'사후 추적'에서 '이동 중 차단'으로 바꿔야
[서울=뉴스핌] 황숙혜 기자 = 국내 최대 가상자산 거래소 업비트에서 약 450억 원 규모의 해킹이 발생하면서 국내 디지털 자산 보안과 감독 체계의 구조적 한계가 다시 수면 위로 떠오른 가운데 온체인 분석 플랫폼 아캄 인텔리전스(Arkham Intelligence)가 해법으로 부상했다.
해커는 탈취한 자산을 수많은 지갑으로 쪼개 분산한 뒤 다시 모으고, 이를 해외 거래소로 흩뿌리는 전형적인 온체인 자금세탁 방식을 활용한 것으로 알려졌다. 문제는 이런 복잡한 자금 흐름이 '사고 발생 후'에는 비교적 명확히 드러났지만, 정작 자산이 이동하는 '그 순간'에는 제대로 포착되지 못했다는 점이다.
전문가들은 "이제는 사람이 뒤늦게 차트를 들여다보는 방식이 아니라, 시스템이 온체인 데이터를 실시간으로 감시하고 먼저 반응하는 구조로 바뀌어야 한다"고 입을 모은다. 출금 버튼이 눌리는 순간 자산이 되돌릴 수 없는 상태가 되는 블록체인의 특성상, '사후 추적'만으로는 피해를 근본적으로 줄이기 어렵기 때문이다.
 |
| 아캄 플랫폼 [자료=업체 제공] |
그동안 국내 가상자산 거래소와 금융기관은 내부 이상거래탐지시스템(FDS), 1일·회당 출금 한도, 관리자 승인 체계 등 전통 금융에서 사용해온 장치를 중심으로 보안을 설계해 왔다. 그러나 블록체인 자산은 일단 외부 지갑로 출금되는 순간, 이미 거래소 시스템의 통제 범위를 벗어난다. 이후 자금은 수십, 수백 개의 지갑을 넘나들며 재분산·재집결을 반복하고, 짧은 시간 안에 해외 거래소와 믹서, 디파이(DeFi) 프로토콜로 흩어지며 추적 난도를 높인다.
이런 환경에서는 '내부 출금' 자체를 위험 신호로 인식하고, 출금 직후의 온체인 이동 패턴을 실시간 모니터링하는 자동화된 감시 체계가 필수적이다. 즉, 사람이 나중에 온체인 데이터를 조회해 "이상하다"고 판단하는 구조에서 벗어나, 시스템이 먼저 비정상 패턴을 감지하고 자동으로 경보를 울리며, 필요할 경우 출금 보류·추가 인증·계정 동결 등 대응 수단을 발동하는 구조로의 전환이 요구된다.
아캄 인텔리전스는 이러한 구조 변화의 중심에 있는 기술로 주목받고 있다. 단순히 웹 화면에서 주소를 조회하는 도구가 아니라, API 형태로 거래소·금융기관 시스템에 직접 연동해 실시간 감시와 자동 경보를 구현할 수 있기 때문이다.
이를 내부 시스템에 연동하면, 해킹 또는 세탁이 의심되는 온체인 움직임이 발생하는 즉시 ▲특정 지갑이 과거 해킹 사례에서 반복됐던 패턴과 유사한 방식으로 자산을 다단계로 쪼개 이동할 경우, 시스템이 이를 자동 인지해 경보를 발생시키거나 ▲블랙리스트 지갑 또는 해킹 연루 주소와 연계된 지갑으로 자산이 이동하는 징후가 포착되면, 플랫폼은 자동으로 출금을 보류하거나 추가 인증을 요구하는 식으로 자금을 일시 동결하는 등의 대응이 가능하다고 업체는 설명한다.
이번 업비트 사례에서 나타난 '분산 → 중간 재집결 → 재분산 → 해외 거래소 유입' 패턴은, 이미 온체인 분석 엔진 내에서 전형적인 이상 패턴으로 분류되는 흐름에 해당한다. 문제는 이러한 분석이 사람이 사고 이후에 수동으로 실행됐다는 점이며, 앞으로는 이 과정을 API 기반의 실시간 자동 감시로 옮겨야 한다는 얘기다.
블록체인 보안 전문가들은 "과거에는 사고가 터지면 분석업체가 온체인 내역을 되짚어보며 '사후 보고서'를 작성하는 데 그쳤다면, 이제는 아캄 인텔리전스 같은 온체인 분석 API를 거래소 백엔드에 직접 결합해, 해커 자금이 움직이기 시작하는 순간 시스템이 먼저 이상을 감지하고 차단하는 단계로 넘어가야 한다"고 지적한다.
한편 아캄은 블록체인 상의 모든 자금 흐름을 실사용자 기준으로 실명화 해 거래소와 기관, 수사 기관이 불법 자금과 거래, 해킹을 실시간으로 추적·차단할 수 있게 하는 온체인 인텔리전스 플랫폼이다.
shhwang@newspim.com
