내년 6월 시행, 암호화폐 등 가상자산 ‘사고’ 예방, 법인․거래소에 위탁
참여 주체들에게 분산시킨 ‘서명키’로 서명, 인증, ‘안전 거래’ 도모
금융권도 합동 분석보고서, 은행․증권사․제2금융권 등 수탁 사업 계획

암호화폐 블록체인 피드백 플랫폼 이미지로 본문 기사와 직접 관련은 없음. (사진=백핸드홀딩스)
암호화폐 블록체인 피드백 플랫폼 이미지로 본문 기사와 직접 관련은 없음. (사진=백핸드홀딩스)

[애플경제 이보영 기자] 암호화폐를 비롯한 디지털 자산(가상자산) 보호를 위한 디지털 자산 수탁 시스템에 대한 금융보안 당국과 금융계의 관심이 날로 높다.

앞서 지난 6월 ‘디지털 자산 이용자 보호 등에 관한 법률’이 국회 본회의를 통과했고, 1년 후 시행된다. 그런 가운데 금융보안원과 증권업계, 가상자산 업계 등이 최근엔 다시 상세한 분석 보고서를 내는 등 관심을 불러 일으키고 있다.

실제로 루나-테라 사건이나 미국의 FTX사태 등에서 보듯, 디지털자산의 중요성은 날로 강조되고 있다. 특히 그 유효한 방안으로 디지털 자산 수탁업에 대한 관심도 높아지고 있다.

미국의 경우는 이미 2020년 7월에 재무부 산하 은행 규제감독기관인 통화감독청(OCC)이 모든 상업은행과 저축은행에 대해 “암호화폐 커스터디(수탁) 사업이 가능하다”고 확인한 바 있다. 이에 인가받은 모든 은행이 별도의 라이선스 신청 없이 암호화폐 수탁(커스터디)업무에 뛰어들 수 있게 되었다. 서비스를 제공할 수 있게 된 것입니다.

사용자와 참여자 모두의 권한 분산 관리 구조

그렇다면 디지털자산 수탁은 구체적으로 어떤 방식으로 작동될까. 일단 이는 사용자(의뢰인)와 참여자(법인, 거래소 등 수탁자) 모두의 권한 분산 관리 구조를 기본으로 삼는다. 그런 구조에서 유효한 서명을 생성하기 위해 참여 주체들에게 분산시킨 ‘서명키’로 서명, 인증하는게 핵심이다.

일단 수탁 시스템은 서명되지 않은 거래내력에 대해 개인 사용자 소유의 서명키로 서명하도록 한다. 개인 사용자는 이를 바탕으로 법인이나 거래소에게 본인 확인이나 인증을 받고, 거래를 지시한다. 법인 또는 거래소는 다시 전문수탁사에게 서명을 요청하게 된다.

이때 법인이나 거래소는 자사 소유의 서명키로 서명을 한 후 전문 수탁사에 요청한다. 전문수탁사는 다시 자사 소유의 서명키로 서명함으로써 ‘유효한 서명’이 가능하게 한다.

권한분산 관리 구조의 개념도. (그림=금융보안원)
권한분산 관리 구조의 개념도. (그림=금융보안원)

디지털자산 수탁 시스템은 대략 5가지 기능을 갖고 있다. 고객의 디지털 자산을 안전한 방식으로 보관하는 ‘개인 키 관리’와 ‘디지털 자산 관리’ 기능을 비롯, 디지털 자산의 해킹이나 도난 등을 예방하기 위한 강력한 보안 시스템을 구축하고 관리하는 기능이 있다.

또 고객이 디지털 자산을 거래할 수 있도록 필요한 환경을 제공하는 ‘거래 지원’ 기능과, 디지털 자산의 가치를 평가하고 실시간으로 업데이트하여 제공하는 ‘자산 평가’ 기능도 있다.

