내 이더 훔쳐간 놈 찾다가 암호화폐 추적 솔루션 개발했다오

[인터뷰] 패트릭 김 웁살라 시큐리티(센티넬프로토콜) 대표

등록 : 2019년 5월 17일 16:00 | 수정 : 2019년 5월 17일 17:30

시스코, 팔로알토 네트웍스, 포티넷, F5 네트웍스, 다크트래스… 누구나 알만한 전 세계에서 손꼽히는 네트워크 보안 솔루션 기업이다. 이런 곳에서 일하려면 어떻게 해야 할까? 고등학교 때 온힘을 다해 공부해서 좋은 대학교를 진학해 컴퓨터공학을 전공하고, 관련 IT 자격증도 따고, 더 따고 많이 따고, 영어 공부를 열심히 하고 또 해서 대학교를 졸업하면 가능하다는 게 일반적인 대답일 것이다.

그는 이같은 전형적 선입견을 뒤집었다. 고졸 출신이다. 독학으로 공부했다. 시스코 싱가포르 지사에서 아키텍처 엔지니어로 일했다. 이후 다양한 글로벌 보안 업체에서도 활동했다. 해외에서 보안 전문가로 십여년을 활동했다. 블록체인 기반 보안 플랫폼 센티넬프로토콜(Sentinel protocol)을 개발한 웁살라 시큐리티(Uppsala Security)의 패트릭 김(본명 김형우) 대표다. 패트릭 김 대표는 2007년 시스코를 시작으로 지난해 웁살라 시큐리티 설립 이전까지 11년간 해외에서 보안 전문가로 활동했다.

패트릭 김 웁살라 시큐리티 대표. 출처=박근모

여느 기사였다면 이 정도 대목에서 ‘세계 최고의 보안 전문가’ 같은 수식어가 등장할 때인데…, 그는 또 선입견을 뒤엎는다. 암호화폐 지갑을 해킹당했다. 보안 전문가인데! 아차! 패트릭 김 대표는 그제야 블록체인 분야에도 전문 보안 업체가 필요하다는 걸 깨달았다. 그리고 뛰어들었다.

지난 13일 서울 강남구 삼성동에 위치한 웁살라 시큐리티 사무실에서 만난 패트릭 김 대표는 친절하면서도 말 한마디 한마디에 자신감이 넘쳤다. 처음 보자마자 대뜸 “저희 웁살라 시큐리티의 목표를 말씀드릴게요”라고 했다. 그런데…!

“SAVE THE WORLD.”(세상을 구하자)

순간 당황했다. 뭐지? 어벤저스인가? 왜요? 패트릭 김 대표는 약간 부끄러움이 느껴지는 당당한 목소리로 말했다.

“해외에서 나름대로 보안 전문가로 십여 년을 활동했습니다. 보안 전문가로서 최신 IT 기술을 살펴보다 2012년 11월경 블록체인을 알게 됐죠. 직접 비트코인과 이더리움을 직접 채굴했어요. 많은 암호화폐 거래소에서 거래도 했어요. 그러던 제가, 보안 전문가였던 제가, 지난 2016년 5월경 보유하고 있던 이더리움 7218개를 해킹당했습니다. 당시에는 알려지지 않았던 이더리움의 취약점을 해커가 노린 거였죠. 이 사실을 이더리움 재단에 알렸지만, 대수롭지 않은 문제라며 무시당했습니다. 블록체인과 암호화폐를 이용하는 사람 중에서 저 같은 경우가 또 있으면 안 되잖아요. 그런 마음에 직접 블록체인 보안 업체 웁살라 시큐리티를 만들게 됐습니다.”

패트릭 김 대표가 자신이 해킹당한 원인을 분석한 웹사이트.

 

과정이 그렇게 간단했던 건 아니다. 패트릭 김 대표는 당시 ‘시큐리티7218‘이라는 웹사이트를 만들었다. 해킹당한 이더리움 7218개의 한을 담은 이름이다. 시큐리티7218은 이더리움의 보안 취약점 2개를 찾아냈다. 그 내용을 서술하고 시연 영상을 공개했다. 이더리움 재단의 도움은 받지 않았다.

