Mt. Gox 붕괴 10주년: 범인은 누구인가? 도난 사건은 어떻게 발생했는가?
글: Mark Hunter, CoinDesk
번역: Deng Tong, 금색재경
일본의 비트코인 거래소 Mt. Gox는 2014년 2월에 파산했다.
2011년 3월부터 2014년 1월까지 약 88만 개 이상의 BTC가 Mt. Gox에서 분실되거나 도난당했으며, 현재 이 손실액은 무려 450억 달러에 달한다. 그러나 Mt. Gox 파산 10주년을 맞이한 지금도 여전히 해결되지 않은 중요한 질문들이 남아 있다.
범인은 누구인가?
여전히 알려지지 않은 핵심적인 문제 중 하나는 모든 범인들을 알고 있는지 여부다. Mt. Gox 운영 기간 동안 총 여섯 차례의 해킹으로 809,000개 이상의 BTC가 훔쳐졌지만, 우리는 단 한 차례의 해킹과 관련된 두 사람 이름만 알고 있다. Alexey Bilyuchenko와 Aleksandr Verner는 2011년 10월 거래소 침입 사건의 러시아 해커 조직 구성원으로 기소되었다. 이들은 26개월 동안 거래소의 콜드월렛에서 647,000비트코인을 훔쳐 자금세탁을 저질렀다.
Verner와 Bilyuchenko는 미국 당국에 의해 기소되었으나, 혐의는 해킹 자체가 아닌 자금세탁이다. 이는 그들에 대한 해킹 증거가 부족할 수 있음을 시사한다.
2017년 기소 내용은 봉인되었다가 작년 6월 공개되었고, 이후에도 나머지 162,000 BTC를 훔친 범인이 누구인지 알 수 없다. 79,956 BTC는 여전히 '1Feex'로 시작하는 알려진 주소에 묶여 있으며, 2011년 9월에 도난당한 77,500 BTC는 전혀 추적되지 못했다. 이 해킹은 매우 성공적이어서 2015년이 되어서야 발견되었다.
또 다른 해커는 2011년 6월 2,000 BTC를 훔쳐 비트코인 가격을 17.50달러에서 0.01달러로 폭락시켰다. 그리고 Mt. Gox 최고경영자 마크 카펠레스(Mark Karpelès)가 자리를 비운 사이, 거래소 보유 비트코인 절반 이상을 훔친 해커도 있었다. 해당 지갑은 암호화되지 않은 네트워크 드라이브에 위치해 있었는데, 다행히도 그 해커는 체포를 피하고 1%의 보수를 요구하며 협상했고, 결국 거래소는 30만 BTC가 아닌 3,000 BTC만 잃게 되었다.
이 모든 사건들에 대해 우리는 정확히 누가 했는지 알 수 없으며, 이제 거의 영원히 알 수 없을 가능성이 크다. 유사한 수법 때문에 많은 사람들이 1Feex 해킹이 2011년 10월부터 2014년 1월까지의 심각한 취약점을 사전 연습한 것으로 의심하지만, 이 역시 입증된 바 없다.
도난은 어떻게 발생했는가?
Mt. Gox에서 분실된 881,865 BTC 중에서 우리는 단지 72,409 BTC에 대해서만 그 원인을 확실히 알 수 있다. Mt. Gox 시스템은 고객 예치금으로 30,000 BTC를 기록했지만 실제로는 이미 해커에게 훔쳐진 상태였다. 2011년 10월 마크 카펠레스가 실수로 존재하지 않는 주소로 2,609건의 메일을 보냈다. Markus와 Willy라는 두 로봇이 운영되던 과정에서 22,800 BTC를 잃었고, 카펠레스는 2011년 7월 폴란드 거래소 Bitomat을 17,000 BTC에 인수했다.
나머지 부분은 침입 경로가 불분명하거나 추측만 할 뿐이다. 2011년 6월 해킹 사건에서는 해커가 관리자 계정을 통해 Mt.Gox 서버에 접근할 수 있었음을 알고 있다. 처음에는 감사원 Auden McKernan의 계정으로 여겨졌지만, 나중에 창립자 제드 맥캘럽(Jed McCaleb)의 계정임이 밝혀졌고, 그는 Mt. Gox를 마크 카펠레스에게 매각했음에도 불구하고 카펠레스가 여전히 관리자 권한을 갖고 있었다. 또한 1Feex 해킹 당시 전체 Mt.Gox 사용자 데이터베이스와 함께 79,956 BTC가 유출된 것으로 보이며, 해커는 이를 통해 세부 정보를 획득한 것으로 여겨진다.
미국 당국이 Verner와 Bilyuchenko를 2011년 10월 Mt. Gox 침입 조직의 일원으로 확신할 정도라면, 그 주장 뒤에는 어느 정도의 증거가 있을 것이다. 하지만 재판이 열릴 가능성은 거의 없으며(이미 그들의 신원이 공개된 상황이므로), 따라서 이러한 세부 정보는 영원히 공개되지 않을 가능성이 크다.
