WCR -1: 2019-02-07
[글 = 후안 빌라베르데: Weiss Ratings Editor]
한때 캐나다 최대 암호화폐 거래소였던 쿼드리가CX가 1월 28일 갑자기 어둠에 휩싸였다. 최소 1억3600만달러에 달하는 고객 자산이 매우 의심스러운 상황에서 증발해버렸다.
어떻게 이런 일이 가능할 수 있다는 말인가? 언론 보도를 바탕으로 시나리오를 구성하면 이렇게 된다.
*설립자 겸 CEO 제럴드 코튼이 돌연 결혼을 하고 유언장 내용을 변경한다. 쿼드리가CX 오프라인 암호화폐 지갑(콜드 스토리지)의 유일한 프라이빗 키 소지자인 코튼은 이어 인도로 날아간다.
*코튼이 크론병으로 갑자기 사망했다는 그의 사망 증명서가 등장한다.
*그러나 크론병은 대부분의 경우 치명적 질병이 아니다. 그리고 인도에는 사망 증명서를 포함해 문서 위조 수준이 높은 암시장이 성행하고 있다.
이번 사건은 일반적 해킹이 아니다. 해커들은 대개 외부에서 공격한다. 그러나 쿼드리가CX는 궁극적으로 내부 소행일 가능성이 있어 보인다.
코튼이 비밀리에 고객들의 암호화폐를 그의 개인 지갑으로 옮긴 것일까? 아니면 빼돌린 암호화폐들을 공범자들에게 보낸 것일까? 어쩌면 확실한 해답은 결코 얻지 못할 가능성도 있다.
그럼에도 이번 사건은 암호화폐 거래소와 비즈니스를 하면서 발생할 수 있는 두 가지 위험을 강조해준다. 하나는 암호화폐 업계에서 잘 알려진 것이다. 그러나 두 번째 위험에 대해서는 거의 누구도 이야기하지 않는다.
위험 #1. 해커들을 100% 막을 수 있는 거래소는 없다
암호화폐 거래소들이 고객의 인출을 수용하기 위해 거래소 지갑 하나 하나에 주어진 프라이빗 키를 사용할 때마다 해킹의 위험이 발생한다. 그 위험이 크지는 않다. 거의 미미한 수준일 수도 있다. 하지만 위험이 제로는 아니다. 따라서 수백만건의 트랜잭션이 이뤄진다면 그 위험 또한 증가하게 된다. 어느 순간 갑자기 그 위험은 아주 미미한 수준이 아닌 상황이 될 수 있다.
강력한 보안 정책과 절차들은 위험을 크게 줄일 수 있다. 그렇지만 결코 위험을 완전 소멸시킬 수는 없다.
이유: 거래소의 암호화폐 인출 과정에는 온라인 과정에서의 프라이빗 키 사용이 요구된다. 이는 내재하는 위험이다. 기술은 항상 진화한다. 하지만 똑똑한 해커들은 새로운 득점 방법을 찾기 위해 끊임 없이 살핀다.
위험 #2: 감사 받지 않는 거래소들이 너무 많다
암호화폐 거래소 보안 전문가들은 그들이 무슨 조치를 취하건 궁극적으로는 앞에서 언급한 ‘위험 #1’에 취약하다는 것을 안다. 따라서 백업계획 차원에서 거래소들은 대개 전체 펀드의 일부만 고객들과의 트랜잭션에 사용하는 온라인 지갑에 보관한다.
이는 동네 식료품점이 일상 비즈니스 처리를 위해 계산대 현금 출납기에 동전만 충분히 넣어두고 갑자기 현금 수요가 급증하는 경우에 대비해 약간의 추가 현금을 보유하는 것과 비슷한 상황이다. 펀드의 대부분은 외부로 옮겨 보관한다. 암호화폐 세계에서 펀드를 보관하는 외부 메커니즘을 ‘콜드 스토리지’라고 부른다.
콜드 스토리지 지갑들은 온라인 지갑보다 안전할까? 물론이다. 콜드 스토리지 지갑의 입출금 트랜잭션 빈도는 훨씬 낮다. 프라이빗 키가 해킹 당할 가능성도 훨씬 적다. 그리고 말할 필요도 없지만 콜드 스토리지가 인터넷에 연결 조차 되지 않았다면 무엇보다 해커들이 접근하는 게 훨씬 더 어려워진다.
하지만 ‘위험 #1’에 대처하기 위한 솔루션은 동시에 ‘위험 #2’를 유발한다: 대부분의 거래소들은 감사를 받지 않는다. 거래소들이 암호화폐를 얼마나 보유하고 있는지 알 수 있는 방도는 없다. 우리가 거래소에 속한 일부 지갑들에 대해서는 알고 있지만 전체적인 그림이 공개되는 경우는 거의 없다.
이슈를 간결하게 정리하면 이렇다.
“암호화폐들을 지지하는 분산원장은 투명하면서 전적으로 감사를 받을 수 있어야 한다. 하지만 일단 자산이 거래소로 보내지게 되면 거래소 직원들만 그들이 암호화폐를 실제로 얼마나 보유하고 있는지 알 수 있다.”
당신들은 고객들이 거래소 상황을 더 많이 공개해 달라고 요구할 것으로 생각할 것이다. 그러나 대부분의 고객들은 자신들의 트랜잭션이 효율적으로 실행되고, 그들이 요구할 때 암호화폐를 받을 수만 있다면 만족해 할 것이다.
한편 거래소들의 불투명한 측면은 많은 범죄를 가릴 수 있다. 쿼드리가CX는 분실한 것으로 가정되는 비트코인을 실제 보유한 적이 없으며 기존 고객들의 인출 요구에 대처하기 위해 신규 고객들로부터 들어온 암호화폐에 의존했을 것이라는 게 내 주장이다.
월 스트리트 저널이 인터뷰한 수사관들도 비슷한 결론에 도달했다. 수사관들의 결론은 쿼드리가CX는 사기꾼 버니 매도프에게 수십년 형을 선고하는 것으로 막을 내린 폰지사기 사건의 암호화폐 버전임을 시사한다.
대비책은 무엇인가
대부분의 암호화폐 투자자들에게 거래소 없이 비즈니스를 한다는 것은 거의 불가능한 일이다. 따라서 …
*해킹으로부터 100% 안전한 거래소는 없다는 사실을 항상 기억해야 한다.
*투자자들이 보유한 암호화폐의 대부분은 오프라인의 안전한 장소, 즉 개인적 콜드 스토리지 지갑에 보관해야 한다. 그리고 그 콜드 스토리지의 프라이빗 키는 개개인만 알아야 한다.
*모든 암호화폐 투자에서 손실을 감당할 수 있는 수준 이상의 위험을 감수해서는 안 된다.
번역/정리 = 장도선 뉴욕 특파원