‘디파이(DeFi·탈중앙화 금융) 서비스’에서 지난해 도난당한 암호화폐의 가치가 세계적으로 2조원을 웃도는 것으로 나타났다. 디파이 서비스는 블록체인 업체들이 구축한 스마트 콘트랙트에 의해 코인을 거래하고, 예금 넣듯 코인을 맡기거나 대출을 받는 서비스다. 국내에서도 디파이 규모가 1조원을 넘어설 정도로 커지는 가운데 최근 들어 해킹 사고가 잦아지고 있다.

도난사고 느는데 법적 책임은 없어

범죄온상 된 디파이…털린 코인만 2조원 넘어
9일 블록체인 데이터 기업 체이널리시스에 따르면 지난해 암호화폐 도난금액 32억달러 중 72%에 달하는 22억달러가 디파이에서 도난된 것으로 집계됐다. 2020년 대비 1330% 증가한 금액이다. 블록체인 데이터 사이트인 디파이펄스에 따르면 현재 디파이에 보관된 암호화폐 가치는 820억달러로 추정된다. 디파이에 맡긴 전체 코인 가운데 2.7%가량이 도난당한 셈이다. 지난 6일 디파이인 웜홀에서 3억2200만달러(약 3900억원)어치의 코인이 해킹당했고, 작년 8월엔 폴리네트워크가 6억1000만달러(약 7200억원)를 도난당하는 사고가 벌어지기도 했다.

국내도 이런 디파이 도난사고를 피해가기 어렵다. 이달 3일 7845억원의 자산이 예치된 디파이 서비스 클레이스왑에서 22억원어치의 코인이 도난당했다. 클레이스왑 사용자가 요구한 예치·인출이 해커가 지정한 지갑으로 전송된 것이다.

디파이 업체들이 갖춘 약관의 상당수가 투자자에게 불리하게 작성돼 있는 게 문제라는 지적이 나온다. 한 업체 약관에는 ‘서비스 이용 과정에서 발생할 수 있는 모든 금전적 손실에 대한 책임은 100% 이용자 본인에게 있다’고 적어놨다. 투자 규모가 5500억원에 달하는 한 디파이 서비스 업체는 홈페이지에 약관이 아예 없다. 해킹이나 코드 결함으로 발생할 수 있는 문제조차 업체가 자발적으로 보상하지 않는 한 투자자들이 부담해야 한다는 것이다.

최우영 법무법인 광장 변호사는 “피해자는 해킹 등으로 발생한 손해가 디파이 업체 과실이라는 점을 입증하기 어렵다”며 “불공정약관에 대한 공정거래위원회의 해석과 디파이 소비자 보호를 위한 법령 제정이 이뤄질 필요가 있다”고 말했다.

김형중 고려대 정보보호대학원 교수는 “디파이를 이해하지 못한 채 투자하는 이가 대부분”이라며 “현재 디파이라고 하는 서비스 중 상당수는 운영 업체가 분명히 존재하기 때문에 디파이라고 부르기 어렵다”고 말했다. 금융당국이 디파이 업체들이 가상자산사업자에 해당하는지 기준을 세우고 투자자 보호장치를 마련해야 한다는 지적이다.

자금세탁 창구로 활용되기도

디파이가 범죄자금 세탁 창구로 활용되는 사례도 적지 않은 것으로 나타났다. 체이널리시스에 따르면 북한은 작년 3억9500만달러(약 4680억원) 규모의 암호화폐를 해킹해 디파이에서 세탁한 것으로 알려졌다. 경제협력개발기구(OECD)는 지난달 보고서에서 “대부분의 디파이는 고객 확인과 자금세탁 방지 프로그램을 갖추고 있지 않아 사용자의 신원이나 자금 출처를 확인할 수 없다”며 “이로 인해 자금세탁과 테러자금 조달 등의 문제를 발생시키고 있다”고 지적했다.

박진우 기자 jwp@hankyung.com