출처: 토큰포스트
다시 한 번 강력한 중앙화 암호화폐 거래소(CEX)가 해킹을 당했다. 이번 사건은 인류 역사상 최대 규모의 해킹으로 추정되며, 수습 과정에서 암호화폐 시장 전체가 붕괴되는 최악의 시나리오는 피했지만, 시장은 여전히 그 충격에서 벗어나지 못하고 있다. 이 사건은 암호화폐 업계의 핵심 인프라로 인식되는 CEX조차 완전한 보안은 보장할 수 없다는 점을 다시 한번 일깨워 준다.
다시 한 번 강력한 중앙화 암호화폐 거래소(CEX)가 해킹을 당했다. 이번 사건은 인류 역사상 최대 규모의 해킹으로 추정되며, 수습 과정에서 암호화폐 시장 전체가 붕괴되는 최악의 시나리오는 피했지만, 시장은 여전히 그 충격에서 벗어나지 못하고 있다. 이 사건은 암호화폐 업계의 핵심 인프라로 인식되는 CEX조차 완전한 보안은 보장할 수 없다는 점을 다시 한번 일깨워 준다.
중앙화 거래소는 사용자 자산을 보관하고 관리하는 운영의 자유가 있지만, 이는 동시에 해킹, 자금 동결, 파산 등의 심각한 위험을 내포하고 있다. 거래소에 자산을 예치하는 순간, 사용자는 사적으로 관리되던 지갑의 ‘열쇠’를 넘기는 셈이다. 반면, 최근 기술이 적용된 비수탁형(노-커스터디얼) 지갑은 사용자가 직접 자산의 열쇠를 쥐고 보안 기능을 강화해 보다 안전한 자산 관리를 가능하게 한다.
중앙화 거래소는 사용자 자산을 보관하고 관리하는 운영의 자유가 있지만, 이는 동시에 해킹, 자금 동결, 파산 등의 심각한 위험을 내포하고 있다. 거래소에 자산을 예치하는 순간, 사용자는 사적으로 관리되던 지갑의 ‘열쇠’를 넘기는 셈이다. 반면, 최근 기술이 적용된 비수탁형(노-커스터디얼) 지갑은 사용자가 직접 자산의 열쇠를 쥐고 보안 기능을 강화해 보다 안전한 자산 관리를 가능하게 한다.
최근 발생한 15억 달러(약 2조 1,900억 원) 규모의 바이빗(Bybit) 해킹 사태 역시 중앙화 거래소의 구조적 위험을 재확인시켜 준 사례다. 다행히 예치 자산이 1:1 비율로 준비되어 있었기에 더 큰 위기는 피했지만, 만약 유동성 부족이 발생했다면 이는 2022년 FTX 파산과 유사한 ‘뱅크런’ 사태로 번질 수 있었다. 2012년 이후 현재까지 총 118건의 중앙화 거래소 해킹으로 약 110억 달러(약 16조 600억 원)가 유출됐다는 통계는 이러한 위험이 결코 예외적이지 않음을 방증한다.
최근 발생한 15억 달러(약 2조 1,900억 원) 규모의 바이빗(Bybit) 해킹 사태 역시 중앙화 거래소의 구조적 위험을 재확인시켜 준 사례다. 다행히 예치 자산이 1:1 비율로 준비되어 있었기에 더 큰 위기는 피했지만, 만약 유동성 부족이 발생했다면 이는 2022년 FTX 파산과 유사한 ‘뱅크런’ 사태로 번질 수 있었다. 2012년 이후 현재까지 총 118건의 중앙화 거래소 해킹으로 약 110억 달러(약 16조 600억 원)가 유출됐다는 통계는 이러한 위험이 결코 예외적이지 않음을 방증한다.
CEX 구조는 대부분의 자산을 소수의 지갑에 집중시켜 보관한다. 이로 인해 해킹 시 피해 규모가 대규모화되며, 복수 서명을 요구하는 멀티시그(multisig)와 콜드월렛 체계도 제3자 인프라에 의존하는 현재의 구조에서는 완전한 보안을 담보하기 어렵다. 실제로 최근 바이빗 사건에서도 거래 체결에 쓰인 서명 병합 시스템 자체의 취약성이 노출되었다.
CEX 구조는 대부분의 자산을 소수의 지갑에 집중시켜 보관한다. 이로 인해 해킹 시 피해 규모가 대규모화되며, 복수 서명을 요구하는 멀티시그(multisig)와 콜드월렛 체계도 제3자 인프라에 의존하는 현재의 구조에서는 완전한 보안을 담보하기 어렵다. 실제로 최근 바이빗 사건에서도 거래 체결에 쓰인 서명 병합 시스템 자체의 취약성이 노출되었다.
