“벌써 몇 번째야”…연이은 해킹에 김치코인 투자자 ‘아우성’

[이미지=게티이미지뱅크]

연이은 국내 가상자산 프로젝트 해킹 논란에 투자자 시름이 깊어지고 있다. 해커로부터 가상자산이 무단 출금되고 유통량이 초과되는 사건이 반복되며 상장폐지(거래지원 종료) 위험에 처했기 때문이다. 스마트컨트랙트(조건부 계약)에 따른 거래제한(락업)조차 설정하지 않고 미유통 물량을 보관하는 거래소의 관리 소홀에 대한 불만도 커졌다.

썸씽·갤럭시아·오르빗체인, 가상자산 탈취 당해

국내 가상자산 프로젝트 썸씽(SSX)은 지난 1월 29일 디지털자산거래소 협의체(닥사·DAXA)의 결정에 따라 유의종목으로 지정됐다. 썸씽 토큰은 동명의 블록체인 기반 노래방 어플리케이션에서 사용할 수 있는 토큰으로 국내 원화거래소 중에서는 업비트·빗썸·코인원·고팍스에 상장돼 있다.

각 거래소는 “재단이 관리하는 지갑에서 보안 이슈가 발생했고, 기존에 제출한 유통계획과 일치하지 않았다”며 썸씽 유의종목 지정 배경을 설명했다. 각 거래소는 유의종목 지정 기간 동안 썸씽에 대한 검토를 통해 유의지정·연장해제·최종거래 지원 종료 여부를 판단한다.

썸씽은 클레이튼 기반의 블록체인 앱으로써 모바일 노래방 서비스를 운영한다. 썸씽 토큰은 노래를 부르는 것에 대한 인센티브와 수수료로 사용된다.(썸씽 홈페이지 캡처)

썸씽 팀은 지난 1월 27일 미유통 물량(5억400만개)과 재단 보유물량(2억2600만개)을 포함해 총 7억3000만개의 썸씽 토큰을 탈취당했다. 썸씽은 피해사실을 인지한 즉시 피해를 방지하기 위해 입출금 일시 중단을 요청했으며 한국 사이버수사대를 비롯한 국내외 기관에 수사를 의뢰했다고 밝혔다.

다른 국내 가상자산 프로젝트인 갤럭시아(GXA)는 해킹으로 빗썸에서 상장폐지 절차를 밟았다.

갤럭시아는 지난해 국내운영 대행사인 갤럭시아메타버스가 보유한 지갑에서 3억8000만개의 코인이 무단 출금됐다. 갤럭시아 재단의 사고 대응 과정에서 해킹 물량을 제외하고도 계획된 유통량보다 더 많은 물량이 유통됐다는 의혹이 잇따랐다. 이에 닥사는 갤럭시아를 유의종목으로 지정했다.

갤럭시아 재단은 초과 유통분 1억개를 회수하고 발행량을 소각하며 후속대처에 나섰다. 그러나 빗썸은 이를 불충분하다고 보고 지난 1월 10일 거래지원 종료를 결정했다. 갤럭시아 재단은 거래지원 종료를 막기 위해 지난 1월 22일 빗썸을 상대로 효력정지 가처분을 신청했으나 기각당했다. 재단은 지난 2월 1일 추가로 항고를 진행하지 않고 재상장에 힘쓰겠다고 공지했다.

내부자의 소행으로 의심되는 가상자산 탈취 사례도 있다. 바로 ‘오르빗 브릿지’다. 지난 2월 1일 이더리움 볼트(잔고) 내 8150만달러(약 1000억원대) 규모의 가상자산을 탈취당했다. 탈취된 자산은 이더리움·다이(DAI) 등 다른 자산으로 교환된 뒤 8개 지갑으로 분산돼 보관됐다. 오르빗 체인의 운영사인 오지스는 퇴사한 CISO(최고정보보호책임자)가 방화벽을 취약하게 만든 것을 이번 해킹사태의 원인으로 꼽았다. 오르빗 브릿지에 활용되는 토큰인 오르빗 체인(ORC)은 현재 투자유의 종목으로 지정돼있다.

“허술한 관리·취약한 보안 문제…미유통 물량에 락업 적극 활용해야”

국내 가상자산 홀더들은 허술한 관리와 취약한 보안을 문제 삼는다. 미유통 물량이 시장에 풀리고, 거래소로부터 상장폐지를 당하게 되면 결국 고스란히 홀더들의 피해로 돌아간다.

닥사의 거래지원심사 공통 가이드라인에서는 지난 6개월간 블록체인에 심각한 보안 문제가 발생한 이력이 있거나 문제원인 파악과 해결이 안 될 경우 기술적 위험성이 있다고 본다. 상당규모의 가상자산이 무단으로 탈취되거나 해킹당한 이력이 있을 때에도 위험도가 높다고 본다.

조재우 한성대학교 교수는 “재단이 보유한 미유통 물량을 코드상으로 확실히 락업(해당 코인의 총 발행량 중 재단이 가진 물량을 일정 퍼센트만큼 매매를 금지시키는 것)을 걸어둬야 한다”고 강조했다. 그는 “락업 조치를 하는 프로젝트가 국내·해외 모두 적다”며 “락업만 확실하게 활용하더라도 블록체인의 기술적인 강점을 활용해 보안성을 높일 수 있다”고 말했다.