하지만 분실한 이더리움은 찾을 수 없었다. 그때부터 해커와 쫓고 쫓기는 추격전이 시작됐다. 추격전의 결과는? 암호화폐 추적 솔루션인 CATV(Crypto Analysis Transaction Visualization) 개발로 이어졌다. 센티넬프로토콜의 독자적인 기술이다.

“대부분은 ‘이더스캔‘이라는 이더리움 익스플로러로 암호화폐의 이동 경로를 추적합니다. 저도 처음에는 그랬습니다. 하지만 해커는 빼돌린 암호화폐를 추적하지 못하게 하려고 수많은 지갑으로 암호화폐를 나눴다가 다시 합치기를 반복합니다. 이걸 우리는 ‘믹싱 앤 텀블러(Mixing and Tumbler)’라고 부릅니다. 제 지갑에서 빠져나간 이더리움은 해커가 1000여 번 이상 쪼개고 합치며 추적을 피하더라고요. 결국 도난당한 제 이더리움의 일부가 해외 거래소에서 현금화가 이뤄진 것을 확인했습니다. 물론 해당 거래소에 항의했지만, 보상 받진 못했습니다.”

추적과 공포(…) 패트릭 김 대표가 도난당한 자신의 이더리움을 CATV로 추적한 모습. 출처=센티넬프로토콜

 

이후 패트릭 김 대표의 지갑에서 빠져나간 이더리움은 2년 3개월 동안(2016년 5월12일~2018년 8월28일)까지 1177번에 걸쳐 섞이고, 쪼개짐을 반복했다. 그렇게 도난 당한 이더리움은 폴로닉스, 비트렉스, BTC-e, 쿼드리가, 셰이프시프트 등의 거래소 지갑으로 들어갔다. 그리고 거래가 사라졌다. 이후 현금화됐을지, 묻혀있는지 모른다.

이더스캔에서 일일이 수작업으로 추적하려니 보통 일이 아니었다. 이런 개고생이 있나. 패트릭 김 대표는 힘들었다. 그래서 대신 이를 추적하는 솔루션 개발에 집중했다. 결국 추적 솔루션 CATV가 개발됐다. 지갑 주소만 알면 거기에 연결된 모든 연결 고리를 시각화하는 시스템이다.

그랬더니 다른 게 보이기 시작했다. 그는 최근 해커들이 탈취한 암호화폐의 현금화 과정이 복잡해지고 있다고 설명했다. 규제 당국은 전 세계적으로 AML(자금세탁방지), ACL(코인세탁방지)가 확산하면서 KYC(개인 확인 절차) 강화를 요구한다. 해커들은 이를 우회한다. 셰이프시프트 등 익명화 거래소나 개인 간 거래가 이뤄지는 탈중앙화 거래소(DEX)에서 암호화폐를 현금화하는 사례가 늘고 있다. 일반적인 방법으로는 추적이 더욱 어렵다.

좀 더 자세히 살펴보자.

센티넬프로토콜의 보안 솔루션은 △TRDB(위협정보데이터베이스) △웁워드(UPPward) △ICF(Interactive Cooperation Framework) △CATV 등 크게 4가지로 나눠진다.

TRDB 화면 중 일부. 출처=센티넬프로토콜

 

누구나 신고하면 전문가들이 검증한다 TRDB 

먼저 TRDB는 센티넬프로토콜의 핵심 기능이다. 모든 보안 위협 정보(URL, 도메인, 아이디, 지갑주소, 이메일주소 등)를 모아서 관리한다. 기본적으로 블랙리스트(Blacklist)와 화이트리스트(Whitelist)로 이뤄진다. 블랙리스트에 오르면 접근이 차단되고, 화이트리스트에는 등록된 경우에만 접근을 허용한다.

TRDB는 현재 EOS에 기록돼 관리 중이다. 패트릭 김 대표는 보안 위협정보는 누구에게나 필요한 정보인 만큼 누구나 접근할 수 있는 블록체인이 최적의 플랫폼이라고 설명했다. 또 위협정보의 신뢰도를 담보하기 위해 수집된 정보를 임의로 수정할 수 없어야 한다는 조건도 만족했다고 덧붙였다.

