지난 26일 오전 3시쯤 일본 최대 암호화폐(가상화폐) 거래소인 코인체크에서 580억엔(약 5700억원)어치 가상화폐 뉴이코노미무브먼트(NEM)가 해킹을 당했다. 코인 개수로는 5억2300개나 된다. -코인체크는 해킹 후 8시간이 지나서야 이를 파악했다. NEM 입출금을 정지하고 기자회견을 열어 피해자에게 전액 보상하겠다는 방침을 밝혔다. 피해 고객 26만명에게 NEM 1개당 88엔으로 보상키로 했다.
이 사건은 지금까지 벌어진 가상화폐 해킹 가운데 최대 규머였다. 월스트리트저널이 “가상화폐 열풍을 냉각시킬 수도 있을 만한 피해”라고 분석할 정도였다. 2014년 일본 거래소 마운트곡스 해킹 사건에서 빠져나간 470억엔(약 4585억원)보다도 많았다.
국내에서도 가상화폐 해킹은 쉼 없이 발생하고 있다. 지난해 국내 거래소 3곳에서 4차례 해킹을 당해 총 248억원의 손실을 입었다. 개인정보도 3만건이나 유출됐다. 지난해 12월 국내 거래소 유빗은 170억원대 해킹 피해를 입은 뒤 파산을 신청하기도 했다. 방송통신위원회는 최근 8개 거래소에 최고 2500만원, 총 1억4100만원 과태료를 부과했다. 보안 실태 점검 결과 개인정보 보호조치가 전반적으로 미흡했기 때문이다.
이렇게 보편화된 가상화폐 해킹 사건은 의문을 던져준다. 블록체인 기술이 각광을 받게 된 최대 이유는 차원이 다른 보안성 덕이었다. 그런 기술을 배경에 두고 성장한 가상화폐는 한꺼번에 6000억원어치가 해킹으로 탈취당할 만큼 취약한 환경에 놓여 있다. ‘해킹 불가’ 기술인 블록체인과 ‘해킹 타깃’이 돼버린 가상화폐. 왜 이런 역설적인 상황이 벌어진 걸까?
현재 가상화폐가 해킹의 타깃이 되고 쉽게 피해를 입는 것은 블록체인 기술을 거래에 사용하지 않고 있기 때문이다. 당초 고안된 방법대로 가상화폐를 소유하고 거래하려면 투자자들이 ‘전자지갑’을 만들어야 한다. 각자의 전자지갑이 하나의 블록이 되고 그것을 연결하는 체인을 통해 관리와 거래가 이뤄지는 것이 블록체인 기반의 가상화폐 유통 방식이다.
하지만 국내외 대다수 가상화폐 거래소는 이 같은 ‘분산’ 기법을 적용하지 않은 채 증권거래소 흡사한 ‘중앙집중식’ 거래 방식을 택하고 있다. 가상화폐 투자자들은 거래소에 가상계좌를 만들고 이 계좌에 예치금을 넣어둔 뒤 자신이 원하는 금액만큼 가상화폐를 사고판다. 즉, 가상화폐는 모두 개인의 전자지갑이 아닌 거래소에 맡겨둔 상태다. 해커들은 이 점을 노려 거래소를 해킹해 가상화폐를 빼간다. 주로 PC 악성코드를 이용하고 있다.
가상화폐 몸값이 치솟아 해커들의 새로운 표적이 되면서 3년 사이에 ‘코인’ 탈취 규모가 30배 넘게 늘어났다. 미국 사이버 보안 업체인 체이널리시스가 작성한 ‘가상화폐 범죄의 본질적 변화' 보고서를 보면, 해킹 사기 협박 등으로 탈취된 비트코인은 2013년 300만 달러(32억원)어치에서 2016년 9500만 달러(1013억원)어치로 32배 늘었다. 2017년에도 한 해 동안 9000만 달러어치가 털렸다.
이는 비트코인 몸값이 가파르게 치솟기 시작하면서 해커를 포함한 범죄 세력이 노리는 새로운 사이버 공격 대상이 됐기 때문이라고 체이널리시스는 분석했다. 비트코인 가격(블룸버그 집계 기준)은 2015년까지만 해도 400달러 선에 머물다 2016년 말부터 급격하게 뛰어오르기 시작해 2017년 12월 1만8674달러로 사상 최고점을 찍었다.
체이널리시스는 "비트코인 가치가 점차 상승하면서 다른 사람이 보유한 가상화폐를 탈취하려는 범죄도 늘고 있다"면서 "비트코인 관련 범죄는 더이상 사이버 범죄로 볼 수 없으며, 금융 자산을 노린 탈취로 변하고 있다고 봐야 한다"고 말했다.
앞서 금융정보 업체 오토노머스리서치도 지난 10년 간 해커들이 훔친 비트코인과 이더리움이 모두 12억 달러(1조3000억원)어치에 이른다고 밝힌 바 있다. 특히 가상화폐 거래소가 해커에게 뚫리면 수많은 투자자에게 피해 규모가 눈덩이처럼 불어난다는 점에서 심각성이 있다고 지적했다. 해커들이 이처럼 가상화폐를 새로운 표적으로 삼는 것은 상대적으로 현금화하기 쉬운 특성 때문이라고 전문가들은 분석했다.
가상화폐 보안 업체인 레저월렛의 레저 라르슈베크 최고경영자(CEO)는 CNBC 방송에 출연해 "은행 계좌나 비밀번호를 해킹했다고 해도 곧바로 돈이 되는 것이 아니지만 비트코인은 이미 현금과 같다"면서 "전 세계 해커들이 가상화폐를 노리고 있다고 본다"고 말했다. 거래소의 가상화폐 관리에 허점이 있다는 지적도 잇따랐다. 마운틴곡스나 코인체크가 피해 규모를 키운 것은 보안 수준이 낮은 ‘핫월렛'(Hot Wallet)에 투자자의 가상화폐를 보관했기 때문으로 알려졌다.
핫월렛은 온라인에 연결된 가상화폐 거래용 지갑으로, 인터넷에서 차단된 ‘콜드월렛'(Cold Wallet)에 비해 안전성이 떨어진다. 미국 거래소인 코인베이스는 보유한 가상화폐 중 98%를 콜드월렛에 보관하고 있다고 밝혔었다.
투자자들의 피해가 속출하면서 거래소를 상대로 집단행동에 나서려는 움직임도 확산하고 있다. 한국 거래소 빗썸을 상대로 국내 투자자들이 서버 접속 장애에 따른 손해 보상을 요구하며 집단소송을 추진 중인 가운데 미국 거래소 비트커넥트(BitConnect)는 폰지 사기(다단계 금융사기) 혐의로 투자자 집단소송에 휘말렸다. 이들은 지난 24일(현지시간) 플로리다 주 법원에 낸 소송에서 비트커넥트가 고수익을 미끼로 자체 가상화폐에 투자를 유도해 손실을 입혔다고 주장하며 손해배상을 요구했다.
태원준 기자 wjtae@kmib.co.kr