리뷰10K

국내 암호화폐 거래소 위기 대응 능력 검증 필요｜거래소 공조 구축과 프로젝트 협조는 글쎄

예년과 달리 국내외 암호화폐 거래소의 핫 월렛 해킹 규모가 커지고 있다.

지난해 빗썸과 업비트는 각각 350억 원과 580억 원 규모의 해킹 사고가 발생했다. 또 지난달 쿠코인은 2억8000만 달러(한화 3,127억 원) 규모의 핫 월렛이 털릴 정도로 이더리움이나 리플처럼 주요 알트코인이 아닌 상대적으로 시총이 낮은 알트코인까지 노리고 있는 형국이다.

바이낸스도 지난해 5월 470억 원 규모의 해킹 사고가 발생한 후에 SAFU(Secure Asset Fund for Users) 펀드로 손실을 충당했으며, 쿠코인은 다른 거래소와 프로젝트팀의 비상 연락망을 가동해 입출금 중단을 비롯해 재단이 토큰을 동결하는 등 사고 발생 이후 경과보고와 사고 사실 정보 공유, 해커 추적과 범죄로 사용된 코인 회수 등으로 현재도 진행 중이다.

20일 쿠코인에 따르면 보안 사고 이후 유출된 암호화폐 중에서 84%를 회수했으며, 나머지 16%도 온체인 추적과 법적 조치 등으로 끝까지 추적할 것이라고 강조했다. 특히 회사 측은 해킹 대신 보안 사고(Security Incident)라는 용어로 대체, 사고 수습에 초점을 맞추고 모든 상황을 공유하고 있다.

현재 쿠코인 사고 후 204개의 프로젝트가 협조했으며, 176개의 암호화폐 거래가 재개됐다. 오는 22일까지 모든 암호화폐의 거래 서비스를 정상화 시킨다는 계획이다.

일본은 2018년 1월에 터진 코인체크 해킹 사고로 현재의 자금 결제법으로 거래소와 암호자산 규제의 토대가 됐지만, 국내는 올해 3월 특금법 통과 이후 시행령 개정안까지 예고됐음에도 거래소의 허가에 초점이 맞춰진 나머지 정작 거래소의 의무 조항에는 소홀하다는 지적이 나온다.

단지 ISMS 인증 획득과 실명 계좌 발급, 프라이버시 코인 취급 금지, 다른 거래소와 오더 북 금지 등만 존재할 뿐 사고 발생 시 손실 충당금 비율이나 공조 체제 구축망, 관계 기관 협조 등의 '골든 타임'을 확보하기 위한 위기 대응 매뉴얼의 존재와 구비 여부는 누구도 감시하거나 관리하지 않는다.

A 거래소 관계자는 "핫 월렛과 콜드 월렛, 담당자의 보안 교육 등을 통해 안전과 신뢰를 최우선으로 항시 신경을 쓰고 있다"며 "위기 대응 매뉴얼의 존재는 알려줄 수 없다"고 전했다.

쿠코인처럼 같은 규모의 핫 월렛 해킹이 국내 암호화폐 거래소에서 벌어진다면 무슨 일이 일어날까. 지금처럼 국내에서 영업 중인 거래소가 난립하는 상황에서 '투자자 보호'를 위한 안전장치가 존재해도 과연 제대로 작동할 것인지에 대한 의문부터 들 수밖에 없다.

그래서 쿠코인의 1,800억 원 규모 해킹 사고를 토대로 가상의 위기 대응 매뉴얼을 구성해본다.

1. 사고 발생 시 누가 어떠한 방법으로 공개할 것인가.
- 회사에서 운영 중인 커뮤니티(페이스북, 미디엄, 트위터, 인스타그램, 미디엄, 유튜브, 블로그, 텔레그램, 카카오톡, 공식 홈페이지) 담당자는 누구인가.