“전 세계 유수의 보안 업체들은 저마다 위협정보를 수집하죠. 수집된 위협정보가 곧 그 업체의 보안 수준을 의미합니다. 그렇기 때문에 수집된 위협정보는 타 업체와 공유하지 않습니다. 오히려 수집한 정보를 다른 기업에 팔죠. 우리는 보안 위협정보, 특히 암호화폐 관련 위협정보는 누구나 활용할 수 있어야 그 정보가 진정한 가치를 얻을 수 있다고 생각했습니다. 또 보안 영역에서 가장 중요한 것은 데이터의 신뢰도입니다. 기록된 위협정보가 누군가에 의해 임의로 위변조된다면 그 정보뿐만 아니라 전체 데이터에 대한 신뢰가 사라집니다. 그래서 TRDB를 블록체인과 결합했습니다.”

TRDB 작동 구조. 출처=센티넬프로토콜

센티넬프로토콜이 작년 8월부터 9개월간 수집한 위협정보는 131만6762건에 달한다. 현재 하루에 수십 건씩 위협정보가 늘고 있다. 센티넬프로토콜의 TRDB에선 업계 관계자나 일반 사용자 누구나 의심스러운 정황을 제출할 수 있다. 그러면 ‘더 센티넬(The Sentinel)’이라 불리는 20여 명의 외부 보안 전문가와 30여 명의 내부 보안 전문가가 검증해 위협정보로 기록한다. 자율적인 위협정보 참여 방식이다. 패트릭 김 대표는 이를 ‘크라우드 소스'(Crowd source)’로 묘사했다.

“TRDB는 일반인 누구나 자신의 피해 사례나 의심 정황을 육하원칙에 맞춰 제출하면, 보안 전문가 검증 뒤 등록됩니다. 지금은 베타버전인 만큼 보상 시스템이 구축되지 않았습니다. 하지만 올 3분기 중에는 보상 시스템을 추가할 계획입니다. 위협정보를 신고한 사람이나 이를 검증한 사람 모두에게 보상을 지급하는 형태로 이뤄질 것으로 기대합니다.”

크롬과 파이어폭스 스토어에서 웁워드를 설치할 수 있다. 출처=크롬 웹 스토어

 

개인 사용자 보호 웁워드

웁워드는 웁살라 시큐리티가 개발한 개인 사용자용 암호화폐 스캠(Scam)과 사기보호 솔루션이다. 사용법은 간단하다. 일단 크롬·파이어폭스 브라우저의 확장 프로그램으로 설치한다. 브라우저상에서 암호화폐를 전송하면 해당 지갑 주소를 TRDB의 정보와 대조한다. 스캠으로 등록되거나 의심스러운 정황이 있는 주소면 경고를 한다. 피싱(Pishing) 웹사이트나 유명인사를 가장한 SNS 등도 위협 여부를 분석해 알려준다.

예컨대, TRDB 블랙리스트에는 비탈릭 부테린(Vitalik Buterin)을 사칭하는 SNS 60여 개가 등록돼있다. 웁워드를 설치한 브라우저를 쓰는 사용자가 블랙리스트에 오른 SNS나 지갑주소를 조회하면 웁워드가 위협 경고를 울린다.

비탈릭 부테린을 사칭한 SNS 계정 정보가 수집돼 있다. 출처=센티넬프로토콜

 

ICF는 기업 사용자를 위한 기능이다. ICF는 TRDB와 CATV을 API로 연결해 외부 사용자가 해당 기능을 자유롭게 사용할 수 있다.