관련법규나 규제 요건을 준수, 안정적인 서비스를 제공하는 ‘법적 규정 준수’ 기능도 맡아서 한다.

수탁시스템의 종류에 따라서 이들 기능도 조금씩 다르다. 주로 개인이 수탁 시스템을 운영할 경우는 개인키 관리와 자산 관리 기능에 주력한다. 거래소 수탁시스템은 이 모든 기능을 수행하며, 전문 수탁사의 경우는 규제 준수를 제외한 나머지 기능을 수행한다.

본인 확인과 인증 후 모바일앱이나 PC웹을 통해 원화를 출금하고, 그 거래 내역은 분산원장(DLT 네트워크)에 기록된다.

디지털자산에 대한 사이버 공격 개념도. (그림=금융보안원)
디지털자산에 대한 사이버 공격 개념도. (그림=금융보안원)

콜드 월렛, 멀티 시그, MPC 방식

디지털자산 수탁의 방식은 크게 3가지로 구분된다. ‘콜드 월렛’과, ‘멀티 시그’(Multi-Sig), MPC(Multi-party Computation) 등이 있다.

그 중 ‘콜드 월렛’은 인터넷에 연결되지 않은 상태에서 디지털자산을 보관하는 것이다. 이 경우 암호키가 외부로 유출되지 않도록 하드웨어가 설계되어 있어 네트워크를 통한 해킹을차단할 수 있다. 아날로그 개념의 오프라인 방식이라고 할 수 있다.

멀티 시그는 디지털 자산의 전송을 위해 2명 이상의 암호키 서명이 필요한 방식이다. 이를 적용하면, 복수의 암호키를 수탁 의뢰인과, 수탁사가 암호키를 동시에 분할, 보관한다. 의뢰인가 수탁사 양쪽의 확인이 있어야만, 디지털 자산을 출금할 수 있으므로 안전을 기할 수 있다.

MPC는 여러 참여자 간의 증명 방식이다. 모두가 서로 입력값을 알지 못한 상태에서 함수의 연산에 함께 참여하되, 개인정보를 전달하지 않고도 자신의 신원이나 내용을 증명할 수 있다. 다만 의뢰인과 수탁사가 개인 키 ‘조각’을 공동 소유한다는 점이 특징이다. 개인 키 조각이 모두 합쳐져야만, 암호키가 유효하게 작동할 수 있고, 이를 통해 안전하고 신뢰할 수 있는 디지털 자산 전송이 가능해지는 것이다.

국내 금융권, 수탁사업에 적극 참여할듯

그러나 전자지갑(디지털 지갑)에 대한 사이버 공격에도 만전을 기해야 한다는 지적이다. 공격자들은 거래정보나 데이터를 위조 내지 변조함으로써 거래정보를 획득한다. 또 신원정보를 도용, 획득하는가 하면, 서명용 개인키를 도용하기도 한다.

이런 방식으로 자산을 탈취하거나, 부정 결제나 지불을 시도하고, 불법조회도 한다. 나아가선 자금세탁에도 악용하고, 노골적으로 자금을 요구하며 협박하기도 한다.

이같은 디지털자산 수탁 사업은 최근 국내 금융권에서도 비상한 관심의 대상이 되고 있다. 이미 국회 법제화를 앞두고 신한은행이 지분 투자로 디지털 자산 수탁 시장에 진출하겠다고 가장 먼저 밝힌 바 있다. 그 뒤를 이어 NH농협은행·KB국민은행 등도 같은 방침을 밝혔다. 특히 이번 금융보안원이 주도한 분석 보고서가 나오기까지 증권사, 보안 기업, 가상자산사업자, 전자지갑 개발사 등의 전문가들이 대거 참여함으로써 이들을 포함한 금융권 전반으로 장차 확산될 것이란 전망이 유력하다.

키워드

#디지털 자산 수탁 #수탁 #암호화폐
저작권자 © 애플경제 무단전재 및 재배포 금지