고도화되는 코인 범죄…빗썸, MPC·콜드월렛 기반 보안 고도화

[경제일보] 가상자산 거래소 빗썸이 고객 자산 보호와 보안 체계 강화를 위한 캠페인에 나선다. 최근 보이스피싱과 계정 탈취, 인증 유도 등 가상자산을 노린 금융 범죄 수법이 고도화되면서 거래소 차원의 대처를 강화하고 있다.

29일 빗썸은 이용자 자산 보호와 안전한 투자 환경 조성을 위해 '고객 자산 보호 및 보안 강화 캠페인'을 실시한다고 밝혔다. 플랫폼 자체 보안 체계를 강화하는 동시에 이용자 대상 보안 인식 제고 활동도 병행한다는 계획이다.

최근 가상자산 시장에서는 거래소 계정 탈취와 피싱 사이트 유도, 원격제어 앱 설치를 통한 인증 정보 탈취 등 범죄 수법이 다양해지고 있다. 특히 거래소 직원을 사칭해 비밀번호나 OTP 인증번호 입력을 요구하는 사례도 증가하면서 이용자 주의가 요구되고 있다.

빗썸은 외부 해킹과 보안 위협에 대응하기 위해 고객 자산 상당 부분을 인터넷과 분리된 오프라인 저장 방식인 '콜드월렛'에 보관하고 있다고 설명했다. 이는 법정 기준보다 높은 수준으로 운영되고 있는 것으로 알려졌다.

또한 빗썸은 MPC(다자간 계산) 기반 분산 서명 기술도 적용하고 있다. 단일 관리자 권한이나 특정 서버 해킹만으로 자산이 유출되지 않도록 다수의 승인 절차와 암호화 기술을 결합한 구조다.

내부 자산 이동 과정 역시 다중 통제 체계로 운영된다. 빗썸은 직무 분리 원칙(SoD)에 따라 자산 이동 요청과 검토, 최종 승인 절차를 각각 다른 담당자가 수행하도록 설계했다. 모든 자산 이동은 복수 승인 단계를 거치며 외부 공격 접점을 최소화하는 방향으로 운영 프로세스를 개선 중이다.

글로벌 수준의 보안 대응 체계 구축에도 나서고 있다. 빗썸은 국제침해사고대응협의체(FIRST) 정회원으로 활동하며 글로벌 사이버 위협 정보를 실시간 공유받고 있다. 또한 보안 위협 인텔리전스 시스템을 활용해 해외에서 발생하는 보안 위협까지 사전에 탐지하고 대응하고 있는 것으로 알려졌다.

차세대 보안 기술 확보에도 속도를 내고 있다. 빗썸은 국내 가상자산 거래소 가운데 처음으로 양자내성암호(PQC) 기반 보안 체계 도입을 추진 중이다. 양자컴퓨터 등장 이후 기존 암호 체계가 무력화될 가능성에 대비해 선제적인 보안 기술 투자를 확대하고 있는 동시에 외부 보안 전문가가 참여하는 정보보호 자문위원회를 운영하며 보안 정책과 대응 전략 전반에 대한 검증 체계도 강화하고 있다.

빗썸은 이용자 대상 보안 수칙 안내도 병행한다. 빗썸은 2채널 인증 활성화와 해외 IP 접속 차단 기능 설정 등을 권장하고 있으며, 원격제어 앱 설치나 인증 정보 입력 요구에는 절대 응하지 말아야 한다고 강조했다. 또한 최근 증가하고 있는 계정 대여 및 거래 대행 아르바이트 사기와 출처가 불분명한 지갑 주소 송금 요청 등에 대해서도 주의를 당부했다.

빗썸 관계자는 "가상자산을 노린 범죄 수법이 고도화되는 만큼, 플랫폼 자체의 철저한 보안 통제와 기술 투자는 필수적"이라며 "차세대 보안 기술을 선제적으로 도입하는 등 이용자들이 안심하고 거래할 수 있는 환경을 만들기 위해 최선의 노력을 다할 것"이라고 말했다.