“TRDB의 정보는 암호화폐 거래소, 월릿 개발사, 결제 솔루션 개발사를 비롯해 금융권에서도 유용합니다. TRDB를 활용하면 사용자가 거래소 지갑에서 암호화폐를 스캠이나 피싱 사이트에 전송하는 것을 막을 수 있습니다. 월릿 개발사나 암호화폐 결제 솔루션 개발사도 마찬가지입니다. 금융사들도 최근 관심이 높아지고 있습니다. 거래소도 기업인만큼 기본적으로 금융 기관과 금융거래를 하게 됩니다. 이 과정에서 금융사는 자금세탁방지(AML)를 지키기 위해서 자신들이 거래 중인 거래소가 안전한 암호화폐 거래를 하고 있는지 확인해야 합니다. ICF를 이용하면 이들 모두가 TRDB, CATV 등을 사용할 수 있습니다.”

CATV 화면 모습. 출처=센티넬프로토콜

 

두둥! 지갑 주소 하나면 모든 코인 이동 내역이

그리고 CATV. 패트릭 김 대표는 목소리를 가다듬었다. 가장 힘있는, 자신이 넘치는 목소리로 “전 세계에서 이런 기술을 갖고 있는 곳은 우리가 유일하다”고 했다. 확실히 놀라웠다. CATV는 지갑 주소 하나만으로 그와 연결된 모든 지갑과 트랜잭션을 한눈에 볼 수 있다.

퓨어빗이 모금한 이더리움이 타 거래소로 이동된 모습. 출처=센티넬프로토콜

 

가령 퓨어빗 사례를 CATV로 살펴보자. 지난해 11월5일 채굴형 거래소를 만든다며 26억 원의 투자금을 모았다가 잠적해 먹튀 논란이 있었다. 당시 퓨어빗이 모금한 이더리움 지갑 주소는 ‘0x7DF1BD58e8Fd49803E43987787adFecB4A0A086C’이다. 이 지갑 주소를 CATV에 입력하자 해당 지갑 주소에서 발생한 모든 거래 내역이 그래프로 떴다. 모두 231번의 트랜잭션이 발생했다. 일부는 약 한달(11월 5일~12월 9일) 동안 6차례에 걸쳐 약 615ETH(이더리움)이 업비트의 지갑으로 이동됐다. 마찬가지로 게이트.io, 캐셔레스트 등으로도 이체된 것으로 나타났다. 지난 8일 바이낸스 해킹으로 도난당한 7070BTC 추적도 가능했다.

CATV로 바이낸스에서 탈취된 7070BTC를 추적한 모습. 출처=센티넬프로토콜

“CATV를 활용하면 기존에 추적하기 어려웠던 지갑주소나 트랜잭션을 한 번에 볼 수 있습니다. 특히 최근에는 해커들이 사법 당국의 추적을 피하기 위해서 수천 회에 걸쳐 ‘믹싱 앤 텀블러(Mixing and Tumbler)’를 합니다. 추적하는 게 불가능해집니다. 하지만 CATV는 그것조차도 모두 추적해 그래프로 보여줍니다. 다만, 현재는 이더리움과 ERC-20 기반의 토큰만 가능합니다. 올해 중 EOS, 리플, 라이트코인 등도 지원할려고 준비 중입니다.”

CATV가 지갑주소 추적만 하는 건 아니다. 애써 추적해도 누구 건지 모르면 헛수고나 다름없다. 이를 위해 센티넬프로토콜은 국내외 암호화폐 거래소의 거래소 지갑 주소를 모두 분석했다. 국내 거래소의 지갑 주소 정보 100만 건 이상과 해외 거래소의 지갑 주소 정보 1800만 건 이상을 모두 식별해 확보했다고 센티넬프로토콜은 설명했다.

“CATV 개발을 하면서 이해가 안 된 부분이 바로 이거에요. 거래소들이 지갑 정보를 전혀 안 줘요. 핫월릿 지갑 주소는 이미 공개된 정보나 마찬가지인데, 요청하면 보안을 이유로 알려주질 않아요. 그래서 우리가 직접 하나하나 다 찾았어요. 물론 나중에는 자동으로 거래소 지갑을 수집할 수 있는 기술도 개발했죠.”

패트릭 김 대표는 수집한 지갑 정보도 EOS에 기록 중이라고 설명했다. 특히 TRDB와 마찬가지로 거래소 지갑 정보는 산업보안표준모델인 STIX(Structured Threat Information eXpression)로 작성했다. 수집된 정보를 누구나 가져가서 활용할 수 있도록 기초 작업을 미리 해놓은 셈이다.

