금일 오전 빗썸에서 350억의 암호화폐를 도난 당했다고 합니다.
http://bithumb.cafe/archives/33189
빗썸에서 공지한 내용으로 보면 핫월렛에 보관되어 있던 코인을 탈취 당한 것으로 추정됩니다.
핫월렛은 온라인으로 연결되어 있으니 해커들 표적이 됩니다.
국내 거래소에서 발생했던 해킹 사건들 모두 핫월렛이 털린 것으로 알고 있습니다.
과연 빗썸은 보안에 관해서 어떠한 것을 내세우고 있는지 홈페이지를 통해서 확인해 봤습니다.
https://www.bithumb.com/u1/customer_security_guide
빗썸은 통합 보안 솔루션인 안랩 세이프 트랜잭션을 적용합니다.
빗썸은 국내 암호화폐 거래소 중 최초로 통합 보안 솔루션인 ‘안랩 세이프 트랜잭션’을 도입하고, 안드로이드 백신 앱인 ‘V3 모바일 플러스 2.0’을 구축했습니다. 이는 시중은행 등 제1금융권에 적용된 첨단 보안솔루션으로, 해킹 우려를 줄이고 거래소 서버 보안 수준을 한층 강화합니다. 더불어 망 분리 및 외부 해킹에 대한 침입 차단·방지 시스템을 갖추고 있으며, 국내 최고 보안회사의 보안 컨설팅을 실시하고 24시간 상시 모니터링 체계를 유지하고 있습니다.
빗썸은 고객의 안전한 거래를 위해 세계 최고 수준의 보안 시스템을 지향합니다.
위 내용을 보면 좀 이상합니다.
'안랩 세이프 트랜잭션'은 해당하는 사이트를 사용하는 개인 PC를 보호하기 위한 솔루션 입니다.
'V3 모바일 플러스 2.0' 도 역시 개인 스마트폰을 보호하기 위한 솔루션 입니다.
이것을 적용하여 이용자가 사용하는 PC와 스마트폰에 대한 보안을 강화했을 뿐 이것이 서버의 보안 주준을 강화하지는 않습니다.
그런데 위의 이야기를 보면 '거래소 서버 보안 수준을 한층 강화합니다.' 라고 되어 있습니다.
서버 보안 강화는 개뿔..... ㅡ.ㅡ?
지갑을 털기 위해서는 private key가 필요합니다.
보통 거래소들은 핫월렛 키를 온라인 서버상에 저장, 종이에 적어 오프라인 보관 등의 방법을 취하는 것으로 알고 있습니다.
또한 위 거래소의 규모로 봤을때는 단일 서명이 아닌 다중 서명(여러 개의 개인키를 두고 일정 수 이상이 개인키가 모여야 지갑에 접근)을 사용했을 것으로 추정됩니다.
'망 분리' '다중 서명' 등이 적용되어 있는데 털렸다면.....
1. 온라인으로 키를 보관하는데 한 곳에 모든 키를 보관
2. '망 분리' 업무용과 외부 접속용이 분리되어 있는 상황에서 업무용에 있는 지갑 private key 탈취
3. 지난 2017년 6월(?)경 발생했던 개인정보 유출사고
네트워크 망이 분리되어 있으면 외부 공격자가 접근하는 것은 매우 어려운 일이고 망분리가 구성되어 있다고 100% 안전한 네트워크도 아닙니다.
특히 망이 분리된 곳에서 침해가 일어나기 쉬운 것이 내부망 - 외부망의 자료를 교환할 때 라고 생각됩니다.
이 위험성을 줄이기 위해서 중간에 망연계 솔루션을 사용하여 보호를 하기는 합니다만 이것을 운영하는데 미숙한 점이 있지 않았을까 추정됩니다.
예를 들면 솔루션에 문서 같은 것에 포함되어 있는 매크로 처리하는 정책이나 설정, 파일의 확장자를 검사하는 설정과 같은 것 말입니다.
빗썸 해킹은 운영상 미숙으로 인하여 벌어진 사태가 아닐까 생각됩니다.