2. 퍼드와 가짜 뉴스가 퍼진다면 누가 어떻게 대응할 것인가.
- 제보 가치에 따라 보상금 지급과 법적 조치 병행 여부

3. 다른 거래소와 공조 체제는 어떻게 얼마 만에 구축할 수 있을 것인가
- 24~48시간 이내 구축, 주요 거래소 담당자 연락 가능 여부

4. 유출된 암호화폐와 규모 공개 후 재단과 어떻게 협조할 것인가
- 입출금 차단, 의심 주소로 입금된 토큰 차단, 사고 시 하드포크 여부, 토큰 재발행 여부 확인
- 거래소 요청을 거부한 프로젝트팀 페널티 여부

5. 사고 대응팀 구성 및 수사 기관 협조 체제 구축

6. 투자자와 프로젝트팀 보호 프로그램 가동
- 보험금 규모와 프로젝트팀 협조 여부

<본지>가 일부 거래소와 프로젝트팀 관계자에게 '위기 대응 매뉴얼'의 존재를 요청했지만, 대부분 즉답을 피했다.

프로젝트팀에 '상장한 거래소에서 핫 월렛이 해킹당했을 때 토큰 스왑과 하드 포크 실행 계획'을 거래소는 '보호 프로그램 가동 시간과 상장 프로젝트의 협조 사항(스왑, 하드 포크, 동결)과 타 거래소 담당자 연락 여부'를 확인했지만, "위기 대응 매뉴얼 존재 여부를 알려 줄 수 없다"는 게 관계자들의 전언이다.

일부 프로젝트팀은 "거래소의 문제를 우리가 해결할 이유가 없다"고 설명했으며, 또 다른 거래소는 "핫 월렛과 콜드 월렛을 철저하게 관리해 사고가 발생할 일이 없다"고 전했다.

현재 보안 사고를 수습 중인 조니 류(Johnny Lyu) 쿠코인 대표는 일부 프로젝트팀을 극찬하면서도 협조에 제대로 응하지 않은 재단에 대해서는 '다모클레스'를 언급할 정도로 불편한 기색을 나타냈다.

다모클레스의 검은 왕관의 무게를 빗대 언제 닥칠지 모르는 위기를 의미하는데 그는 "일부 프로젝트는 (다모클레스의) 검을 비틀었다"고 언급해 협조에 불응한 프로젝트가 '배신'했다는 감정으로 읽힌다.

또 이례적으로 오리온 프로토콜(ORN), 카르디아 체인(KAI), 벨로(VELO) 등 3종의 프로젝트가 협조해준 것에 대해 고마움을 표시했다.

조니 류는 "오리온 프로토콜은 사고 발생 후 6시간 이내에 우리의 요청에 응답했으며, 재단 측은 다른 거래소에 연락해 입출금 중단을 요청한 이후에도 우리와 긴밀하게 연락했다"며 "적극적으로 협력한 결과 36시간 이내에 토큰 스왑을 완료했으며, 프로젝트 자체의 2차 피해를 막았다"고 말했다.

국내 암호화폐 거래소가 사고 발생 이후 단순히 거래소의 자산으로 충당하는 일회성 조치로 끝나는 것에 비해 쿠코인은 여전히 사고 수습이 진행 중이라는 것을 보고 배울 때도 됐다.

규모만 다를 뿐 사건이 종결된 것이 아님에도 시간이 약이라는 안일한 사고(思考)가 제2의 빗썸과 업비트 사고(事故)를 키우고 있다.

국내 암호화폐 거래소 해킹 규모 1위｜업비트 자산으로 충당했지만, 사실상 찾을 길 없어

회원 수 300만 명(글로벌 포함), 182개의 암호화폐와 286개의 거래쌍 등은 두나무의 암호화폐 거래소 업비트 3주년 지표 중 일부다. 하지만 이면에는 국내 암호화폐 거래소 해킹 규모 1위라는 주홍글씨가 숨어있다.

지난해 11월 27일 오후 1시 6분 이더리움(ETH) 핫월렛 342,000개(약 580억 원 규모)가 해커의 공격을 받아 자산이 유출된 사건도 내달이면 1년이다. 사건 발생 업비트의 원화 마켓(KRW)에서 1개당 17만 원에 거래됐던 이더리움은 현재 개당 45만6000원에 거래 중이다.

