캐나다 시가총액 2위의 전자상거래 업체 쇼피파이를 통해 하드웨어 월렛 이용자들의 개인정보가 노출됐다는 소문이 퍼지고 있다. 5월 24일(현지시간) 자신을 해커라고 밝힌 한 인물이 가장 큰 하드웨어 월렛 업체에 해당되는 렛저·트레저·킵키 이용자들의 데이터베이스를 판매하겠다고 밝히면서부터다.
#왜 쇼피파이를 겨냥했을까
쇼피파이(Shopify)는 캐나다 대형 전자상거래 업체라는 특징 외에도 암호화폐 서비스 협업을 추진하는 기업으로 잘 알려져 있다. 지난 2월에는 페이스북(Facebook) 주도 암호화폐 프로젝트 리브라(Libra) 협회에 합류하기도 했다. 당시 쇼피파이는 합류 배경에 대해 “전세계 어디서나 가능한 결제 네트워크 구축을 위해 노력하겠다”고 밝힌 바 있다. 이후 5월 21일(현지시간)에는 결제수단에 암호화폐를 추가하기도 했다.
이번 해킹설은 쇼피파이가 결제수단에 암호화폐를 추가한지 얼마 안된 상태에서 퍼졌다. 자신을 해커라고 밝힌 인물의 근거에 따르면, 쇼피파이와 협업을 진행한 암호화폐 하드웨어 월렛 업체의 취약점을 노려서 해킹이 일어난 것이다. 협업 목적은 하드웨어 월렛 연결을 통한 결제 용이성 때문이었다.
한편 쇼피파이는 최근 코로나19로 인한 비접촉 서비스 훈풍을 타고 캐나다 시가총액 2위에 등극했다. 지난 두 달 사이 주가가 약 140% 급등한 결과다. 3월 이전 쇼피파이의 캐나다 시가총액 순위는 7위였다.
#해커의 주장은 사실인가
다만 해커의 주장이 사실인지는 아직 밝혀지지 않았다. 해커가 언급한 3개의 하드웨어 월렛 업체인 렛저(Ledger)·트레저(Trezor)·킵키(KeepKey)의 입장도 저마다 다른 상황이다. 가장 큰 업체인 렛저 측에서는 “쇼피파이와 협업을 한 것은 맞다. 그러나 지금까지 분석한 결과 해커가 퍼트린 이용자들의 데이터베이스와 우리 쪽의 데이터베이스가 일치하지 않는다. 우리는 해당 문제를 심각하게 받아들이고 있고, 추가적인 조사를 계속해서 진행할 것이다”라고 설명했다. 반면 트레저 측은 “우린 쇼피파이와 협업을 진행한 적이 없다. 그럼에도 우린 해킹 가능성을 차단하기 위해 오래된 개인 정보를 정기적으로 삭제해왔다”고 언급했다. 킵키 측에서는 아직 해당 사건에 대해 입장을 발표하지 않았다.
해킹설의 근원이 되고 있는 쇼피파이 측은 “해당 이야기를 조사한 결과 (해킹이) 입증될만한 어떠한 증거도 찾지 못했다”며 소문을 일축했다.
#비밀번호도 탈취됐나
이번 해킹설의 가장 핵심이 되는 문제는 개인 키 탈취 여부다. 만약 하드웨어 월렛 업체의 수많은 개인 키가 정말로 탈취됐다면 큰 문제로 번지게 된다. 불행 중 다행히도 해킹 사실 여부를 떠나 해커가 공개한 이용자들의 개인정보에 비밀번호는 포함돼 있지 않다. 현재까지는 이름·주소·전화번호·이메일만 공개된 상태다. 해킹과 관련한 보다 구체적인 각 업체의 발표는 추후에 다시 나오게 될 전망이다.
박상혁 기자
https://joind.io/market/id/2155
※조인디와의 전제 계약을 통해 게재한 기사입니다.
