'가상자산 지갑', 보안 허술…모의해킹 테스트도 안해
가상자산 지갑 상당수가 모의 해킹 테스트도 실시하지 않는 등 보안 관리를 허술하게 하는 것으로 조사됐다. 블록체인 매체 텔레그래프는 10일(현지시간) 가상자산 기업 대상 보안 감사 플랫폼 CER이 가상자산 지갑들의 보안 현황을 분석한 보고서를 인용해 이같이 보도했다. 보고서는 가상자산 지갑 45종에 대해 모의 해킹 테스트를 실시했는지 조사했다. 조사 결과 테스트를 실시한 것으로 파악된 제품은 6종뿐이었다. 하지만 테스트 수행한 제품 6종 중 '메타마스크', '젠고' ,'트러스트월렛' 3종만 서비스 최신 제품을 대상으로 테스트했다. '래비', '비프로스트'는 과거 버전에서 모의 해킹 테스트를 실시했다. '렛저 라이브'는 테스트를 실시한 버전이 정확히 파악되지 않았다. 가상자산 지갑은 해커들의 타깃이 되고 있다. 사고도 빈번히 나타나는 편이다. 실제 지난 6월 지갑 '아토믹 월렛'이 해킹돼 1천200억원 이상의 가상자산이 탈취됐다. 지난 3월에는 알고랜드 기반 가상자산 지갑 '마이알고'가 해킹을 당해 약 120억원 수준의 피해가 발생했다. 모의 해킹 테스트는 해킹의 단초가 될 수 있는 보안 취약점을 사전에 파악하고, 대응 가능하다는 장점이 있다. 가상자산 지갑에 특히 필요한 투자다. 그럼에도 대다수의 지갑들이 이런 보안 검증을 거치지 않고 있는 것이다. CER는 비용 문제가 모의 해킹 테스트에 소홀한 이유라고 분석했다. 가상자산 지갑들은 업데이트를 자주 하는 편이고, 이 때마다 모의 해킹 테스트를 거치는 것이 이상적이지만 자금력이 부족한 기업에겐 테스트 비용이 부담이 된다는 것이다. 이런 점 때문에 이용자 기반이 탄탄하고 그만큼 사업이 호조인 기업의 가상자산 지갑이 보다 보안 투자를 많이 하고, 보안이 강력하다는 점 때문에 더 많은 이용자를 확보하는 선순환이 발생한다고 봤다. CER는 모의 해킹 테스트 여부 외 보안 취약점 포상제(버그 바운티) 운영 현황, 해킹 사고 이력, 패스워드 복원 등 가상자산 지갑의 보안 요소를 종합적으로 평가한 결과도 공유했다. CER은 이런 기준에 따라 메타마스크, 젠고, 래비, 트러스트월렛, 코인베이스월렛을 비교적 안전한 지갑으로 꼽았다. CER는 가상자산 지갑 업체들의 버그 바운티 운영 현황을 분석한 결과, 자체 운영 중인 기업보다 타사의 버그 바운티 제도에 참여하는 경우가 보다 보안에 긍정적인 효과를 가져온다고도 짚었다. 지갑 45종 중 23종이 버그 바운티 제도를 운영하고 있는데, 이 중 자체적으로 버그 바운티 제도를 둔 9종 중 4종이 보안 침해를 경험했다. 반면 타사 제도에 참여하는 14종 중 보안 침해를 경험한 건 1종뿐이었다. CER는 "더 다양하고 많은 보안 연구원과 화이트해커가 버그를 탐색할 가능성을 키우기 때문"이라고 설명했다.