해당 사진은 기사와 무관함/사진=게티이미지뱅크
해당 사진은 기사와 무관함/사진=게티이미지뱅크
지난 10일 국내 7위 가상화폐(암호화폐) 거래소 코인레일이 해킹 당했다. 유출된 암호화폐 피해액만 약 400억원. 국내 암호화폐 거래소 사고 가운데 역대 최대 규모다.

물론 1차적 책임은 보안이 불충분했던 거래소에 있다. 분산과 탈중앙화에 따른 높은 보안성이 핵심인 블록체인, 거기에 기반한 암호화폐가 해킹 당했다는 사실은 혼란을 불러일으켰다. “블록체인은 해킹 걱정 없다더니….” 반응은 다시 크게 두 가지로 나뉜다. 첫째, 블록체인과 거래소는 별개며 거래소가 해킹된 것은 전혀 다른 차원의 문제다. 둘째, 암호화폐가 거래소 없이 현실에서 구현되기는 어려우므로 사실상 암호화폐가 안고 있는 문제로 봐야 한다.

첫 번째 반응의 경우, 해킹 타깃이 되는 중앙집중형 거래소를 탈중앙화 거래소 형태로 바꾸거나 거래소 보안 수준을 높이는 등 나름의 해결책을 내놓을 수 있다. 반면 두 번째 반응은 암호화폐에 대한 불신으로 이어질 개연성이 크다.

거래소 해킹 사고가 터질 때마다 흘러나오는 ‘자작극 논란’은 이런 불신을 한층 키운다. 해킹인지 거래소 스스로의 모럴해저드(도덕적 해이)인지 분간이 어렵다는 이유다. 이번에도 어김없이 의혹이 제기됐다.

그럴 만도 하다. 코인레일은 이번 해킹이 일어나기 약 20일 전 소비자 손해배상 관련 약관을 바꿨다. “회원 의사와 관계없이 최종 보유한 전자지갑 내 가상화폐 또는 포인트를 지급”한다는 기존 조항을 삭제했다. 또한 “회사의 고의 또는 과실로 인해 발생하지 않은 손해에 대해서는 책임을 지지 않는다. 약관에 명시되지 않은 어떠한 구체적 사항에 대해서도 약정이나 보증을 하지 않는다”라고 약관을 변경했다. 의구심 섞인 음모론이 나오는 이유다.

사진=게티이미지뱅크
사진=게티이미지뱅크
이번 사태를 푸는 실마리는 투명성과 신뢰성 확보다. 그러려면 제대로 된 가이드라인이 있어야 한다. 그 역할은 정부 몫이다. 하지만 일련의 과정에서 정부는 보이지 않았다. 연초 비트코인 투기 논란 이후 아예 비개입 정책으로 일관하는 모양새다.

정부가 손을 놓은 사이 피해는 고스란히 투자자에게 돌아갔다. 혹자는 “정부 경고(거래소 폐쇄 검토)에도 위험 자산을 거래한 개인의 잘못이 크다”고 한다. 그렇지 않다. 개인의 판단과 별개로 정부는 ‘룰 세터(rule setter)’와 최소한의 안전망 구축 역할은 해야 한다. 거래소에는 해킹을 당하지 않을 보안 수준을 갖추도록 하고, 개인 투자자 피해를 구제할 방안을 마련하게끔 요구해야 한다.

무한정 허용할 수 없다면 감당할 수 있을 만큼 선을 긋고, 그 안의 범위에 대해서는 때로 장려하고 때로는 규제하면서 기준을 만들어가는 자세가 필요하다.

‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(정보통신망법)상 매출 100억원 이상, 하루 평균 방문자 100만명 이상 사업자는 한국인터넷진흥원(KISA)의 정보보호관리체계(ISMS) 인증을 받아야 한다. 빗썸 업비트 코빗 코인원 등 대형 거래소만 해당된다. 해킹이 발생한 코인레일 같은 중소 거래소는 ISMS 인증을 받을 의무 자체가 없다. 적어도 이 ‘공백’은 해결해야 하지 않을까.

해외가 어떻게 움직이는지 정부는 유심히 살펴봐야 한다. 거래소 규제안을 내는가 하면 허가제로 운영하기도 하며 ICO(암호화폐 공개) 기준에 대한 가이드라인도 발표했다. 또 암호화폐 거래소와 기업이 증권사 및 은행 자격 취득 절차를 준비하는 등 제도화에 박차를 가하고 있다. 그들도 100% 확신이 있어서라기보다는 필요에 의해 시도하는 것일 터이다.

아무런 결정도 내리지 않는 정부는 존재의 이유가 없다. “규제성이 되어도 좋으니 일단 무언가 기준을 만들어달라”는 현장 목소리를 이제라도 정부가 귀담아 들을 때다.

김봉구 한경닷컴 기자 kbk9@hankyung.com
기사제보 및 보도자료 open@hankyung.com