다모클레스의 검...당신의 거래소는 안전하십니까
국내 암호화폐 거래소 위기 대응 능력 검증 필요|거래소 공조 구축과 프로젝트 협조는 글쎄
예년과 달리 국내외 암호화폐 거래소의 핫 월렛 해킹 규모가 커지고 있다.
지난해 빗썸과 업비트는 각각 350억 원과 580억 원 규모의 해킹 사고가 발생했다. 또 지난달 쿠코인은 2억8000만 달러(한화 3,127억 원) 규모의 핫 월렛이 털릴 정도로 이더리움이나 리플처럼 주요 알트코인이 아닌 상대적으로 시총이 낮은 알트코인까지 노리고 있는 형국이다.
바이낸스도 지난해 5월 470억 원 규모의 해킹 사고가 발생한 후에 SAFU(Secure Asset Fund for Users) 펀드로 손실을 충당했으며, 쿠코인은 다른 거래소와 프로젝트팀의 비상 연락망을 가동해 입출금 중단을 비롯해 재단이 토큰을 동결하는 등 사고 발생 이후 경과보고와 사고 사실 정보 공유, 해커 추적과 범죄로 사용된 코인 회수 등으로 현재도 진행 중이다.
20일 쿠코인에 따르면 보안 사고 이후 유출된 암호화폐 중에서 84%를 회수했으며, 나머지 16%도 온체인 추적과 법적 조치 등으로 끝까지 추적할 것이라고 강조했다. 특히 회사 측은 해킹 대신 보안 사고(Security Incident)라는 용어로 대체, 사고 수습에 초점을 맞추고 모든 상황을 공유하고 있다.
현재 쿠코인 사고 후 204개의 프로젝트가 협조했으며, 176개의 암호화폐 거래가 재개됐다. 오는 22일까지 모든 암호화폐의 거래 서비스를 정상화 시킨다는 계획이다.
일본은 2018년 1월에 터진 코인체크 해킹 사고로 현재의 자금 결제법으로 거래소와 암호자산 규제의 토대가 됐지만, 국내는 올해 3월 특금법 통과 이후 시행령 개정안까지 예고됐음에도 거래소의 허가에 초점이 맞춰진 나머지 정작 거래소의 의무 조항에는 소홀하다는 지적이 나온다.
단지 ISMS 인증 획득과 실명 계좌 발급, 프라이버시 코인 취급 금지, 다른 거래소와 오더 북 금지 등만 존재할 뿐 사고 발생 시 손실 충당금 비율이나 공조 체제 구축망, 관계 기관 협조 등의 '골든 타임'을 확보하기 위한 위기 대응 매뉴얼의 존재와 구비 여부는 누구도 감시하거나 관리하지 않는다.
A 거래소 관계자는 "핫 월렛과 콜드 월렛, 담당자의 보안 교육 등을 통해 안전과 신뢰를 최우선으로 항시 신경을 쓰고 있다"며 "위기 대응 매뉴얼의 존재는 알려줄 수 없다"고 전했다.
쿠코인처럼 같은 규모의 핫 월렛 해킹이 국내 암호화폐 거래소에서 벌어진다면 무슨 일이 일어날까. 지금처럼 국내에서 영업 중인 거래소가 난립하는 상황에서 '투자자 보호'를 위한 안전장치가 존재해도 과연 제대로 작동할 것인지에 대한 의문부터 들 수밖에 없다.
그래서 쿠코인의 1,800억 원 규모 해킹 사고를 토대로 가상의 위기 대응 매뉴얼을 구성해본다.
1. 사고 발생 시 누가 어떠한 방법으로 공개할 것인가.
- 회사에서 운영 중인 커뮤니티(페이스북, 미디엄, 트위터, 인스타그램, 미디엄, 유튜브, 블로그, 텔레그램, 카카오톡, 공식 홈페이지) 담당자는 누구인가.
2. 퍼드와 가짜 뉴스가 퍼진다면 누가 어떻게 대응할 것인가.
- 제보 가치에 따라 보상금 지급과 법적 조치 병행 여부
3. 다른 거래소와 공조 체제는 어떻게 얼마 만에 구축할 수 있을 것인가
- 24~48시간 이내 구축, 주요 거래소 담당자 연락 가능 여부
4. 유출된 암호화폐와 규모 공개 후 재단과 어떻게 협조할 것인가
- 입출금 차단, 의심 주소로 입금된 토큰 차단, 사고 시 하드포크 여부, 토큰 재발행 여부 확인
- 거래소 요청을 거부한 프로젝트팀 페널티 여부
5. 사고 대응팀 구성 및 수사 기관 협조 체제 구축
6. 투자자와 프로젝트팀 보호 프로그램 가동
- 보험금 규모와 프로젝트팀 협조 여부
<본지>가 일부 거래소와 프로젝트팀 관계자에게 '위기 대응 매뉴얼'의 존재를 요청했지만, 대부분 즉답을 피했다.
프로젝트팀에 '상장한 거래소에서 핫 월렛이 해킹당했을 때 토큰 스왑과 하드 포크 실행 계획'을 거래소는 '보호 프로그램 가동 시간과 상장 프로젝트의 협조 사항(스왑, 하드 포크, 동결)과 타 거래소 담당자 연락 여부'를 확인했지만, "위기 대응 매뉴얼 존재 여부를 알려 줄 수 없다"는 게 관계자들의 전언이다.
일부 프로젝트팀은 "거래소의 문제를 우리가 해결할 이유가 없다"고 설명했으며, 또 다른 거래소는 "핫 월렛과 콜드 월렛을 철저하게 관리해 사고가 발생할 일이 없다"고 전했다.
현재 보안 사고를 수습 중인 조니 류(Johnny Lyu) 쿠코인 대표는 일부 프로젝트팀을 극찬하면서도 협조에 제대로 응하지 않은 재단에 대해서는 '다모클레스'를 언급할 정도로 불편한 기색을 나타냈다.
다모클레스의 검은 왕관의 무게를 빗대 언제 닥칠지 모르는 위기를 의미하는데 그는 "일부 프로젝트는 (다모클레스의) 검을 비틀었다"고 언급해 협조에 불응한 프로젝트가 '배신'했다는 감정으로 읽힌다.
또 이례적으로 오리온 프로토콜(ORN), 카르디아 체인(KAI), 벨로(VELO) 등 3종의 프로젝트가 협조해준 것에 대해 고마움을 표시했다.
조니 류는 "오리온 프로토콜은 사고 발생 후 6시간 이내에 우리의 요청에 응답했으며, 재단 측은 다른 거래소에 연락해 입출금 중단을 요청한 이후에도 우리와 긴밀하게 연락했다"며 "적극적으로 협력한 결과 36시간 이내에 토큰 스왑을 완료했으며, 프로젝트 자체의 2차 피해를 막았다"고 말했다.
국내 암호화폐 거래소가 사고 발생 이후 단순히 거래소의 자산으로 충당하는 일회성 조치로 끝나는 것에 비해 쿠코인은 여전히 사고 수습이 진행 중이라는 것을 보고 배울 때도 됐다.
규모만 다를 뿐 사건이 종결된 것이 아님에도 시간이 약이라는 안일한 사고(思考)가 제2의 빗썸과 업비트 사고(事故)를 키우고 있다.