[한겨레] 암호화폐 거래소 코인레일 해킹

야피존·빗썸·유빗 등 이어서 5번째

법적 규제의 공백 상태에서

유독 국내에서 되풀이해서 발생

총 10종 암호화폐 450억어치 도난

언론 취재에도 피해규모와

추가 해킹 여부 등 밝히지 않아

투명하지 않은 코인레일의 구조

블록체인의 잠재력을 논하기 전

시장건전화 먼저 도모해야

[토요판] 뉴스분석 왜

코인레일 해킹 사건의 이면

지난해 하반기 투기 열풍으로 논란의 한가운데에 있었던 암호화폐(가상화폐)가 지난 10일 ‘코인레일’이라는 거래소 해킹 사건으로 다시 이슈의 전면에 섰습니다. 암호화폐는 이슈의 언저리로 물러섰다가도 ‘거래소 해킹’ 사건만 터지면 뜨거운 관심을 받습니다. 반복되는 거래소 해킹은 암호화폐의 수명을 단축시킬까요, 아니면 새로운 분기점을 만들어낼까요. 암호화폐는 바라보는 시각과 이해관계가 첨예하게 엇갈리는 분야입니다. 코인에 1원도 투자하지 않은 블록체인 전문 취재기자의 시각을 소개합니다.

Digital security, technology

<이미지를 클릭하시면 크게 보실 수 있습니다>

“저희도 답답합니다. 정부가 무엇을 우려하는지 이해가 가지만, 이대로 규제 공백 상태로 두면 사실상 방치하는 것이 아닙니까.”

국회 정무위원회 소속 박용진 의원실의 관계자가 지난해 9월11일 국회 의원회관에서 기자에게 말했다. 박용진 의원은 지난해 7월31일 국내 최초로 암호화폐와 관련된 법안을 발의했고, 이 관계자는 법안을 담당한 실무자였다. 거래소를 규제해 투자자를 보호하는 내용의 법안이 발의된 이후 한 달 넘게 정무위에서 심사가 진행되지 않아 그 이유를 묻고자 방문한 기자에게 이 관계자는 “이 법안이 통과되면 ‘정부가 가상화폐를 공인했다’는 잘못된 신호를 줄 수 있다는 이유 때문에 금융당국이 이 법안을 반대했다”며 “지금은 더는 논의를 진행하기가 어려운 상황”이라고 밝혔다.

가짜 뉴스와 뜻소문 난무

금융당국의 우려는 기우가 아니다. 일본이 거래소를 규제하는 법률을 만든 이후 국내에서는 ‘일본이 암호화폐를 법정화폐로 인정했다’는 뜬소문이 떠다녔다. 지난 5월30일 대법원이 범죄수익으로 얻은 비트코인을 몰수의 대상으로 판단하자, 이것 또한 정부가 암호화폐를 공인했다는 가짜 뉴스로 퍼졌고, 가짜뉴스가 아니어도 사법당국이 특정한 법률적인 성격을 부여하며 비트코인을 인정했다는 과도한 해석이 난무했다. 법률상 재산으로 인정을 받았으니, 과세 등 법적 성격에 대한 논의가 본격화될 것이란 예측도 뒤를 이었다. 마침 같은 날 비트코인의 가격이 상당한 폭으로 올랐고, 시장에서는 한국 대법원의 판결이 호재로 작용했다는 분석도 뒤따랐다. 법률적으로 따지면 범죄수익은 ‘범죄와 관련된 물건’ 정도로만 판단되어도 몰수의 대상이 된다. 그 이상이나 이하의 의미 부여는 암호화폐의 낙관론자나 비관론자 각자의 희망 섞인 기대에 불과하다.

지난해 가격 급등세와 거래량 폭증으로 국내 암호화폐 시장은 전 세계에서도 화제였다. 그런데 암호화폐 거래가 이뤄지는 거래소는 고객의 자산을 대신 보관하는 역할을 맡는데도, 어떠한 의무도 부과되지 않는다. 감독도 받지 않는다. 사실상 거래소에게 알아서 잘 하라고 맡긴 셈이다. 방치된 거래소에는 고객이 예치한 원화자산과 쉽게 환금이 가능한 암호화폐 자산이 넘쳐나는데도 특별한 규제가 없고, 업체들도 영세한 편이다. 해커 입장에선 최소 노력으로 최대 이익을 얻을 수 있는 노다지나 다름없다. 이익이 있는 곳에 도둑이 몰리는 것은 당연한 이치다.

