 포함되기 때문에, 특정 블록이 위변조되면 블록끼리의 해시값이 일치하지 않아 빠르게 탐지할 수 있다.

또 전 세계 곳곳의 검증인(노드)들이 해시값을 상호 검증하기 때문에 누구라도 데이터를 조작하려면 전체 네트워크의 절반 이상을 동시에 공격해야 한다. 이 때문에 블록체인을 해킹해 가상자산 수량을 변경하는 행위는 현실적으로 불가능하다. 블록체인이 해킹 위협에 강한 점도 이 때문이다.

황 교수는 "네트워크 과반을 장악하려면 비용이 천문학적으로 든다"며 "블록에서 합의된 데이터들은 한 번 기록하면 되돌릴 수도 없다"고 전했다. 이어 "이러한 매커니즘으로 블록체인 자체는 안전하지만 이를 이용하는 서비스나 관리 측면에서 취약점이 발생하는 것"이라고 덧붙였다.

chsn12@news1.kr