10월 16일 암호화폐 거래소 오케이이엑스의 출금 정지 사태가 발생한 뒤 해당 거래소의 콜드월렛에 보관된 자산이 유출됐다는 가짜 뉴스가 나돌면서 사용자들이 불안해 하자 주요 거래소들이 사용자를 진정시키기 위해 개인 키 관리 메커니즘도 공개하고 나섰다.
#거래소들, 개인 키 관리 메커니즘 공개
중국 매체에 따르면 20일 블록인포에서 오케이이엑스로 표시된 콜드월렛 주소로 대규모 비트코인이 전송되었다는 내용이 전해졌다. 그러나 이는 사실이 아니었다. 블록체인 보안업체 펙쉴드(Peckshield)의 데이터에 따르면 주소가 잘못 표시되었고 해당 주소는 제미니 거래소에 속한 것으로 나타났다. 데이터 플랫폼 글래스노드(Glassnode)에 따르면 오케이이엑스 지갑에는 여전히 20만개 이상의 비트코인이 보관되어 있는 것으로 확인된다. 20일 제이 하오 오케이이엑스 CEO는 관련 데이터를 인용, 웨이보를 통해 “16일 이후 자사 플랫폼의 비트코인 전송 기록이 0이었고 잔액도 안정적으로 증가하고 있다”고 밝히고 “공식적인 출금 공지가 있기 전까지 이런 식의 비트코인 이체 소식은 모두 유언비어”라고 덧붙였다.
현재까지 오케이이엑스는 출금 정지의 원인이 일부 개인 키 책임자(쉬밍싱)이 공안기관에 연행되면서 연락이 안돼 키 관리 권한을 인수할 수 없는 상황이 발생했기 때문이라는 입장이다. 이에 대해 LTC.TOP 설립자 장줘얼은 웨이보를 통해 “오케이이엑스는 물론 모든 거래소는 개인 키 관리 방안을 자체 검증할 의무가 있다”고 말했다.
그러자 MXC와 Bibox 등의 거래소는 ‘안전에 관한 보고’를 잇따라 발표했다. 후오비와 바이낸스도 지갑 시스템이 다중 서명과 임계치 서명(TSS, Threshold Signature) 메커니즘을 결합하여 지갑 권한이 특정 개인에 의존하지 않도록 하고 있다고 밝혔다.
후오비는 16일, 자신들의 콜드월렛은 개인 키 서명 과정의 보안을 유지하기 위해 다중 서명과 임계치 서명 기술을 사용한다고 대외적으로 발표했다. 또한 후오비는 여러 사람과 다중 백업을 통해 개인 키의 가용성을 확보하고 자체 연구개발한 하드웨어는 스토리지의 안전성을 보장한다고도 언급했다. 동시에 프로세스 규범의 엄격한 표준화와 권한 최소화, 여러 사람의 연속적인 격리 작업 등의 메커니즘을 가지고 있어 극단적인 상황에서도 ‘단일 개인의 권한이나 운영 행위에 의존하지 않는’ 기술과 프로세스를 갖추고 있다고 설명했다.
바이낸스 설립자 창펑자오는 19일 트위터를 통해 바이낸스 팀이 최근 암호화 키 관리자가 연락되지 않는 상황을 상정한 ‘소방 훈련’을 개최했다고 밝히고 “이 훈련은 과거에도 정기적으로 실시되었지만 공개하지는 않았었다”고 말했다. 그가 트위터에 올린 내용에 따르면, 시스템 측면에서 바이낸스는 다중 서명, 임계치 서명(TSS) 및 기타 기술을 포괄적으로 사용하며 어떠한 단일 개인에게도 의존하지 않고 있다고 한다. 인사 구조 상 바이낸스의 누군가가 연락이 안되는 상황이 발생하더라도 플랫폼에 호스팅된 자금은 동결되지 않는다. 그는 “처음부터 바이낸스의 자금이 창펑자오에게 의존되지 않도록 하는 시스템을 갖추었다. 자주 출장을 가고 많은 시간을 비행기에서 보내기 때문”이라고 설명했다.
#개인 키 관리 분산해 리스크 낮춘다
콜드월렛 브랜드 엘리팔(ELLIPAL)의 공동 창립자 데이비드에 따르면, 다중 서명과 임계치 서명이 개인 키 관리를 분산시키는 방법이고 거래소, 투자 기관, 프로젝트 당사자나 많은 자금을 보유한 기타 조직, 기업들은 모두 이 방법을 사용해 프라이빗 키의 단일 개인 관리 위험을 피하고 있다. 그는 “개인 키는 한 사람의 손 안에 있을 경우 관리자가 사고를 당해 자금이 동결되면 회사 전체가 마비될 수 있다”고 설명했다.
OKLink 데이터에 따르면 올해 6월 1일 이후 이더리움 총 주소 수는 4개월 만에 5억 1천만 개에서 7억 2천만 개로 41% 증가했다. 이 데이터를 보면 시장에서 온체인 거래를 사용하기 시작한 사람들의 수가 증가했음을 알 수 있다. 데이비드는 디파이(DeFi) 활성화가 실제 일부 사람들의 온체인 거래 습관을 가속화했다고 말했다.
오케이이엑스 사건은 온체인 거래 시나리오의 확장을 가속화 할 수는 있지만 거래 규모가 더 크고, 자산 유형이 풍부한 중앙화 거래소가 여전히 사용자들에게 익숙한 주류 채널이다. 이와 관련, 데이비드는 사용자가 암호화 자산을 관리할 때 법정통화를 관리하는 것처럼 해야 한다고 주장했다. 그는 “돈의 일부는 은행에 넣어 두고 일부는 투자하는 것처럼 암호화 자산도 일부는 지갑에 보관하고 일부는 거래소 플랫폼에 넣는 투자 방법을 배워야 한다. 하나의 플랫폼에 집중적으로 보관하지 않는 것이 가장 좋은 방법”이라고 조언했다.
한편 그는 개인 키의 분산 관리를 달성하는 방법이 많지 않다고도 말했다. 스마트 계약은 개인 키의 분산 관리를 실현할 수 있지만 높은 투명성 때문에 일부 거래소는 오히려 자신들의 자산이 너무 투명하게 드러날까봐 이를 원치 않는다는 설명이다. 또한 다양한 자산이 서로 다른 체인에 의존하기 때문에 각 체인의 자산은 스마트 계약으로 배포돼야 할 필요가 있는데, 일부 체인은 스마트 계약을 지원하지 않을 수도 있고, 스마트 계약을 사용해 개인 키를 관리하면 가스비가 발생하고 비용이 많이 든다는 것도 단점으로 지적했다.
https://joind.io/market/id/3791
※조인디와의 전제 계약을 통해 게재한 기사입니다.