이준호의 사이버보안 이야기 <31> 2조원 규모 가상자산 해킹 사건이 던진 블록체인 보안의 숙제 > News Insight

가상자산의 기술적 안정성은 충분한가?

2024년 11월 6일 트럼프 대통령이 대선승리를 선언하였다. 트럼프의 당선을 누구보다도 반겼던 사람들은 바로 가상자산에 투자하는 사람들이었다. 승리선언 당시 $67,800이던 비트코인의 가격은 본격 랠리를 시작하여 한달 뒤엔 12월 6일 비트코인이 사상 최초로 $100,000를 돌파하였는데 2025년 2월 21일 북한 소행으로 여겨지는 2조원 대의 가상자산(이더리움) 탈취 사건이 발생하면서 다시 $84,000 선으로 무너진 상황이다. 비트코인 가격이 10만달러를 돌파하면서 국내외 언론은 가상자산은 더 이상 투기자산인 아니라 주류자산으로 도약하였다고 한 바 있는데 과연 경제적 자산가치 측면에서의 주류자산이 되기 위해 기술적 안정성이 담보되는 가에 대한 우려가 생긴다.

비트코인 등 가상자산의 기술적 안정성을 위협하는 요소가 하나 더 있는데 바로 양자컴퓨팅의 상용화이다. 비트코인을 비롯한 주요 가상자산의 보안 구조는 현재까지 ‘충분히 어려운 수학적 난제에 기반한 암호’로 유지되어 왔다. 그러나 양자컴퓨팅 시대가 도래하면 이러한 난제를 빠르게 풀 수 있는 ‘큐비트(Qubit)’ 연산 능력이 현실화되어, 가상자산에서 가장 중요한 개인 키(Private Key)와 지갑 주소 보안 체계가 무력화될 수 있다는 우려가 제기된다. 실제로 구글과 마이크로소프트(MS)가 최근 공개한 양자 칩(구글은 ‘윌로우(Willow)’, MS는 ‘마요라나(Majorana) 1’)은 기존 슈퍼컴퓨터로도 불가능했던 연산을 극도로 단축시키는 잠재력을 보여주었다.

문제는 이러한 양자컴퓨터가 본격 상용화될 경우, 비트코인∙이더리움 등 가상자산에 쓰이는 핵심 암호 알고리즘(RSA, ECC 등)이 빠르게 해독될 수 있다는 데 있다. 일반적으로 업계 전문가들은 “비트코인 보안을 깨기 위해선 100만 개 이상의 고품질 큐비트가 필요하고 지금의 발전속도로 비춰 최소 5년~10년 이상 걸릴 것이다”고 말하지만, 구글∙MS의 혁신 발표가 이어지는 데다, IBM·엔비디아 등 다른 대형 기업들 역시 적극적으로 뛰어드는 상황이라 기술 발전 속도를 과소평가하기는 어렵다.

결국 가상자산 시장이 ‘주류 금융자산’으로 인정받기 위해서는, 양자컴퓨팅 위협에 대비한 양자내성암호(Quantum-safe Cryptography)로의 전환만이 아니라, 이미 발생한 2조원 대 해킹 사고에서 드러난 운영 보안 취약점까지 종합적으로 개선해야 한다. 단순히 RSA나 ECC 같은 기존 암호 알고리즘을 양자 시대에 맞는 체계로 교체하는 것만으로는 부족하다. 중앙화 거래소의 핫월렛 보안, 개인 지갑 및 스마트컨트랙트 코드 감사, 공급망(협력사·파트너사)까지 포함한 전반적인 관리 체계 고도화 등 ‘운영 보안’ 전반을 재정비해야 한다.

특히 멀티시그(Multisig)나 콜드월렛 확대 같은 기본 보안 전략을 실질적으로 적용하는 노력이 중요하다. 또한 국제 공조와 표준화, 그리고 금융권 수준 이상의 강력한 규제·감독이 뒤따라야만 대규모 자금 탈취 시도가 억제되고, 사고 발생 시에도 신속한 대응이 가능해진다. 결과적으로 합의 알고리즘 교체나 양자 안전성을 갖춘 키 생성 방식 도입 등 기술 측면의 혁신과, 운영·관리·규제가 어우러진 보안 체계 확립이 함께 이뤄질 때 비로소 가상자산 시장은 진정한 의미의 주류 금융자산으로 도약할 수 있을 것이다.

북한발 2조원 가상자산 해킹 사건이 던진 블록체인 보안의 숙제

1. 대규모 해킹이 보여준 현실: “중앙화 거래소가 가장 취약하다”

2조 원 규모에 달하는 가상자산 탈취 사건이 세상에 알려지자, 시장은 단숨에 냉각됐다. 과거에도 북한발 해킹이 금융권 등을 노린 전례가 있었지만, 이번처럼 한 번의 공격으로 수조 원대 자금이 유출된 사례는 충격적이다. 공격 타깃은 보안이 취약한 개인 지갑이 아니라, 핫월렛 기반의 중앙화 거래소였다는 점에서 업계가 크게 긴장하고 있다. 언제든 대규모 자금이 몰린 곳이 공격 대상이 될 수 있다는 사실을 재확인한 사건이었다.