당시 업비트의 핫월렛(0x5e032243d507c743b061ef021e2)에 보관되어 있던 이더리움 34만2000개가 최초로 이동된 해커의 지갑(0xa09871aeadf4994ca12f5c0b6056bbd1d343c029)은 0.06개가 전부다. 치고 빠지는 식으로 지갑 쪼개기와 세탁을 거쳐 단 한 개의 이더리움도 남지 않고 모두 전송했으며, 사실상 회수 불가능한 상태에 이르렀다.

28일 <본지>가 이더리움 익스플로어 이더스캔, 이더플로어, 블록체인닷컴, 비트쿼리 등을 통해 남아있는 이더리움을 확인한 결과 0.061519938854404985 ETH로 집계, 당시 580억 원의 가치는 3만 원도 되지 않는 것으로 밝혀졌다. 이는 지난해 11월 27일에 해커의 지갑으로 전송된 이후 하루 만에 증발한 것이다.

이더스캔에 따르면 해커의 지갑을 업비트 해커(Upbit Hacker)로 코드 네임을 지정한 이후 거래 성사 횟수 118회, 세탁을 위해 사용한 암호화폐는 코인베네 코인(CONI)까지 포함해 57종이다. 특히 Upbit Hacker 1로 시작한 코드 네임은 이더리움 쪼개기를 위한 815개의 지갑 주소, 세탁을 위한 위장 거래는 1,374회다.

사건 발생 직후부터 보름 가까이 추적한 웁살라 시큐리티에 따르면 바이낸스, 후오비, Switchain, 60cek, 라토큰(LATOKEN) 등 글로벌 암호화폐 거래소에 입금된 정황을 포착한 게 전부다. 현재 웁살라 시큐리티는 '업비트 해킹 상황 게시판'을 폐쇄했으며, 일부 익스플로어 사이트와 포렌식 기업을 중심으로 업비트에서 유출된 이더리움의 경로를 추적 중이다.

업비트의 자산으로 충당했지만, 이더리움 해킹은 여전히 진행 중이다. 국내 수사기관의 종합 발표도 업비트의 상황 종료 안내도 없다. 사건 발생 당시 소위 해커한테 털린 이후 찾을 방법이 없었다는 게 관계자들의 전언이다.

당시 바이낸스를 비롯한 국내외 암호화폐 거래소가 공조 체제를 구축해 적극적으로 협조했다고 밝혔지만, 이들이 협조해서 반환해준 사례가 없다. 일각에서는 '우리만 아니면 돼'라는 배타적인 인식이 강해 강 건너 불구경처럼 관망했다는 분위기가 조성돼 현재까지도 이어지고 있다.

업비트 580억 해킹 사고는 ISMS 인증과 실명 계좌는 어디까지나 신고제에서 허가제로 전환하기 위한 일종의 단계일 뿐 거래소가 안전하다는 안심보험 수준이 아니라는 의미다. 특히 특금법 통과 전에 발생한 사고지만, 내년 본격적인 시행을 앞둔 상황에서 제2의 업비트처럼 또 사고가 발생할 수도 있다는 위기감이 조성되고 있다.

해커가 업비트가 보유한 이더리움 일부만 노렸고, 빠른 거래를 위해 상대적으로 높은 가스비(1,000 Gwei)를 책정해 트랜잭션의 우선순위를 설정한 의도 자체가 여전히 거래소의 핫월렛이 그들에게 먹잇감인 셈이다.

또한 국내 거래소를 제외한 일부 글로벌 거래소는 고객 신원 확인(KYC)이 일정 수준의 금액 이하는 생략돼 국내외 거래소의 공조 체제 구축도 쉽지 않다.

단지 북한의 소행이라는 미국발 소식만 있을 뿐 어느 사람도 '상황 종료, 범인 체포, 해킹 수법 공개' 등 재발 방지를 위한 대책 마련과 관련 법 제정에 관심을 두지 않는 게 더욱 큰 문제다.

정부와 기업이 엇박자를 내는 사이 투자자 보호는 여전히 뒷전인 모양새다.