코인원, 사이버 보안 기업 ‘티오리’와 모의해킹 훈련… “9년간 무사고 비결”

[한국금융신문 임지윤 기자] 국내 가상 자산 거래소 ‘코인원’(Coinone‧대표 차명훈)이 사이버 보안 기업 ‘티오리한국’(Theori‧대표 박세준)과 모의해킹(Pen-Test) 훈련을 시작했다고 24일 밝혔다.

외부 기관 컨설팅을 통해 거래소 보안체계를 객관적으로 점검하고 취약점을 파악하기 위함이다.

이번 모의해킹은 이날부터 오는 6월 16일까지 8주간 진행된다. 매년 주기적으로 진행하던 모의해킹을 확대해 공격 트렌드(Trend‧최신 경향)를 반영하고 공격 방식을 더욱 세분화한 게 특징이다.

티오리는 미국 카네기멜론대학 해커팀 ‘PPP’ 팀원들이 설립한 사이버 보안 전문 기업으로, 코인원과 인연은 2020년부터 시작됐다. 최근엔 가상 자산 거래소 ‘업비트’(Upbit) 운영사인 두나무(대표 이석우닫기이석우기사 모아보기)와 보안 취약점 신고 포상제 ‘버그 바운티(Bug bounty) 프로그램’을 함께 운영한다고 밝혀 주목받은 바 있다.

이번 모의해킹 훈련에서 티오리의 역할은 코인원 웹(Web)과 모바일 애플리케이션(Application) 거래소 시스템 해킹을 비롯해 전자우편(E-mail), 무선랜(Wireless Local-Area Network) 등 정보통신 기술(IT‧Information Technology) 인프라(Infrastructure‧사회적 생산 기반) 대상 공격을 다각적으로 시도하는 것이다. 이를 통해 취약점을 찾는다.

또한 기술적 방법뿐 아니라 물리적 침입 등 거래소 임직원 대상의 사회공학 공격까지, 발생할 수 있는 모든 침해 시나리오(Scenario‧각본)를 상정해 모의해킹을 진행한다.

코인원은 2021년 11월에 금융당국에 신고 수리를 마친 정식 가상 자산 사업자다. 현재 가상 자산 관리 등 블록체인(Blockchain‧공공 거래 장부) 기반 금융 및 기반 서비스를 제공하고 있다.

‘새로운 연결이 세상에 스며들다’(Bringing Blockchain into the World)라는 가치 아래 가상 자산과 블록체인 업계를 선도하는 ‘블록체인 종합 플랫폼’을 목표로 다양한 방법을 통해 거래소 내외부 보안체계를 강화해 나가는 중이다.

코인원은 정보통신망 이용 촉진 및 정보보호 등에 관한 법률과 내부 관리 지침 등에 따라 자체적으로 매년 1회 이상 침해 사고 대응훈련과 재해복구 모의 훈련을 시행하고 있다. 거래소 보안 시스템 고도화를 위해 2017년부터는 수준 높은 보안 컨설팅(Consulting‧자문) 업체와의 협업을 지속 중인 상태다. 이번 모의해킹 종료 뒤 티오리가 작성한 평가사항에 대해 개선점을 도출하고 보안체계를 더욱 강화하려 한다.

최중섭 코인원 최고 정보보호 책임자(CISO‧Chief Information Security Officer)는 “코인원 내부 기관은 물론 외부 기관을 통해 객관적으로 거래소 보안 아키텍처를 점검해 온 것이 코인원의 9년 연속 보안 무사고 비결”이라며 “끊임없는 보안 시스템 고도화를 통해 고객 자산을 안전하게 보호하는 동시에 신뢰할 수 있는 서비스 체계를 구축해 나가겠다”고 밝혔다.

임지윤 기자 dlawldbs20@fntimes.com