이 기사는 2023년 04월 11일 16:20 thebell 에 표출된 기사입니다.

가상자산거래소 지닥의 해킹 피해는 타 가상자산사업자의 사업에도 영향을 미칠 것으로 보인다. 특히 은행과의 실명계좌 제휴만 기다리고 있는 중소형 코인거래소와 페이코인 등 기타 사업자가 입을 타격이 적지 않다. 거래소 해킹은 가상자산시장 전체 신뢰도 문제로 직결되기 때문에 활발히 이뤄지던 은행과 사업자 사이 논의에 급제동이 걸릴 것이라는 전망이다.

특히 지닥은 비트코인 등 해커의 타깃이 될 수 있는 주요 가상자산을 콜드월렛이 아닌 '핫월렛'에 대량 보관해 왔다. 거래소 운영의 허술함을 드러낸 대목이다. 탈취금액을 회사 자산으로 메꿀 여력이 되는 대형 거래소와 달리 지닥은 보유 중인 현금 자산이 7억원에 불과하다.

◇핫월렛에 자금 보관하다 당한 해킹…현금성 자산은 턱없이 부족

지닥은 지난 9일 회사 소유의 핫월렛 해킹을 당해 대량의 가상자산을 탈취당했다. 탈취된 자산은 비트코인 약 60개, 이더리움 약 350개, 위믹스 100만개 등으로 공지 시점 시세 기준 220억원에 달한다. 이는 지닥 총보관 자산의 23% 규모다.

핫월렛은 온라인에 연결돼 있는 가상자산 지갑을 말한다. 보관 비용이 저렴하고 실시간으로 가상자상을 주고받을 수 있다는 장점이 있다. 반대로 늘 온라인 상태기 때문에 해커의 공격에 쉽게 노출된다는 것이 단점이다.

당국과 ISMS를 발급하는 한국인터넷진흥원(KISA)는 거래소에 자산을 콜드월렛에 보관하라고 권고하고 있다. 콜드월렛은 온라인과 분리돼 있는 실물이 있는 지갑이다. 물리적인 보관 비용이 발생하고 실시간 자금 이체가 어렵다는 단점이 있지만 해킹에서 안전하다.


그러나 지닥은 보유 중인 비트코인 전량을 콜드월렛이 아닌 핫월렛에 보관해왔다. 이번 해킹을 해킹을 통해 탈취당한 비트코인 60.8개는 지닥이 보유 중인 비트코인 전부다. 지난달 말 공개한 실사보고서 기준 지닥은 60.16개를 보유하고 있었다. 그 사이 비트코인이 0.64개가량 추가 입금된 것으로 보인다.

60.8개에는 개인, 법인 고객의 자산과 지닥 소유분이 합쳐져 있다. 이 중 고객 보유분이 얼마만큼인지는 알 수 없다. 지닥은 DB상 가상자산은 53.67개이고, 실제 보유 중인 비트코인은 60개가 넘는다고 강조했지만 해킹으로 인해 고객에게 돌려줄 자산이 없어져 버렸다.

이더리움의 보관도 문제가 됐다. KISA는 보유 자산의 70%를 콜드월렛에 보관하도록 권고한다. 지닥이 보유 중인 이더리움은 총 1657개다. 권고에 대로라면 이 중 1160개를 콜드월렛에 넣었어야 한다. 그러나 지닥은 833.91개만 콜드월렛에 보관하고 있었다.

지닥은 당장 해킹 자금을 메꿀 자금이 부족하다. 지난달 29일 지닥이 발표한 실사 보고서에 따르면 지닥이 보유 중인 현금성 운영자금은 7억5181만원에 불과하다. 우리은행에 가장 많은 자금을 예치 중이고 국민은행, 신한은행 등에도 운영 자금을 넣어뒀다. 이 중 우리은행과 국민은행은 지닥과 실명계좌 논의를 진행했던 것으로 알려진 곳들이다.

2019년 핫월렛을 탈취당해 34만2000개 이더리움을 분실했던 업비트의 경우 해당 금액을 전액 업비트 자산으로 충당했다. 이후 핫월렛에 보유하고 있던 모든 자산을 콜드월렛으로 이전하는 등 대처를 했었다. 지닥의 경우 현금자산이 부족해 고객 피해가 당분간 이어질 것으로 예상된다.


◇내부공모 가능성·늦장대응 등 도마 위에…가상자산사업자 은행계약 악영향

전문가들은 이번 해킹 방식을 지갑을 컨트롤할 수 있는 '프라이빗키(암호키)' 탈취 또는 내부 시스템 접근 권한 해킹 등으로 꼽고 있다. 보안업체 티오리(Theori)는 자산 이동 형태를 파악해 지닥은 프라이빗키 탈취가 아닌 내부 시스템의 입·출금 API가 노출된 것이라고 분석하기도 했다.

이에 따라 내부 공모가 있었을 것으로 예상하는 시각도 적지 않다. 한 가상자산 관계자는 "자산이 이동한 과정이 상당히 자연스럽다"며 "내부에서 이뤄진 소행이라는 의견도 나온다"고 말했다. 이는 곧 가상자산거래소의 신뢰도 문제로 직결된다. 내부통제가 미흡했다는 반증이기 때문이다.

늦장 대응도 도마위에 올랐다. 지닥이 해킹 피해 사실을 밝힌 건 10일 저녁 오후 5시 50분 경이다. 그러나 실제 해키 사고는 9일 오전 7시경 발생했다. 사건 발생부터 공지까지 36시간이 소요됐다.

지닥은 해킹 사실을 파악했음에도 불구하고 이를 고객에게 곧바로 알리지 않았다. 입출금 서비스 점검이라는 명목으로 10일 새벽 4시부터 오후 6시까지 자산이동을 동결하는 데 그쳤다.

지닥의 이번 해킹은 가상자산사업자의 은행계약에 전반적인 악영향을 끼칠 것으로 예상된다. 거래소의 부실운영, 내부통제 미흡 등이 문제로 대두됐기 때문이다. 특히 최근 금융당국이 추가 실명계좌 발급에 긍정적이지 않은 기조인 것을 감안하면 상황은 더욱 악화될 수 있다.

현재 은행과 논의 중인 코인거래소는 플랫타익스체인지, 한빗코, 캐셔레스트 등이다. 이들 모두 원화 지원을 위해서는 은행과의 제휴가 간절한 상황이다. 프로젝트 분야에서는 페이코인이 전북은행과 실명계좌 관련 이야기를 이어가고 있다. 페이코인은 지난해 연말, 올해 3월 두 차례에 걸쳐 실명계좌 확인서를 받지 못했다. 연내에는 확인서를 확보해 가상자산사업자 신고를 재시도하겠다는 전망이다.

업계에서는 이번 해킹 사태가 가상자산사업자-은행 사이 이뤄지던 논의에 찬물을 끼얹은 격이라고 보고 있다. 한 가상자산거래소 관계자는 "은행은 금융당국의 생각을 반영할 수밖에 없다"며 "특정금융정보법(특금법) 시행 이후 처음 발생한 거래소 해킹 사건이라 면밀히 들여다볼 것"이라고 말했다.