2. 블록체인 ‘자체’ 보안 vs. ‘운영’ 보안

흔히 블록체인은 ‘탈중앙화돼 있으니 해킹이 불가능하다’고 오해되곤 한다. 실제로 블록체인 원장 자체는 분산 합의를 통해 위·변조 난도가 높은 편이다. 그러나 중앙화 거래소, 개인 지갑, 스마트 컨트랙트 운영 등 기술 외적인 운영 지점에서 해킹이 빈번하게 일어난다. 즉, 블록체인 네트워크의 보안성과 네트워크를 활용하는 응용 시스템의 보안은 별개의 문제다. 이번 2조 원 탈취 사건은 블록체인 ‘코어 기술’만 믿고 보안 투자를 소홀히 하면 어떤 결과가 오는지를 적나라하게 보여준다.

3. 양자컴퓨팅이 가속할 위협 시나리오

여기서 양자컴퓨팅의 상용화가 가져올 파장은 더욱 위협적이다. 현재 대규모 해킹 공격조차도 주로 피싱·사회공학·취약점 탐색과 같은 방법이 활용된다. 그런데 양자컴퓨팅이 보편화되면, 해커들이 엄청난 연산 능력을 이용해 개인 키나 지갑 주소를 직접 노리는 공격이 가능해질 수 있다.

    • “100만 개의 큐비트가 상용화된다면, RSA 등 기존 암호는 순식간에 풀릴 것이다.”

    • 이 말이 당장 현실화되지 않더라도, 구글∙MS∙IBM 등 빅테크의 양자컴 기술 발표는 이미 가속 페달을 밟고 있는 상태다.

4. 북한발 해킹의 업그레이드: “미래기술과 결합할 가능성”

북한이 전문 해커 조직을 통해 자금을 확보해온 것은 이미 여러 차례 보도된 사실이다. 그들이 차세대 해킹 기술(예: AI, 양자컴퓨팅 등)에 재빨리 뛰어들 가능성도 충분히 예측할 수 있다. 이번 2조 원 탈취 사례가 단발적 사건에 그치지 않고, 양자컴퓨팅의 발전 속도와 맞물려 대규모 공격이 반복되는 악순환이 생길 수 있음에 대한 경각심을 가져야 한다.

대책과 전망: 양자시대, 블록체인 보안이 갖춰야 할 것들

1. 양자내성암호(Quantum-safe Cryptography) 전환

    o 기존 RSA, ECC 기반 암호 체계를 대체하거나 보완하는 ‘포스트 양자 암호(PQC)’ 표준이 이미 논의되고 있다.

    o 가상자산의 합의 알고리즘 혹은 지갑 프로토콜도 마찬가지로 양자 내성 기술을 채택해야, 향후 대규모 해킹 위협에서 살아남을 수 있다.

2. 다중 서명(Multisig) 및 콜드월렛 확대

    o 중앙화 거래소 혹은 기관투자자 입장에서, 핫월렛(상시 온라인 상태인 지갑)만으로 자금을 관리하는 것은 이미 시대착오적이라는 지적이 나온다.

    o 여러 주체의 서명을 받아야 거래가 이뤄지는 멀티시그, 인터넷과 분리된 콜드월렛 등의 활용 폭을 키우는 것이 대규모 피해를 방지하는 기본적인 조치다.

3. 거버넌스 차원의 보안 투자 및 국제 공조

    o 가상자산 산업도 이제 금융권 수준의 보안 의무를 적용받게 될 가능성이 크다.

    o 해커들이 국경을 넘나들며 공격하는 만큼, 국제 사회가 ‘사이버보안 지침 표준화’, ‘피해사례 정보공유’, ‘수사 공조’를 더 촘촘하게 추진할 필요가 있다.

4. 리스크관리 관점에서 가상자산 보안 재정비

   o 단지 가상자산거래소만의 문제가 아닌, NFT 플랫폼, 디파이(DeFi), 스마트컨트랙트 기반 서비스 전반이 위험에 노출되어 있다.

   o 마켓 성장이 빨라질수록, 서비스에 참여하는 모든 사업자가 보안 점검(스마트 컨트랙트 감사 등)과 백업 체계를 강화해야 한다.

맺음말: “블록체인, 진짜 주류가 되려면”

가상자산이 단순 ‘투기’가 아닌 주류 금융자산으로 자리매김하고자 한다면, 안정적인 보안 체계와 신뢰성이 필수 전제다.

    • 북한발 2조 원 해킹 사고는 우리의 보안 경각심을 일깨워주는 강력한 신호탄이 되었다.

    • 여기에 양자컴퓨팅 시대의 도래는 블록체인 업계가 더 이상 보안 강화를 미룰 수 없다는 점을 극명히 보여준다.

결국 가상자산의 미래는 거대한 기술 도전(양자연산, 블록체인 합의 알고리즘 고도화 등)과 거버넌스 혁신(국제 공조, 규제 체계 정비, 보안 의무화)을 얼마나 조화롭게 수행하느냐에 달려 있다. 이 과제를 해결해낸다면 블록체인은 ‘혁신적인 분산 네트워크’를 넘어, 금융·산업 전반의 인프라를 책임질 진정한 주류 자산으로 거듭날 수 있을 것이다.

<ifsPOST>