테크레시피

평균 5개씩 결함이…ICO 보안주의보

ICO(initial coin offering) 그러니까 가상화폐공개는 신생기업이 암호화폐를 이용해 자금을 조달하는 방식이다. 기존 주식공개상장, IPO(Initial Public Offering)보다 자금 조달 방법이 손쉽다는 이유로 최근 주목받고 있다. ICO는 자금들 조달하려는 기업이 자체 토큰, 암호화폐를 발행해 자금을 제공하려는 투자자는 다른 암호화폐로 토큰을 구입하고 기업은 손에 쥔 암호화폐 판매 금액을 쓴다. ICO는 증권회사 심사 등이 필요한 IPO보다 쉽게 자금을 조달할 수 있고 전 세계 투자자가 쉽게 참여할 수 있다는 장점이 있다.

물론 반대로 ICO는 사기를 치기 쉬운 자금 조달 방법이라고 말하기도 한다. 실제로 거금을 챙긴 ICO 스타트업이 행방을 감춘 사건이 발생하기도 했다. 실제로 지난 2월 암호화폐로 자금을 모으던 스타트업 루프엑스(LoopX)가 450만 달러를 모은 시점 갑자기 웹사이트와 모든 SNS 게정을 폐쇄하고 자취를 감춰버린 사건이 일어나기도 했다. 루프엑스는 2월 13일 웹사이트를 돌연 폐쇄하고 페이스북과 텔레그램, 유튜브 계정도 잇달아 없앴다. 사건이 일어나기 일주일 전 루프엑스 측은 투자자들에게 일주일 안에 깜짝 놀랄 일이 벌어질 것이라는 취지의 이메일을 보내기도 했다. 물론 당시에는 이렇게 잠적하는 것이라고 생각한 사람은 없었다. 이렇게 자금 중개 역할을 맡는 증권사가 중간에 낀 것도 아닌 만큼 ICO에 참여할 때에는 주의가 필요할 수 있다는 점도 염두에 둬야 한다.

암호화폐에 대한 관심은 지난해 12월 중순 비트코인 개당 가격이 2,000만 원을 넘어서는 등 급등을 하면서 관심을 끌기 시작했다(아래는 당시 열풍을 풍자한 애니메이션). 전 세계 각국에서 규제를 강화하는 흐름과 반대로 암호화폐를 도입하려는 일부 움직임이 나타나는 등 암호화폐나 ICO에 대한 관심이 커지고 있는 상황. 블록체인 업계에선 이런 점에서 2018년을 블록체인 원년이라고 부르기도 한다.

그런데 이런 ICO 1건당 평균 5개 가량 보안 결함이 있다는 보도가 나와 눈길을 끈다. ICO 보안 전문 기업인 포지티브닷컴(Positive)가 조사한 바에 따르면 지난해 진행된 ICO 1개당 평균 5개씩 보안 결함을 나타냈다는 것. 포지티브닷컴이 조사한 ICO 프로젝트 가운데 71%에 이르는 ICO에서 보안 결함이 확인됐다고 한다. 이 중에서도 블록체인을 이용한 암호화폐 거래를 자동화한 프로그램인 스마트 계약 쪽 보안 결함이 가장 많았다고 한다.

ICO를 시작하면 ICO에 쓰이는 암호화폐나 스마트 계약 프로그램은 공개 이후 변경이 불가능하다. 이런 점 때문에 누구나 ICO의 보안 결함을 찾을 수 있다. 보안 결함 대부분은 난수 부정확선 등 프로그래머의 전문성 부족이나 부족한 소크코드 테스트로 인해 발생한 것이라고 한다.

회사 측은 ICO의 웹 애플리케이션보다 모바일앱 쪽 결함이 2.5배라고 밝히면서 지난해 진행된 ICO 중 모든 모바일앱에 보안 결함이 있다고 덧붙이기도 했다. 그만큼 ICO 모바일앱은 데이터 전송을 안전하지 않은 방법으로 하고 모바일 기기 본체 백업에 사용자 데이터를 저장해버리는 것 같은 결함 탓에 해커가 사용자의 암호화폐를 노릴 가능성이 있다.

물론 ICO 진행 측의 보안 의식 부족도 많아 보인다는 지적이다. ICO 주최 측이 공식 도메인이나 SNS 게정을 보유하고 있지 않은 곳도 있다. 이 말은 바꿔 말하면 누군가 공식 SNS처럼 보이게 만들 수 있다는 걸 의미하고 해커가 ICO 투자자를 피싱 사이트로 유도하는 걸 방치하는 꼴이 될 수 있다. 그 밖에 2단계 인증 설정을 하지 않는 등 ICO나 ICO 주최 측의 해킹 공격 취약성을 지적했다.

지난 한 해 동안 진행된 ICO의 금액은 무려 50억 달러(한화 5조원대) 이상이라고 한다. ICO 진행 측이나 투자자 모두 거액을 운용해야 하는 만큼 보안 대책에 대한 세심한 체크가 필요할 것으로 보인다.

보안 문제는 기본기에 속한다고 할 수 있지만 ICO에 참여한다면 투자자 보호가 쉽지 않다는 점에서 꼼꼼한 체크가 필요하다는 점을 생각해둬야 한다. 한 조사 결과에 따르면 조사 대상 ICO 중 81%는 프로젝트를 수행하고 있는지 여부를 알 수 없는 사기성으로 간주되는 것이라는 결과도 있다. 6%는 자금 부족 등 실패, 5%는 자금 조달에는 성공했지만 거래소에서 거래가 이뤄지지 않는 상태, 실제 거래소에서 거래가 가능해진 암호화폐는 8% 정도라고 한다.

거래소에서 거래 중인 암호화폐 역시 시가총액 5,000만 달러 이상만 보면 2.8%는 쇠퇴, 1.6%가 유망, 성공이라고 말할 만한 암호화폐는 3.8%였다고 한다. 성공이라고 말하는 건 블록체인 구성이나 관련 제품이 적어도 테스트 단계까지 이른 걸 말하거나 사이트에 알기 쉬운 로드맵이 있고 3개월 안에 깃허브에 코드 공개 등을 한 걸 말한다. 물론 시가 총액이 10억 달러 이상으로 올라가면 암호화폐 쪽에서도 성공이나 유망이라고 판단할 만한 게 많다. 반대로 시가총액이 내려가면 반대 쪽 수치가 높다.

lswcap

월간 아하PC, HowPC 잡지시대를 거쳐 지디넷, 전자신문인터넷 부장, 컨슈머저널 이버즈 편집장, 테크홀릭 발행인, 벤처스퀘어 편집장 등 온라인 IT 매체에서 '기술시대'를 지켜봐 왔다. 여전히 활력 넘치게 변화하는 이 시장이 궁금하다.

뉴스레터 구독