해커에 뚫린 가상화폐 거래소…업계·당국 대책 마련 부심
국내 가상화폐(암호화폐) 거래소 코인레일이 탈취당한 암호화폐 중 일부가 결국 시장에 매각되며 거래소 해킹 방지 대책에 대한 관심이 높아지고 있다. 암호화폐에 해킹 당한 물량을 잠금 및 소각하는 기능을 넣거나 거래소 규제를 금융권 수준으로 높이는 등의 대책이 거론된다.

26일 업계에 따르면, 지난 10일 코인레일 해킹 후 전체 거래를 금지하며 도난 암호화폐 매각을 막았던 펀디엑스(NPXS)가 지난 19일 거래를 재개했고 탈취당한 26억개 가운데 일부 물량이 탈중앙화 거래소 아이덱스(IDEX)를 통해 유통됐다. P2P(개인 간 거래) 기반인 탈중앙화 거래소를 거치면 이후 계좌 추적은 어려워진다. 암호화폐를 탈취하려는 해커와 지키려는 코인레일의 싸움에서 해커가 이긴 셈이다.

펀디엑스가 거래를 재개한 다음날 가상화폐 거래소 빗썸도 해킹을 당해 약 350억원 규모 암호화폐가 유출됐다. 한 거래소 관계자는 “업비트도 조만간 (해킹 사고가) 터질 것”이라며 해킹을 예고하기도 했다. 거래소에 대한 불안감이 높아진 탓에 시장에서는 업비트 해킹설마저 돌았다. 그러자 업비트는 “해킹설은 거짓이다. 잘못된 소문”이라며 진화에 나섰다.

투자자들이 불안해하는 점은 해킹으로 탈취당한 암호화폐를 되찾기 어렵다는 한계 때문이다. 올 1월 일본 주요 암호화폐 거래소 코인체크가 약 5700억원어치 넴(NEM) 코인을 탈취당한 바 있다. 넴 재단은 탈취된 암호화폐 추적에 나섰지만, 해커가 암호화폐를 잘게 쪼개 다크웹(일반 검색 엔진으로 접근할 수 없고 불법 정보가 유통되는 심층 웹)을 통해 유통하자 결국 백기를 들었다.

해킹 피해 방지 대책으로 암호화폐 업계에는 ‘락(Lock)’ 기능 도입 움직임이 일고 있다. 암호화폐를 발행할 때 스마트 컨트랙트에 특정 지갑(계좌) 거래 정지, 특정 지갑 물량 소각 등의 기능을 담고 해킹이 발생하면 운영 재단에서 해당 암호화폐가 있는 지갑 사용을 중단시켜 매매가 불가능하도록 만드는 것이다. 이 경우 해당 암호화폐를 폐기하고 재단에서 해당 수량을 다시 발행해 해킹 피해자에게 제공하는 식으로 피해를 막을 수 있다.

단 이 방법은 재단 통제권이 강화돼 탈중앙화라는 블록체인 이념에 반한다는 지적을 받는다. 그럼에도 거래소를 통한 해킹 사고가 빈번해지자 일부 업체들은 궁여지책으로 락 기능을 도입하고 있다. 코인레일에서 해킹된 암호화폐 애스톤(ATX)과 엔퍼(NPER)는 이 기능을 활용해 해커의 지갑을 동결시키며 피해를 최소화했다. 흄(HUM) 토큰을 발행한 헬스케어 블록체인 스타트업 휴먼스케이프도 코인레일 해킹 사고 발생 직후 신규 암호화폐를 발행하고 기존 암호화폐와 교환해주는 하드포크를 통해 이 같은 기능을 도입했다.
최종구 금융위원장. 사진=연합뉴스
최종구 금융위원장. 사진=연합뉴스
거래소에 금융권과 동일한 규제를 적용, 부실 거래소를 퇴출하려는 움직임도 있다. 암호화폐 거래소는 사업자등록만으로 간단하게 설립할 수 있어 신규 거래소들이 계속 등장하는 상황이다. 하지만 이들 거래소가 투자자의 암호화폐를 보호할 능력이 있는지는 충분히 확인되지 않았다. 해킹 피해가 발생했을 경우의 배상 능력 여부는 더욱 미지수다.

최종구 금융위원장은 지난 20일 “암호화폐 취급 업소가 사고에 취약하다는 것은 어제오늘 얘기가 아니다”라며 “업소 스스로 거래 시스템을 안정적으로 만들고 투자자 보호를 강화할 수 있도록 해야 한다”는 견해를 밝힌 바 있다. 이를 위해 “특정 금융거래정보의 보고 및 이용 등에 관한 법률(특금법) 개정안이 빠른 시일 내 통과될 수 있도록 노력하겠다”고 말했다.

지난 3월 제윤경 더불어민주당 의원이 발의한 특금법 개정안은 은행에 준하는 규제를 암호화폐 거래소에 적용하는 내용이 담겼다. 개정안이 통과되면 거래소에는 △의심거래보고 △고액현금거래보고 △고객확인 △내부통제 △고객예치금 분리보관 △금융정보분석원(FIU) 신고 등의 의무가 부과된다. 이를 위반할 경우 영업중지, 임직원 제재 등 조치도 가능하다.

오세성 한경닷컴 기자 sesung@hankyung.com
기사제보 및 보도자료 open@hankyung.com