해킹 이번 처음 아냐…"대안 시급"
제대로 법 없다…관리 기본 챙겨야
유럽, 세계 첫 가상자산법 '미카' 통과
가상자산 거래소가 해킹(Hacking)에 골머리를 앓고 있다. 해킹은 디지털 장치에 무단으로 접근해 정보 수집, 발행, 손상 등을 일으키는 악의적 행위를 말한다. 가상자산 거래소에 대한 해킹은 가상자산을 절도하기 위한 목적이 주를 이룬다.
이달 초 국내 주요 코인마켓 가상자산 거래소 중 한 곳인 지닥(GDAC)이 해킹 피해를 입었다. 해커는 보안이 취약한 부분을 찾아 148억원 가량의 위믹스(WEMIX)를 포함해 182억원 규모의 가상자산을 훔쳤다.
▶ 해킹 희비 가른 '핫월렛·콜드월렛'
해킹 피해 희비를 갈랐던 것은 가상자산을 보관하는 방식이었다. 가상자산 보관 장소는 지갑이라 불리며 크게 핫월렛(Hot Wallet)과 콜드월렛(Cold Wallet)으로 나뉜다.
핫월렛은 데스크탑, 모바일 기기 등을 대상으로 하며 항상 인터넷에 연결돼 있는 것이 특징이다. 원할 때 언제든 손쉽게 접근이 가능하다는 편의성이 강점이지만 보안에 취약하다는 위험이 있다. 콜드월렛은 인터넷과 연결되지 않는 것이 차이점이다. 보안키(PIN)을 물리적 매체에 저장하는 데 외장하드, 이동식 저장장치(USB) 등이 대표적이다. 오프라인이기 때문에 보안성 면에서 핫월렛 대비 우수하다는 평가를 받는다.
지닥 해킹 사례에서도 콜드월렛이 아닌 핫월렛에서 해킹이 발생한 것으로 알려졌다. 해커들은 식별되지 않은 지갑으로 지닥의 자산을 전송했다. 피해 자산은 비트코인 60개, 이더리움 350개, 위믹스 1,000만 개, 테더 22만 개다. 지닥 보관 자산의 23%에 해당한다.
▶ 해킹 이번 처음 아냐…"대안 마련 시급"
가상자산 거래소를 포함한 블록체인 업계에서 핫월렛을 대상으로 한 해킹은 이번이 처음은 아니다. 지난 2017년 9월 한국 기업 코인이즈에서 21억원 규모의 핫월렛 해킹이 발생했다. 같은 해 슬로베니아 기업인 나이스해시에서도 핫월렛 해킹이 있었다. 피해 규모는 650억원에 달한다. 172억원 규모의 피해를 입은 한국기업 유빗은 파산했다.
이런 위험에도 가상자산 업계가 콜드월렛만 전면 사용하는 것은 쉽지 않다. 지갑은 일종의 입출금 계좌다. 투자자의 요구에 따라 출금을 진행해야 하는데, 콜드월렛은 즉각 반응하기 어렵기 때문이다. 결국 두 지갑간 연계 서비스가 늘고 있는 추세다.
▶ 제대로 법 없다…관리 체계 기본 챙겨야
글로벌 보안 전문 기업인 체이널리시스에 따르면 지난해 전 세계 가상자산 해킹 규모는 5조원에 달한다. 가상자산이 대규모 자산 이동 수단으로 자리잡은 만큼, 해킹 사례는 더욱 늘어날 것으로 보인다. 가상자산은 북한을 비롯해 전 세계 해커들이 노릴 수 있어 추적마저 쉽지 않다. 투자자 피해도 문제다. 지닥은 지난 12일 투자자 자산 전액을 보전하겠다고 발표했다. 이후 사태 해결과 서비스 정상화를 위해 최선을 다하겠다는 입장을 밝혔다. 하지만 시장은 회복까지 시간이 걸릴 것으로 보고 있다.
업계와 투자자들은 가상자산 해킹이 시장 신뢰를 헤친다는 점에서 보안 면에서 기준이 더 촘촘할 필요가 있다고 입을 모았다. 일단 투자자 보호와 배상에 대한 기준이 부각된다. 예를 들어 보상 절차와 관련 보험 가입 유무 등이 해당 기준에 포함돼야 한다는 의견이 제기된다. 이복현 금융감독원은 앞서 가상자산거래소에서 해킹이 발생할 경우 고객 손실에 대해 보상을 책임지는 입법을 이뤄지도록 하겠다고 언급했다. 또 가상자산업자들이 해킹을 막기 위해 필요한 시스템 등을 다룬 제도가 마련돼야 한다는 주장이 나온다.
지닥도 지난달까지 대부분의 자산을 핫월렛에 보관하다가 금융위원회 산하기관인 금융정보분석원(FIU)의 요구로 콜드월렛 비중을 늘렸다. 정부는 가상자산 거래소들에 대해 자산 70% 이상을 콜드월렛에 보관하도록 권고하고 있다. 다만, 제대로 된 법에 따른 것이 아니라는 점에서 아쉽다는 지적이 나온다. 마운트콕스, 코인체크 등 연 이은 대규모 해킹에 일본은 관련 법을 개정한바 있다. 유럽 의회도 가상자산에 대한 포괄적인 규제를 담은 법안, 가상자산시장법(MiCA(미카))를 통과시켰다.
박성준 동국대 교수(블록체인연구센터장)는 "(가산자산 관련) 정보 보호 체계를 더 보완하고 내부 모니터링을 철저하게 하는 관리 체계를 강화해야 한다"며 "강제 규정이라는 게 없어서 해킹 방지를 위해서 기본적으로 갖추야 할 것들은 법제화할 필요가 있다"고 말했다.
관련뉴스