이 훌륭한 기술을 보면서 감탄을 내뱉던 중 웁살라 시큐리티의 수익 모델은 무엇일까 궁금해졌다. 뭘 먹고 사나요? 패트릭 김 대표는 얼굴빛이 살짝 어두워졌다.

“사실 수익 모델에 대한 고민이 많아요. 암호화폐 추적 업체가 이미 몇 곳 존재해요. 물론 우리처럼 쉽고 시각적으로 한눈에 볼 수 있는 기술을 갖춘 곳은 없죠. 대표적으로 체인 애널리틱스라는 업체가 있어요. 근데 이 업체의 솔루션은 가격도 비싸고 사용하기가 무척 어려워요. 대형 거래소만 이용할 뿐, 일반인들은 엄두도 못 내요.

우리는 이런 솔루션을 일반인들도 자유롭게 사용해야만 한다고 생각해요. 블록체인이건 암호화폐건 해킹당한다고 누가 책임져주지 않거든요. 일단 우리 솔루션은 개인들이 무료로 자유롭게 쓸 수 있습니다. 웁워드라는 웹브라우저 확장 프로그램은 지금도 바로 설치해서 쓸 수 있어요. 대신 우리의 주 수익 모델은 B2B를 생각하고 있어요. 암호화폐 거래소, 월렛 개발사, 금융사, 정부 기관 등이 우리의 고객이라고 생각해요.”

업계 관계자들은 현재 국내외 거래소에서 가장 많이 사용되는 체인 애널리틱스의 암호화폐 추적 솔루션 사용료가 연간 수 억원에 이른다고 전한다.

정부 기관이라는 이야기를 듣자, 문득 지난 3월 공개된 대검찰청의 암호화폐 주소 조회시스템 개발 협조 요청이 떠올랐다. 센티넬프로토콜의 TRDB와 CATV를 활용하면 별도의 개발 없이 바로 사용할 수 있다.

“올해 초 금융감독원 담당자분들을 만났어요. 그분들이 암호화폐 관련해 사이버 범죄가 많이 늘어나 고민된다고 이야기하더군요. 기존 추적 시스템은 불편하고 제대로 추적이 안된다는 거에요. 그래서 우리가 개발한 CATV를 보여줬죠. 왜 이제서야 이런 솔루션이 나왔냐고 감탄했어요. 대검찰청에서 한국블록체인협회에 요청한 지갑주소 조회 시스템은 우리가 개발한 CATV와 기능이 비슷해요. 우린 언제든지 사법 당국과 협력할 준비가 돼 있습니다.”

웁살라 시큐리티의 싱가포르 본사 팀원들 모습. 출처=센티넬프로토콜

센티넬프로토콜을 진행하는 웁살라 시큐리티는 여러모로 보안 업체의 느낌을 풍긴다. 인적 구조를 살펴보면 당연해 보인다. 대표인 패트릭 김과 나롱 종(Narong Chong) 운영 책임자(팔로알토 네트웍스, F5 네트웍스), 브라이언 양(Brian Yang) 사업 책임자(델EMC), 존 커치(John Kirch) 수석 에반젤리스트(다크트레이스), 노벨 탄(Nobel Tan) 보안 책임자(파이어아이, F5 네트웍스) 등 팀원의 대부분이 보안 업체 출신 전문가들이다.

“저도 그렇지만, 우리 팀원의 대부분이 글로벌 보안 업체 출신들이에요. 그렇다 보니 우리의 제품이나 운영 방식은 기존 보안 업체와 완전히 동일하죠. 우리가 ‘Save the world(세상을 구하자)’를 계속 외칠 수 있는 원동력이에요. 능력 있는 보안 전문가들을 하나로 모아서 최고의 보안 솔루션을 개발하기 위해서 앞으로도 최선을 다할 겁니다. Save the world!”

각종 제보 및 보도자료는 contact@coindeskkorea.com 으로 보내주세요.