그렇다면 정부는 거래소를 왜 규제 공백 상태로 놔뒀을까. 당초 정부는 지난해 암호화폐 투기 논란이 거세자 거래소 폐쇄를 운운하며 강경한 자세를 보였다. 하지만 오히려 투자자들의 불만을 사며 역풍을 맞았다. 그러자 나온 대책이 거래소로 들어가는 돈줄을 죄는 것이었다. 지난해 12월28일 김용범 금융위 부위원장은 가상화폐 관련 금융권 점검회의에서 은행에 고객의 실명 가상계좌 지급을 중단하라고 요청했다. 이 대책은 효과적이었다. 투기 열풍은 가라앉았고, 투자자들의 민심도 잃지 않았다. 이는 거래소의 투명성과 보안 강화 등 자체 건전성 향상을 도모하지 않았다는 점에서 미봉책이지만, 투기 열풍을 우려하는 자나 투자자 등 누구의 역린도 건드리지 않는다는 점에서 ‘6·13 지방선거’용으론 안성맞춤이었다. 하지만 지방선거 이전에 사고가 터졌다. 바로 코인레일 해킹 사건이었다.

거래규모로 국내 10위권 이내였던 암호화폐 거래소 코인레일이 지난 10일 새벽 자사의 홈페이지에 ‘해킹 공격으로 긴급 시스템 점검 중’이라고 밝히며 이번 해킹 사건이 세상에 알려졌다. 국내에서는 야피존(지난해 4월 발생, 55 억원 피해), 빗썸(지난해 6월 발생, 개인정보 탈취), 코인이즈(지난해 9월 발생, 21억원 피해), 유빗(지난해 12월 발생, 170억원 피해) 등에 이은 5번째 거래소 해킹 사건이었다. 거래 규모에 비해 국내에서 유독 많은 해킹 사건이 터지고 있다.

해킹 사건에 대해 코인레일이 직접 공개하는 정보는 제한적이다. 그들은 10일 첫 공지에서 3종의 암호화폐가 해커에게 탈취됐고 대책을 강구중이라고 밝혔으나, 피해자들과 누리꾼들이 직접 찾아낸 거래소의 지갑 주소에선 총 10종의 암호화폐가 해커에 의해 도난당했다. (많은 언론들이 9종이 탈취됐다고 보도하고 있으나, 이는 사실이 아니다. 이더리움 기반의 토큰 9종을 포함해 이더리움 자체도 해커에 의해 도난당해 총 10종이 유출됐다)

암호화폐 거래소 코인레일이 지난 10일 새벽 자사의 홈페이지에 ‘해킹 공격으로 긴급 시스템 점검 중’이라고 밝히며 이번 해킹 사건이 세상에 알려졌다. 코인레일 홈페이지 갈무리

<이미지를 클릭하시면 크게 보실 수 있습니다>

실체가 흐릿한 코인레일

암호화폐는 보안이 뛰어난 블록체인 기술로 탄생했다는데, 왜 암호화폐 거래소는 해킹이 잦을까. 가장 직접적인 이유는 거래소가 블록체인 기술과 관계가 없기 때문이다. 블록체인은 많은 이들이 공유하는 장부지만, 거래소는 암호화폐 자산이 담긴 지갑을 소유한다. 해커 입장에선 여러 장부보다 하나의 지갑을 공격하는 것이 수월하다. 또한 ‘거래소 해킹’과 ‘암호화폐 그 자체의 해킹’은 서로 다른 개념이다. 전자를 ‘지갑절도’에 비유한다면, 후자를 ‘화폐위조’에 비견할 수 있다. 지갑에서 돈을 훔치는 것에 비하면 화폐 위조가 훨씬 어렵다. 게다가 화폐 발행을 블록체인으로 하면 해커 입장에선 공유된 모든 장부를 해킹해야 한다. 반면 지갑 절도는 거래소 하나만 해킹하면 가능하다.

