감시도 구제도 할 수 없다..제도 사각지대 가상화폐 거래소

[경향신문] ㆍ국내 최대 거래소 ‘빗썸’ 해킹 왜 피해 커졌나

지난달 19일 30대 도모씨는 전화 한 통을 받고 5분 만에 1000만원을 잃었다. 도씨는 비트코인과 같은 가상화폐를 사고팔 수 있는 사이트인 가상화폐 거래소 ‘빗썸’ 계좌에 1500만원을 예치해두고 있었다. 자신을 빗썸 운영진이라 소개한 사람은 “해외 해킹 거래가 의심되니 방금 빗썸 명의로 간 문자에 적힌 인증번호를 불러달라”고 했다. 빗썸 인증 문자메시지는 운영진이나 거래자 본인만 보낼 수 있는 것이기에 도씨는 크게 의심하지 않고 문자 인증번호를 불러줬다. 전화를 끊은 도씨가 빗썸 사이트에 접속하니 해커로 의심되는 세력이 5분 전에 1000만원을 인출한 기록이 있었다.

하루 거래량만 7000억원이 넘는 국내 최대 가상화폐 거래소 빗썸에서 고객 개인정보가 지난달 유출되면서 100여명이 금전적 피해를 입은 것으로 보인다. 지난달 27일 만들어진 ‘빗썸 해킹으로 손해본 사람들 모임’에 따르면 100여명의 계좌에서 적게는 몇백만원부터 몇억원의 돈이 인출된 것으로 추정된다.

도씨와 같이 직접 보이스피싱 전화를 받은 사례도 있지만 자신도 모르는 사이에 해커들이 해커들 명의로 된 구글 OTP(구글 제공의 일회용 비밀번호 생성 서비스)로 인증수단을 변경 등록해놓고 계좌에서 돈을 빼간 경우도 많다. 빗썸 측은 “직원이 자택에서 이용하는 개인용 PC가 해킹을 당해 업무용 문서 내 회원정보 일부가 유출되는 사고가 발생했다”며 “지난달 30일 한국인터넷진흥원, 수사기관 등에 신고하고 유출이 의심되는 회원에게 개별 e메일을 발송해 알렸다”고 설명했다.

피해자들은 빗썸 측이 안일하게 대응하는 바람에 피해 규모가 커졌다는 입장이다. 도씨는 “지난달 19일 해킹당한 후 빗썸 측에 피해 사실을 알렸으나 인증 방식에 변화가 없었고, 개인정보 유출에 대한 고지도 없었다”고 말했다. 이후 지난달 28~29일 도씨와 유사한 방식으로 수십명의 계좌에서 돈이 인출됐고 3일까지도 유사 피해가 이어지고 있다.

금융당국의 제도 정비가 늦어지는 것이 해킹 피해 사태를 키운 근본 원인으로 지적된다. 지난해 10월 임종룡 금융위원장이 가상화폐와 관련, 미국·일본 등의 동향을 봐가면서 제도화를 본격 추진하겠다고 발표했고 금융위, 기획재정부, 한국은행 등의 전문가들로 구성된 디지털통화 제도화 태스크포스(TF)가 만들어졌다.

하지만 별다른 진전이 없는 사이 가상화폐 시장이 급속도로 성장하고 거래소만 10곳 넘게 생겼다. 더불어민주당 박용진 의원이 금융감독원에서 제출받은 ‘가상화폐 국내 거래 현황’에 따르면 국내 거래소에서 가상화폐의 하나인 비트코인만 2015~2016년 2년 동안 1조9172억원이 거래됐다.

거액의 금전 거래가 있음에도 가상화폐 거래소는 금융회사가 아니고, 쇼핑몰과 같은 통신판매업자로 분류된다. 금감원 관계자는 “은행 같은 금융사에서 이 정도로 큰 사고가 났으면 금감원에서 현장감사를 바로 나갔을 텐데 가상화폐 거래소에 대해서는 그럴 권한이 없다”고 말했다.

박용진 의원은 가상화폐에 관한 법령 개정안을 마련해 이달 중 발의할 예정이라고 밝혔다. 국내에서 비트코인 등 가상화폐 거래 관련 영업활동을 할 때 금융위의 인가를 받아야 한다는 조항을 금융전자거래법상에 신설하자는 내용이다.

<이혜인 기자 hyein@kyunghyang.com>