코인레일 유출 피해 400억 규모, 2/3 동결 회수 조치...추적하기 힘들고 보상도 불투명

올해 들어 국내외 가상화폐 거래소에서 잇따른 해킹 사고가 발생한 가운데 피해자들에 대한 보상은 난항을 겪고 있다.

 가상화폐 특성상 추적이 쉽지 않고 추적에 성공하더라도 회수 과정이 간단치 않기 때문이다. 당국과 협력해 오랜 시간과 기술을 투자하면 추적은 가능하지만 일부 거래소는 이런 의지 자체도 없는 상황이다.


국내 7위 거래 규모의 가상화폐 거래소 코인레일은 해킹 공격을 받아 거래소 보유 코인의 30%에 해당하는 가상화폐가 유출됐다고 11일 공지했다. 유출된 가상화폐는 210억원 상당의 펀디엑스, 149억원 상당의 애스톤 등 약 400억원 규모인 것으로 알려졌다.

현재 한국인터넷진흥원(KISA)이 신고접수를 받아 현장에서 조사를 하고 있고 경찰에 수사 의뢰도 할 예정이다. KISA 측은 "경찰청과 공동으로 사고원인을 분석 중"이라며 "코인레일은 정보보호관리체계(ISMS) 인증을 받지 않은 상태"라고 밝혔다.


코인레일에 따르면 유출이 확인된 코인의 3분의 2는 코인사 및 관련 거래소와의 협의를 통해 동결•회수에 준하는 조치가 이뤄졌다. 나머지 코인도 회수할 수 있도록 노력하겠다고 밝혔지만, 과거 거래소 해킹사례를 비춰봤을 때 힘들 것으로 관측된다. 시장에서 이미 거래가 완료된 경우 추적이 사실상 불가능하다는 게 보안 전문가들의 설명이다. 정부가 지난 1월 실명확인 가상계좌가 있어야 원화를 거래할 수 있도록 조치했지만 여전히 실명확인 계좌 전환이 더디기 때문이다.


문종현 이스트시큐리티 시큐리티대응센터장(이사)은 "거래소를 통한 이체는 거래소에서 어느 정도 권한을 가지고 있는 만큼, 코인을 회수했다는 것은 해킹당한 회원의 계좌를 동결시켜서 외부로 이체되는 것을 막았다는 의미로 보인다"며 "거래소를 통한 흐름은 거래소에서 실명제와 계좌연동을 통해 추적이 어느 정도 가능하지만, 단순히 가상화폐 이체 흐름을 추적하는 것은 많은 시간과 노력이 필요하다"고 말했다.


실제 지난 1월 일본 가상화폐 거래소 코엔체크에서 피해자 26만명, 피해액수 580억엔에 달하는 사상 최대 규모의 가상화폐 해킹 도난 사건이 발생했지만 추적에 실패한 상황이다. 사건 원인이 규명되지 못하고 피해자 보상 시점도 예측 불가능한 것. 이탈리아 가상화폐 거래소 비트그레일은 지난 2월 신생 가상화폐인 나노코인 1700만개가 해킹으로 무단 인출됐다. 당시 가치로 1억7000만 달러에 달하지만 투자자 보상은 불투명하다.


국내 거래소도 상황은 마찬가지다. 지난해 172억원 상당의 해킹 피해로 파산신청을 한 유빗은 코인빈으로 간판만 바꾼 뒤 어설픈 보상정책을 내놓고 이마저도 지키지 않고 있다는 비판을 받는다. 유빗은 해킹 사고 20일 전 DB손해보험을 통해 사이버보험에 가입했지만 고지의무 위반으로 지급을 거절당했다.


 이에 앞서 유빗의 전신인 야피존도 지난해 4월 해킹으로 55억원 상당의 코인이 유출됐다. 김래환 SK인포섹 EQST그룹 수석은 지난 4월 '암호화폐 거래소 통합 보안 전략 세미나'에서 "당장 거래소들이 10년 넘게 보안 투자를 한 금융권 수준에 근접하기에 어려움은 있다"면서도 "최근 자동 해킹도구로 거래소 정보 수집은 10분이면 충분하고 해커의 제1 타깃이 되는 만큼 보안투자를 늘려야 한다"고 지적했다.


이처럼 상황이 심각한데도 불구하고 정부는 관련 부처 간 조율에 실패하며 강력한 대응책을 내놓지 못하고 있다. 가상화폐로 인한 사회적 파장이 큰 만큼 거래소들이 금융권에 준하는 수준의 보안을 갖추도록 기준을 만들고 기존의 신고제에서 허가제나 인가제로 전환해야 한다는 지적이 나온다. KISA에 따르면 현재 가상화폐 거래소 중 ISMS 인증 의무대상으로 지정받은 곳은 코인원•빗썸•업비트•코빗 등이지만 아직 단 한 곳도 인증을 획득하지 못 했다.

저작권자 © 파이낸셜포스트 무단전재 및 재배포 금지