Mt. Gox의 비트코인 저장 방식은 안전했는가?
해커가 Mt. Gox 서버에 어떻게 접근했는지를 묻는 문제와 더불어, 해커가 왜 콜드월렛에 안전하게 보관된 자금에 접근할 수 있었는지도 중요한 의문이다. 2011년 6월 해킹 이전까지 카펠레스는 사용자의 비트코인을 다양한 물리적 및 소프트웨어 지갑에 임의로 보관하고 있었으며, 이는 해킹 피해를 가중시키고 복구 작업을 장기화시켰다.
카펠레스는 이 사건 이후 더 안전한 시스템을 도입했다고 주장한다. 그는 비트코인을 여러 종이지갑(후에 수백 장에 달한다고 언급함)으로 나누어 도쿄 전역의 은행 금고와 보관함에 보관했다고 말한다. 따라서 핫월렛이 다시 해킹당하더라도(예: 1Feex 해킹) 콜드월렛은 영향을 받지 않아야 한다는 논리였다.
겉보기에 충분히 안전해 보이지만, 2011년 10월부터 2014년 1월 사이 콜드월렛마저 털렸다는 사실이 알려지자 많은 사람들이 의문을 제기하기 시작했다. 당시 비트코인 블로거이자 암호화폐 투자회사 Andreessen Horowitz의 차기 일반 파트너였던 아리아나 심슨(Arianna Simpson)조차 다음과 같이 지적했다.
"제대로 구현했다면 콜드스토리지 월렛은 핫월렛을 통해 접근될 수 없어야 합니다. 그것이 두 시스템을 분리하는 의미입니다."
그렇다면 콜드월렛은 어떻게 유출된 것일까? 카펠레스는 법적 책임 회피를 위해 자신만의 콜드월렛-핫월렛 설정을 확인하지 않았지만, 인터뷰에서 암시적인 발언을 통해 일관되지 않고 때때로 논리에 어긋나는 상황을 묘사했다.
종이지갑을 사용하면서 핫월렛을 안전하게 재충전하려면, 각 번째마다 종이지갑을 가져와 초보안 네트워크에서 다단계 수동 거래를 수행해야 한다. 이 작업은 매번 반복되어야 하며, 규모나 거래량에 관계없이 어떤 비트코인 거래소라도 현실적으로 불가능하다. Mt. Gox 직원들은 마크 카펠레스가 종이지갑을 다루는 것을 본 적이 없다고 증언하며, 일부 주요 직원들은 저서 『최후의 재앙: Mt. Gox가 어떻게 50억 달러를 잃고 비트코인을 거의 죽였는가』에서 핫월렛 이야기는 들어봤어도 콜드월렛 이야기는 들어본 적 없다고 밝혔다.
그렇다면 콜드월렛이 바닥날 때 자동으로 핫월렛을 재충전하거나 그 반대의 시스템이 존재했을까? 이것이 거래소 운영의 유일한 실현 가능한 방법처럼 보이지만, 동시에 콜드월렛 시스템의 본질적인 목적을 무력화시키는 결과를 낳는다.
카펠레스는 거래소 파산을 알고 있었는가?
이것은 여전히 의견이 갈리는 큰 문제다. 물론 카펠레스는 2014년 2월 중순 콜드월렛을 점검할 때까지는 거래소 붕괴를 몰랐다고 주장하지만, 이 주장엔 허점이 있다. Mt. Gox는 이미 2013년 8월부터 비트코인 인출 문제를 겪기 시작했고, 이는 경고 신호였어야 한다. 그러나 카펠레스는 여러 차례 해킹을 당했음에도 불구하고 Mt. Gox가 자금 부족 상태라고 생각하지 않은 것으로 보인다.
2014년 초 "거래 위변조(transaction malleability)" 취약점이 발견되었을 때, 카펠레스는 즉시 인출 지연의 원인을 이 취약점 탓으로 돌렸다. 그러나 극소량의 도난이라도 실현하려면 광범위한 사회공학이 필요하다는 것이 널리 알려져 있다. 그는 또한 모니터링 시스템이 있어서 손실을 의심하지 않았다고 말했다. 만약 그런 시스템이 존재했다면 설계가 잘못된 것이며, 이는 거래소의 경영 부실을 시사한다.
말할 것도 없이, 많은 사람들은 카펠레스가 2014년 2월에야 손실을 알았다는 주장을 믿지 않는다. 더 나아가 일부는 카펠레스가 도난된 비트코인을 알고 있었을 뿐 아니라, Willy와 Markus를 이용해 손실을 메우려 했다고 주장한다. 만약 그가 그런 의도였다면 결과는 오히려 역효과였다. 거래소 붕괴 이전에 이 두 로봇은 22,800 BTC와 5,160만 달러를 잃어버린 것이다.
간단히 말해, 우리는 Mt. Gox의 비트코인이 어떻게 보호되었는지 오직 추측만 할 수 있으며, 마크 카펠레스가 직접 설명해주기 전까지는 그 상태가 계속될 것이다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
CoinDesk
