가상자산 거래소 지닥에서 200억 원 상당의 가상자산이 외부로 유출되면서 해킹으로 문을 닫은 일본의 마운트곡스나 국내 코인레일의 전철을 밟는 게 아니냐는 우려가 나온다.

마운트곡스는 일본의 가상자산 거래소로 지난 2014년 세계 비트코인 거래량의 70% 이상을 차지하는 등 유명세를 떨쳤으나 같은 해 2월 해킹으로 85만 개의 비트코인을 도난당해 한순간에 몰락했다. 당시 비트코인 85만 개는 5억 달러(약 5330억 원)에 달하는 어마어마한 금액이었다. 역대 최대 규모의 해킹 공격을 당한 마운트곡스는 결국 파산을 선언했으며 가상자산이 해킹으로부터 자유롭지 않다는 인식이 널리 퍼진 계기가 됐다. 9년 간 채권단과 변제 논의를 거친 마운트곡스는 올해 약 14만 개의 비트코인과 14만 3000개의 비트코인캐시(BCH), 5억 달러를 채권단에 상환할 예정이다.



국내 거래소도 해킹에서 자유롭지 못하다. 지난 2018년 6월 당시 국내 7위 거래소였던 코인레일은 이더리움 1927개를 포함한 덴트(DENT), 펀디엑스(NPXS) 등 10종의 가상자산을 해킹당했다. 피해 금액은 총 450억 원이며 코인레일이 보유한 코인의 30%에 해당하는 물량이었다. 코인레일은 자체적으로 발행한 가상자산으로 보상하겠다고 밝혔지만 결국 피해를 복구하지 못했다. 법원은 지난 2021년 코인레일 운영사에게 해킹 피해 금액의 일부인 4억 원을 피해자에 지급하라고 판결했다.

코인레일에 이어 같은 달 빗썸에서도 해킹이 발생했다. 빗썸은 당시 비트코인 2016개와 이더리움 2219개 등 총 190억 원의 가상자산을 도난당했다. 빗썸은 유실된 가상자산을 회사 소유분으로 충당하고 고객의 자산을 콜드 월렛으로 옮겼다. 코인레일과 빗썸 모두 2018년 해킹 당시 정보보호관리체계(ISMS)를 취득하지 않은 상태였다.

문제는 거래소가 해킹 방지를 위한 최소한의 장치인 ISMS 취득했음에도 해킹이 막지 못했다는 것이다. 빗썸은 지난 2018년 12월 한국인터넷진흥원(KISA)에서 ISMS 인증을 획득했으나 3개월 만에 약 215억 원의 가상자산이 외부로 유출됐다. 빗썸은 “외부 침입 흔적을 발견하지 못 했다”며 “출금 사고는 내부자 소행으로 분석된다”고 해명했다. 그러나 해킹의 일종인 ‘내부자 해킹’을 막지 못한 것도 문제라는 게 당시 업계 전문가의 시각이었다.

국내 점유율 1위 거래소 업비트도 빗썸보다 한 달 앞서 ISMS를 취득했지만 해킹을 피할 수 없었다. 업비트는 “2019년 11월 이더리움 핫월렛에서 약 580억 원 상당의 이더리움이 알 수 없는 지갑으로 전송됐다”며 입·출금 서비스를 중단했다. 업비트는 유출된 이더리움 34만 2000개를 자사 자산으로 충당하고 핫월렛에 보관 중인 가상자산을 콜드월렛으로 이전하는 조치를 취했다. 미국 법무부는 업비트 해킹의 배후로 북한의 해킹 그룹 ‘라자루스’를 지목했다.

최재헌 기자

chsn12@decenter.kr