더 나아가, 거래소는 해킹 외에도 법적 요인에 따른 자산 동결, 출금 제한, 내부 운영 부실 등 다양한 방식으로 고객 자산을 위협할 수 있다. 고객이 자산에 대한 통제권을 상실한 상태에서 이러한 사태가 발생하면, 손실을 피할 방법은 존재하지 않는다. 결국 모든 위험에 대한 대응책은 사용자가 직접 자산 보관을 책임지는 셀프 커스터디(wallet custody)에서 출발해야 한다.
더 나아가, 거래소는 해킹 외에도 법적 요인에 따른 자산 동결, 출금 제한, 내부 운영 부실 등 다양한 방식으로 고객 자산을 위협할 수 있다. 고객이 자산에 대한 통제권을 상실한 상태에서 이러한 사태가 발생하면, 손실을 피할 방법은 존재하지 않는다. 결국 모든 위험에 대한 대응책은 사용자가 직접 자산 보관을 책임지는 셀프 커스터디(wallet custody)에서 출발해야 한다.
비수탁형 지갑을 사용하면 개인 키는 이용자의 단말기에 암호화된 형태로 보관되며, 외부 시스템의 통제를 받지 않는다. 반면, 이러한 자유에는 책임이 따르며, 최근 디파이(DeFi) 프로토콜들도 해커의 주요 타깃이 되고 있다는 점에서 신중한 접근이 필요하다.
비수탁형 지갑을 사용하면 개인 키는 이용자의 단말기에 암호화된 형태로 보관되며, 외부 시스템의 통제를 받지 않는다. 반면, 이러한 자유에는 책임이 따르며, 최근 디파이(DeFi) 프로토콜들도 해커의 주요 타깃이 되고 있다는 점에서 신중한 접근이 필요하다.
다행히 최근 지갑 기술은 크게 진보하고 있다. 고도화된 암호화 기술부터 멀티 파티 컴퓨테이션(MPC) 방식까지, 다양한 보안 기능이 표준으로 포함된다. MPC 기반 지갑은 개인 키를 여러 장치에 분산 저장함으로써 하나의 지갑 손실로 전체 자산 접근이 불가능해지는 단점을 해소한다. 또한, 거래 승인을 위한 비밀번호 입력, 디앱(DApp) 연동 시 권한 허용 검수 등의 기능도 고루 제공된다.
다행히 최근 지갑 기술은 크게 진보하고 있다. 고도화된 암호화 기술부터 멀티 파티 컴퓨테이션(MPC) 방식까지, 다양한 보안 기능이 표준으로 포함된다. MPC 기반 지갑은 개인 키를 여러 장치에 분산 저장함으로써 하나의 지갑 손실로 전체 자산 접근이 불가능해지는 단점을 해소한다. 또한, 거래 승인을 위한 비밀번호 입력, 디앱(DApp) 연동 시 권한 허용 검수 등의 기능도 고루 제공된다.
보안 기능은 여기에 그치지 않는다. 일부 지갑은 피싱 공격, 악성 주소, 사기성 계약을 자동 감지해 사용자에게 경고를 제공하고, 불필요하게 과도한 연동 권한을 부여한 디앱을 손쉽게 차단할 수 있도록 관리 도구를 제공한다. 아울러, 다수의 비수탁형 지갑은 정기적인 외부 보안 감사를 실시하고, NFT 마켓, 스왑 기능 등이 포함된 플랫폼 전반의 코드 취약점을 점검받는다. 일부 플랫폼은 자체 보호 기금을 조성해 해킹 사고 발생 시 사용자 손실 보전에 나서기도 한다.
보안 기능은 여기에 그치지 않는다. 일부 지갑은 피싱 공격, 악성 주소, 사기성 계약을 자동 감지해 사용자에게 경고를 제공하고, 불필요하게 과도한 연동 권한을 부여한 디앱을 손쉽게 차단할 수 있도록 관리 도구를 제공한다. 아울러, 다수의 비수탁형 지갑은 정기적인 외부 보안 감사를 실시하고, NFT 마켓, 스왑 기능 등이 포함된 플랫폼 전반의 코드 취약점을 점검받는다. 일부 플랫폼은 자체 보호 기금을 조성해 해킹 사고 발생 시 사용자 손실 보전에 나서기도 한다.
결국 “당신의 키가 아니면, 당신의 비트코인이 아니다”는 금언은 여전히 유효하다. 중앙화 거래소의 거대한 자산 규모는 해커에게 끊임없이 유혹의 신호를 보내는 구조다. 해결책은 단순하다. 더 많은 사용자가 분산형 지갑으로 이동해 자산 통제권을 온전히 회복하고, 강화된 지갑 보안 기능을 적극 활용해야 한다.
결국 “당신의 키가 아니면, 당신의 비트코인이 아니다”는 금언은 여전히 유효하다. 중앙화 거래소의 거대한 자산 규모는 해커에게 끊임없이 유혹의 신호를 보내는 구조다. 해결책은 단순하다. 더 많은 사용자가 분산형 지갑으로 이동해 자산 통제권을 온전히 회복하고, 강화된 지갑 보안 기능을 적극 활용해야 한다.
