'단일 로그인' 전환하는 업비트, 애플보다 신뢰 얻을 수 있을까?

'업비트 로그인' 이용 화면.(사진=업비트)

가상자산거래소 업비트가 애플, 카카오 ID 기반의 소셜 로그인 방식을 폐기하고 자체 로그인 시스템인 '업비트 로그인'으로 일원화한다. 이에 따라 업비트에서는 오는 21일부터 본인인증을 거친 후 자체 로그인을 통해야만 거래를 할 수 있게 된다.

그러나 일각에서는 오히려 업비트로의 일원화가 불안하다는 평가도 나온다. 카카오는 SK C&C 데이터센터 화재로 신뢰 회복 과정에 있다고는 하지만, 애플에 대한 신뢰도는 여전히 상당하기 때문이다. 또 데이터센터 화재는 물리적인 피해로 볼 수 있지만, 해킹 등 소프트웨어적 공격까지 카카오가 취약한 건 아니다. 업비트 입장에서는 자체 로그인 방식의 보안적인 무결성과 무사고를 지속적으로 이어가야 이러한 불안을 불식시킬 수 있다는 분석이다.

15일 업비트 관계자는 <블로터>에 "업비트 로그인은 공개키 암호 기술(Public-Key Cryptography)을 활용해 인증에 필요한 개인 정보를 외부로 노출시키지 않는 장점이 있다"며 "업비트의 새로운 로그인 방식은 신속한 온라인 인증(FIDO)의 한계를 극복해 이용자가 어떤 인증 수단을 사용하더라도 높은 보안성과 편리성을 갖도록 구성했다"고 답했다.

또 "업비트 로그인은 강도 높은 보안 정책을 적용했다"며 "기기 안에 저장되는 생체인증정보나 암호화 키는 모두 스마트폰의 하드웨어가 제공하는 강력한 보안 모듈인 신뢰 실행 환경(TEE) 기능으로 보호되므로, 공격자가 휴대폰을 해킹하더라도 해당 정보를 획득할 수 없다"고 부연했다.

업비트 로그인은 6자리 PIN 번호 또는 생체인증(페이스아이디·지문) 방식을 활용한다. 비밀번호가 필요없는 '패스워드리스' 방식이다. 보안성이 높은 것으로 잘 알려졌다.

하지만 상시 입출금이 가능하도록 인터넷에 연결된 가상자산 지갑인 '핫월렛'은 해킹 위험이 상존한 것이 사실이다. 세계 3위 가상자산거래소 FTX에서 최근 파산 신청과 맞물려 해킹된 사용자 계정을 통해 연동된 은행 계좌까지 해킹 시도가 탐지된 것이 이러한 위험 사례다.

실제로 웹3 커뮤니티 gm.xyz의 공동창업자 마이크 맥기네스는 서드파티 앱 '플레이드(Plaid)'를 통해 FTX US와 미국 은행 계좌를 연결해 사용해왔는데, 갑자기 FTX US로부터 은행 계좌에 접근이 이뤄졌다는 메시지를 받고 이를 캡처해 자신의 트위터에 올렸다. 이에 플레이드 공식 계정은 댓글을 달아 "11일부터 FTX의 플레이드 접근을 중단했다"고 밝혔다.

웹3 커뮤니티 gm.xyz의 공동창업자 마이크 맥기네스가 "FTX US에 연결된 은행 계좌가 있는 경우 즉시 계좌 비밀번호를 변경하고 데이터 공유를 중지하라"며 자신의 은행 계좌를 캡처해 올린 글.(사진=트위터 갈무리)

현재 국내에서는 각종 금융사들이 마이데이터 서비스를 내놓고 있고, 가상자산도 관리 자산 중 하나로 서비스하고 있다. 플레이드처럼 은행 계좌와 가상자산거래소 계정을 연계하는 게 가능하다는 뜻이다. 향후 업비트에서 FTX와 유사한 사례가 나타날 경우, 실명계좌를 제공하는 케이뱅크는 물론 계정이 연동된 금융사도 위험에 처할 수 있다는 분석이 나온다.

다만 전문가들은 업비트 로그인 자체적인 보안성에 대해선 긍정적인 평가를 내놓는다. 보안전문기관의 책임자급 한 관계자는 <블로터>에 "핀번호와 생체인증 방식을 함께 활용하는 투팩터 인증을 내부적으로 안전하게 구현했다고 하면 취약하다고 볼 수 없다"며 "최근 생체인증 방식은 지문을 등록하면 트러스트존 같은 안전영역에 등록해 놓고 인증이 이뤄진다"고 설명했다.

이 관계자는 "금융회사들은 본인들이 보안성을 강화해서 해킹에 대비를 할 수 있기 때문에 대부분 자체 로그인 방식을 쓰고 있다"면서도 "일부 기관들은 자체 로그인 방식과 외부 연동을 병행해서 제공하기도 한다"고 덧붙였다.

업비트는 기존 다중 로그인 방식보다 단일 로그인 방식이 더 뛰어난 보안성과 안정성을 가진다는 것을 이용자에게 입증하는 것이 숙제다. 지난 2019년 업비트는 해킹으로 인해 당시 580억원 상당의 이더리움을 탈취당한 바 있다. 또 가상자산 거래가 활황이었던 지난해에는 서버 불안정을 겪으며 한 달에 한 번꼴로 긴급 서버 점검에 나서기도 했다.

급속한 일원화가 카카오와의 관계 정리의 연장선상에 있다는 해석도 나온다. 업비트 관계자는 SK C&C 데이터센터 화재에 따른 의존 문제를 줄이기 위해서라는 세간의 시각에 "화재 때문은 아니고 예정했던 건"이라고 강조했다. 실제로 업비트 로그인 전환 공지는 데이터센터 화재가 일어나기 전인 지난 9월 30일 이뤄졌다.

이달 10일 카카오는 업비트 운영사 두나무를 비롯해 SK텔레콤, SK스퀘어, 카도카와, 휴먼스케이프 주식을 완전자회사인 카카오인베스트먼트에 현물출자한다고 공시했다. 카카오가 직접적인 경영 관여도를 낮추는 셈이다. 지난 3월 두나무 주주총회에서 카카오 측 사외이사(이성호)가 사임한 뒤, 올 하반기 카카오는 두나무 주식 약 8만주를 매각했다.

Copyright © 블로터