코인레일이 제대로 밝히지 않았던 총 10종의 암호화폐 도난 사실은 어떻게 알려졌을까. 이것도 블록체인의 특성과 관련이 있다. 블록체인은 어느 지갑에서 어떤 지갑으로 얼마가 이동했는지가 모두 기록된다. 이더리움과 이더리움 기반의 토큰의 경우 이더스캔(etherscan.io)라는 서비스를 통해 모든 거래내역을 쉽게 조회할 수도 있다. 물론 각 개인의 실명이 아닌 지갑주소만이 공개되므로 누가 얼마만큼의 암호화폐 자산을 가졌는지는 가늠할 수 없지만, 그 지갑이 누구의 것인지를 안다면 얘기가 달라진다. 이번 해킹 사건의 경우 코인레일의 지갑주소를 미리 알고 있었거나, 코인레일이 밝힌 해킹의 일시와 해킹된 암호화폐의 종류 등을 단서로 해킹으로 유출된 내역을 특정할 수 있었다. 실제로 이렇게 특정된 코인레일의 지갑주소와 해커의 지갑주소를 이더스캔으로 조회하면 둘 사이에 이동된 자산내역을 확인할 수 있다. 이렇게 밝혀낸 도난 암호화폐의 규모가 해킹 당시의 시세로 총 450억원에 육박한다.

코인레일 해킹 사건은 여러 논란을 촉발시켰다. 해킹 사건 이후 마침 비트코인의 가격이 4개월 사이에 최저로 떨어졌다. 해킹 사건이 나기 열흘 전인 지난달 31일 코인레일이 약관을 고객에게 불리하도록 바꿨다는 지적도 나왔다. 코인레일을 포함해 국내 어떤 거래소도 한국인터넷진흥원이 심사해 부여하는 정보보호관리체계(ISMS) 인증을 받지 못한 사실도 부각됐다. 물론 이런 논란에 대해 의견이 분분하다. 비트코인 가격은 코인레일 해킹 이전인 지난 8일 미국선물거래위원회(CFTC)가 ‘비트코인 선물’ 상품의 가격 조작 의혹에 대해 당국에서 수사에 착수했다는 사실을 밝히면서 하락 추세였다. 코인레일도 트위터 계정을 통해 수시로 유출된 암호화폐에 대한 보상 방안을 밝혔고, 14일 오후엔 처음으로 이번 사건에 대한 공식 입장을 밝혔다. 총 11가지 사안에 대한 입장이 담긴 이 발표에는 “약관 변경은 정부 정책에 따라 책임을 강화하는 차원에서 진행됐고, 약관 개정과 관련된 악성 보도는 확인되지 않은 사실에 근거한 유언비어” 등 해명 및 반박의 내용이 담겼다.

하지만 코인레일이 11가지나 되는 입장에서 정작 밝히지 않은 핵심 내용이 두 가지가 있다. 쉽게 말하면 ‘자신이 누구인지’와 ‘무엇이 얼마나 도난 당했는지’다. 이런 내용은 코인레일이 언론의 취재에 응하지 않으면서 확인도 되지 않는다. 기자도 직접 코인레일쪽에 연락을 해봤으나, 고객센터에서 해당 부서에 기자의 연락처를 넘겨준다고 안내할 뿐 직접적으로 언론의 질문이나 사실확인 요청에 응하지 않고 있다.

그로 인해 확인되지 않은 보도들이 넘쳐난다. 대표적인 것이 ‘코인레일이 자본금 1000만원짜리 기업’이라는 보도다. 실제로 ‘코인레일’이라는 이름의 법인의 등기부등본을 열람해보면, 지난해 12월19일에 설립된 자본금 1천만원짜리 기업이 나온다. 그런데 이상한 것은 코인레일이 지난해 9월부터 영업을 했다는 사실이다. 이 사실은 여러 인터넷 기사와 블로그 글 등을 통해 쉽게 확인할 수 있다. 그렇다면 코인레일은 법인이 생기기도 전에 영업을 한 것일까. 코인레일이 올해 1월 22일 블로그 서비스 ‘미디엄’에 직접 올린 채용 공고(‘하루 거래대금 3000억원의 가상화폐 거래소 코인레일에서 앤 해서웨이를 찾습니다)를 보면 자신들의 기업명을 ‘㈜리너스’라고 밝히고 있다. ㈜리너스의 법인 등기부등본을 보면 2013년 8월9일에 설립된 자본금 2130만3500원의 기업이 나온다. 눈에 띄는 점은 ‘㈜리너스’와 ‘코인레일’의 임원이 ‘남경식(34) 사내이사로 겹친다는 점이다. 두 기업은 긴밀한 관계일 가능성이 높다. ㈜리너스는 자본금이 2130만원에 불과하지만, 자본잉여금은 그보다 훨씬 많다. 코스닥 상장업체인 투비소프트는 올 1분기 ㈜리너스의 주식 6087주(지분율 14.3%)를 35억2202만원에 매입했다고 분기보고서를 통해 공시했다. ㈜리너스의 전체 주식수가 등기부 상에 4만2607주임을 감안하면 투비소프트가 매입한 주식수가 정확히 전체의 14.3%인 6076주와 일치한다. 따라서 투비소프트가 지분투자를 할 당시 ㈜리너스의 기업가치를 246억원으로 평가했다고 볼 수 있다.

