해킹으로 200억 잃은 지닥… 거래소, 안전판 없어 속수무책

지닥 총 보관자산의 23% 털려… 최소한의 안전망도 없어 당국 비판 목소리 커져
입법안에도 해킹 피해 명시 안돼있어… "STO 제도화에만 힘쓰다 가상자산 뒷전"

픽사베이 제공.

국내 코인거래소에서 해킹으로 인해 200억원 가량의 가상자산이 탈취되는 일이 벌어졌다. 가상자산 투자자들 사이에서는 다른 거래소도 이 같은 리스크에 노출돼 있지는 않을지 우려가 커지는 분위기다. 관련 규제는커녕 최소한의 안전망도 미비한 가운데 당국에 대한 비판의 목소리도 커질 전망이다.

◇지닥, 총 보관자산 23% 털려…코인마켓 거래소 '시름'= 코인거래소 지닥(GDAC)은 지난 10일 새벽 4시부터 '거래소 점검'을 이유로 입출금 서비스를 일시 중단했다. 이후 같은 날 오후 4시 55분께 "9일 오전 7시께 지닥 핫월렛에서 해킹이 발생해 일부 자산이 식별되지 않은 지갑으로 발송됐다"고 공지했다.

해킹피해 자산은 비트코인(BTC) 60.80864074개, 이더리움(ETH) 350.50개, 위믹스(WEMIX) 1000만개, 테더(USDT) 22만개로, 지닥 총 보관자산의 약 23%에 달한다. 당시 시세 기준(코인마켓캡)으로 200억원에 달하는 규모다.

앞서 지닥은 지난해 말 원화거래소 공동 협의체(DAXA·닥사)가 거래지원 종료를 결정한 위믹스 코인을 상장한 유일한 코인마켓 거래소로도 주목받은 바 있다.

피해가 발생한 핫월렛(hot wallet)은 오프라인에서 동작해 접근이 불가한 콜드월렛(cold wallet)과 달리 온라인에 연결된 암호화폐 지갑으로, 바로 입출금과 송금이 가능하다. 정부는 가상자산 거래소들이 콜드월렛에 자산의 70% 이상을 보관하도록 권고하고 있다. 지닥도 핫월렛에 30%를 보관하고 있었다고 가정하면 그 중 대부분이 털린 셈이다.

국내 가상화폐거래소는 업비트, 빗썸, 코인원, 코빗, 고팍스 등 원화로 가상자산 매매가 가능한 원화거래소와 가상화폐를 결제수단으로 가상자산을 매매하는 코인마켓(비원화) 거래소로 나뉜다.

지닥은 국내 금융당국에 신고를 마친 코인마켓(코인 간 거래만 지원하는 마켓) 거래소 중 하나다. 코인마켓 거래소 중에선 지닥의 거래량이 가장 큰 것으로 추정된다.

이에 따라 지닥과 같은 코인마켓 업계는 시름이 더 깊어지고 있다. 전체 가상자산 거래의 95% 이상을 차지하고 있는 원화거래소 대비 몸집이 작은 만큼, 이번 해킹 사태로 인해 자칫하면 코인마켓 거래소 전체에 불똥이 튈 수 있기 때문이다.

은행 실명계좌 확보를 통해 원화 거래 지원이 가능해지지 않는 이상 현실적으로 이들이 시장에서 유의미한 점유율을 확보하기는 어렵다. 대형 원화거래소들이 금융당국과 밀접한 소통을 이어가며 가상자산 제도화에 나서고 있지만 이 과정에서도 소외돼 있다.

◇투자자 신뢰 하락 불똥 튈까 우려…"국회서 기본법 논의 방치" 비판도= 가상자산 시장은 지난해 테라·루나 사태부터 글로벌 3대 암호화폐 거래소 FTX 붕괴 등 불미스런 사건이 반복되면서 투자자들의 신뢰를 잃고 있는 상황이다. 게다가 최근 위메이드의 위믹스(WEMIX) 코인과 다날의 페이코인(PCI) 등 이른바 '김치코인'까지 잇따라 주요 원화 거래소에서 상장폐지 되면서 추가 타격을 받은 바 있다.

무엇보다 투자자 입장에서는 원화거래소에 비해 코인마켓 거래소의 보안 수준에 대해 상대적으로 큰 불안감을 느낄 수 있다는 게 문제다. 특히 지닥은 2020년 국내 최초로 거래소 및 지갑관리 시스템 운영에 대한 정보보호관리체계(ISMS) 인증을 취득, 역시 국내에선 최초로 미국 전역에서 디지털 자산 취급이 가능한 MSB 라이선스를 취득하는 등 기술력을 강조해온 거래소였던 만큼 예상되는 충격이 더 클 수 있다는 게 업계의 진단이다.

다만 다른 코인마켓 거래소 관계자는 "수사 후 내부 통제 체계의 문제인지 외부 공격으로 인한 해킹인지도 지켜봐야 할 문제"라면서 "원인이 확인되지 않은 상태에서 전체 거래소의 문제로 보기는 어렵다"고 선을 그었다.

원화거래소도 코인마켓 거래소와는 거리를 두는 분위기다. 상대적으로 큰 자본과 인력을 보유하고 있는 원화거래소들은 코인마켓 거래소보다 안전할 수밖에 없단 설명이다.

이와 관련, 임종인 고려대 정보보호대학원 석좌교수는 "코인마켓 거래소의 경우 수익 규모 자체가 (원화거래소에 비해) 작다보니 보안 시스템에 투자하는 금액 차이가 클 수밖에 없다"면서 "원화거래소의 경우 별도 규제가 없어도 보안 이슈가 거래소 존폐 여부와도 직결될 수 있는 만큼 보안과 자금세탁에 대한 투자를 자율적으로 늘리고 있다"고 설명했다. 다만 "정부도 보안수준 공시제도를 통해 거래소별 보안 수준이나 보안인력, 보호관리체계 인증 여부 등을 공개하고 투자자에게 선택권을 줘야할 것"이라고도 덧붙였다.

당국에 대한 책임론도 불거질 수 있다. 현재 국회 정무위에는 가상자산 관련 입법안 17개가 계류 중이다. 가상자산거래와 관련한 유일한 법안인 특정금융정보법(특금법) 개정안에도 해킹에 대한 피해에 대해선 명시돼 있지 않다.

당국의 제도적 규제가 부재한 상황에서 닥사는 물론 코인마켓 거래소들도 한국디지털자산사업자연합회(KDA) 등 협의체를 구성, 자율 규제를 해오고 있다.

특금법에 따라 금융당국에 신고 후 영업하려는 가상자산 거래소들은 정보보호관리체계(ISMS) 인증을 의무적으로 획득해야하고, 실제로 지닥도 인증을 획득한 상태지만 규제 구멍을 채우기엔 역부족이다.

익명을 요구한 업계 관계자는 "최근 당국이 토큰증권발행(STO) 제도화에만 힘을 싣느라 그 외의 영역인 가상자산 거래와 가상자산거래소 관련 규제는 상대적으로 방치되고 있다"고 지적하기도 했다.

한편 지닥은 피해를 파악한 즉시 지갑시스템(입출금 시스템)과 관련 서버를 중단·차단하고 경찰에 신고, 사이버수사를 요청하고 한국인터넷진흥원(KISA)과 금융정보분석원(FIU)에도 피해 사실을 보고했다고 밝혔다. 또 자산 발행사(재단)와 거래소 및 디파이 운용사 등에 자산동결 협조요청을 진행 중인 것으로 알려졌다.

신하연기자 summer@dt.co.kr