2018년 새해가 밝으며 가상통화 시장도 새로운 해를 맞이했다. 2017년 한 해동안 가상통화 비트코인은 연초 대비 가격이 1600%나 뛰며 큰 폭으로 성장했다. 정부의 연이은 규제와 ‘가상통화는 화폐가 아니다’라는 스탠스에도 가상통화 열풍은 시들지 않고 있다. 가상통화 시장으로 투자금이 쏠리면서 일부 해킹 세력은 이들의 돈을 노리기 시작했다. 실제 12월 지난해 가상통화 거래소 ‘유빗’은 해킹으로 파산 절차를 밟기도 했다.

비트코인 등 가상통화는 블록체인이라는 기술을 기반으로 거래된다. 블록체인은 각각의 거래가 체인 형태로 연결되는 신개념 기술로 개별 거래가 전체 거래를 담보하기 때문에 조작이나 위조가 원칙적으로 불가능하다. 또 전체 거래의 50% 이상을 동시에 해킹해야만 해킹에 성공할 수 있기 때문에 보안능력도 매우 뛰어나다.

이러한 이유로 해커들은 주로 블록체인이 아닌 거래소나 사용자들의 ‘지갑’을 노리게 된다. 보안이 뛰어난 블록체인 기술이 적용됐음에도 가상통화 관련 해킹 범죄가 계속해서 늘어나고 있는 것도 이 때문이다. 

가상통화를 담는 지갑(Wallet)은 그래서 중요하다. 뜨거운 지갑인 ‘핫월렛’과 차가운 지갑인 ‘콜드월렛’은 그 이름만큼이나 성격도 보안도 모두 다르다. 어둠의 세력으로부터 내 투자금을 안전하게 지킬 수 있는 방법. 가상통화 지갑의 종류를 알아두는 것이 해킹을 피할 수 있는 지름길이다.

인터넷 연결 여부로 나뉘는 핫월렛과 콜드월렛

가상통화 지갑의 종류는 ‘인터넷 연결 여부’에 따라 나뉜다. 핫월렛은 인터넷에 연결돼 있고 콜드월렛은 그렇지 않다. 인터넷에 연결된 핫월렛은 가상통화 거래를 더 편리하게 할 수 있지만 인터넷이나 피싱사기 등 해킹에 취약하다. 반면 오프라인으로만 이용할 수 있는 콜드월렛은 거래는 불편하지만 해킹에서 자유롭다는 특징이 있다. 쉽게 말해 핫월렛은 자유롭게 돈을 넣고 뺄 수 있는 ‘예금 계좌’이고 콜드월렛은 입금은 되지만 출금이 자유롭지 않은 ‘적금 계좌’인 셈이다.

일반적으로 가상통화 거래자는 핫월렛과 콜드월렛을 동시에 보유한다. 소량의 거래 가용 통화는 핫월렛에 둔 채 거래에 이용하고 나머지 통화는 콜드월렛에 두고 안전하게 보관하는 것이다. 대부분의 가상통화 거래소 역시 핫월렛과 콜드월렛을 동시에 운용하고 있다.

▲ 지난달 19일 해킹으로 파산 절차에 들어간 유빗의 공지문. 출처=유빗

지난달 19일 파산을 선언한 가상통화 거래소 유빗의 공지문에서도 그 흔적을 찾을 수 있다. 유빗은 공지문에서 “지난 4월 사고 이후 보안강화와 인원 충원, 시스템 정비 등에 최선을 다했으며, 핫월렛 보유 비율을 낮춰 관리해 왔습니다. 그러던 중 금일 새벽에 해킹으로 인해 코인 출금지갑에 손실이 발생했습니다”라고 밝혔다. 유빗은 해킹으로 전체 자산의 17%를 잃었다고 설명했다. 인터넷에 연결돼있는 핫월렛은 해킹에 취약하기 때문에 해커에게 노출되면 사실상 무방비 상태라고 볼 수 있다.

이 때문에 과학기술정보통신부는 지난해 9월 거래소에 가상통화 예치금의 70% 이상을 ‘콜드월렛’에 유치하도록 권고안을 내리기도 했다. 또 투자자 자산 보호를 위해 가상통화가 아닌 원화 예치금의 경우 100% 금융기관을 통해 관리하도록 했다.

해킹에서 내 가상통화를 지키려면?

핫월렛의 보안은 거래소나 개인의 보안 정도에 따라 천차만별로 달라진다. 인터넷에 연결돼있기 때문에 해킹에도 취약하다. 만약 핫월렛 비중이 높은 거래소에 모든 투자금을 넣고 있는 상황에서 거래소가 해킹당할 경우, 내 투자금을 모두 잃을 위험도 있다. 따라서 가상통화 거래 후에는 개인 지갑인 콜드월렛으로 자금을 옮기는 것이 중요하다. ‘

하드웨어 지갑은 콜드월렛의 대표적인 케이스다. 하드웨어 지갑은 인터넷 연결이 되지 않은 상태에서 물리적 드라이브에 프라이빗 키와 가상통화를 저장하는 지갑이다. USB스틱 형태로 만들어져 휴대와 보관도 용이하다. 거래소 지갑에서 얻은 가상통화를 하드웨어 지갑으로 수시로 옮겨 다량의 자산을 보유하는 것이 좋다. 물론 하드웨어 지갑 자체를 분실∙도난하게 될 경우가 있으니 주의해야 한다.

거래소 지갑을 이용할 때는 2단계 인증(2FA)를 지원하는 거래소만 이용하는 것이 좋다. 2FA는 일반 금융 거래의 OTP와 비슷한 개념으로 거래소 ID, 비밀번호 외에 추가 인증을 하는 것이다. 구글 Authenticator나 Authy 등 어플리케이션을 이용하면 편리하다. 2FA 어플리케이션은 일정 시간마다 숫자를 무작위로 만들어내는데 거래소 로그인이나 가상통화 출금 시 이 숫자를 입력해야한다. 따라서 아이디와 비밀번호가 노출됐더라도 2FA 코드는 알 수 없기 때문에 이중으로 자산을 보호할 수 있다.