투비소프트는 해킹 사건을 겪은 코인레일과의 관계가 시장에서 정확히 알려지지 않았다. 투비소프트는 공시에 암호화폐와 관련된 내용이 일절 없고, 리너스 지분투자에 대해서도 상세내역을 기술하지 않았다. 이런 모호성 때문인지 투비소프트는 코인레일 해킹 사건 이후로도 주가가 연일 상승세다. 해킹 사건이 알려지고서 이튿날인 6월11일 1만2000원으로 시작한 주가가 6월14일 종가 기준 1만3850원으로 10% 이상 상승했다.

시장 건전화 급선무

코인레일이 자신의 정체를 분명히 밝히는 것은 향후 대책의 신뢰를 확보하기 위해서도 중요하다. 미국의 비트파이넥스와 일본의 코인체크 등의 거래소 해킹 사건들은 회사 자산으로 피해를 보상했고, 이로 인해 다시 영업을 재개할 수 있었다. 현재로선 코인레일이 1천만원 자본금을 가진 영세 업체인지, 수십억원의 자산을 가진 기업인지도 알 수 없는 상황이다.

코인레일은 전체 피해규모가 얼마나 되는지, 총 몇 종의 암호화폐가 몇 개나 유출됐는지를 공개하지 않고 있다. 오히려 피해자들이나 누리꾼들이 코인레일의 지갑주소를 특정해 피해규모를 밝혀내고 있으나, 코인레일쪽의 불분명한 모습은 지금껏 알려진 계정 이외에 추가로 해킹된 계정이 있는지를 의심케 한다. 규제가 미비한 상태에서 거래소 스스로가 건전화하려는 노력을 하지 않으면 피해는 오로지 투자자들에게 전가된다.

혹자는 이번 해킹 사건이 암호화폐나 블록체인의 종말을 앞당겼다고 주장한다. 물론 분권화된 블록체인의 산물인 암호화폐가 중앙화된 거래소에서 거래되는 아이러니가 해결되지 않는 한, 혹은 중앙화된 거래소들이 시장의 신뢰를 얻을 만큼 안정적으로 운영되지 않는 한, 암호화폐는 널리 사용되기가 어려울 것이다.

그럼에도 불구하고 블록체인 기술은 그 잠재력을 점차 증명할 것이라는 시각도 만만찮다. 블록체인이 제2의 인터넷이라는 기대를 받는 이유는 현재의 중앙화되고 독점적인 인터넷의 구조를 바꿀 대안으로 떠오르기 때문이다. 향후 블록체인이 시장에서 사라지게 된다면, 그 이유는 거래소 해킹이 때문이 아닌, 중앙화된 인터넷 플랫폼의 대안이 될 수 없단 것이 증명됐기 때문일 가능성이 높다.

사실 블록체인의 잠재력을 논하기 이전에 도모해야 하는 것이 시장의 건전화다. 그것이 과도한 낙관도 비관도 하지 않으면서 새로운 기술의 가능성을 왜곡되지 않게 바라볼 수 있는 기본 조건이기 때문이다. 정부는 그동안 오해를 사서 투기 열풍을 키울까봐, 혹은 투자자들의 미움을 받을까봐 선뜻 나서지 못했다. 그 사이에 고객 자산이 예치된 금고가 털렸는데도 누가 금고를 관리했는지, 얼마나 도난당했는지도 공개되지 않는 상황을 맞고 있다. 스스로의 의무를 다하지 않는 주체는 과연 거래소만일까.

윤형중 코인데스크코리아 기자 yoon@coindeskkorea.com

▶ 한겨레 절친이 되어 주세요! [신문구독]
[사람과 동물을 잇다 : 애니멀피플] [카카오톡]
[ⓒ한겨레신문 : 무단전재 및 재배포 금지]