[이데일리 권하영 기자] 국내 1위 가상자산 거래소 업비트에서 발생한 445억원 규모의 해킹 사건은 업계에 근본적인 질문을 던졌다. 최고 수준의 보안 인프라를 갖춘 대형 거래소조차 뚫린 상황에서, 과연 가상자산 시장에 ‘안전지대’가 존재하느냐는 것이다.

전문가들은 이번 사안을 단순한 관리 소홀이나 기술적 실수로만 보지 않는다. 탈중앙화된 자산을 중앙화된 거래소에서 보관·운영하는 구조적 모순, 여기에 금융권에 비해 상대적으로 느슨한 규제 환경이 더해지며 발생한 ‘태생적 한계’의 결과라는 분석이 나온다.

국내 최대 가상자산 거래소 업비트는 솔라나 계열 자산 약 445억원을 해킹당했으며, 이 중 386억원이 회원 피해로 파악됐다. 업비트는 즉시 입출금을 중단하고 KISA와 금융감독원에 사고를 신고했다.

업비트가 수백억 원 규모의 해킹을 당한 것은 2019년 이후 6년 만이다. 당시에도 이더리움 34만여 개(약 580억원)가 유출됐으며, 북한 정찰총국 산하 해킹 조직이 배후로 지목된 바 있어 이번 사건 역시 북한 소행 가능성이 조사되고 있다.

“거래소는 블록체인이 아니다”…중앙화된 금고의 배신

코인 해킹 사태는 한두 번이 아니다. 빗썸은 2017년, 2018년, 2019년 총 3차례의 해킹으로 수백억 원 손해를 입었고, 코인레일도 2018년 400억원 상당 코인이 유출됐다. 유빗은 2017년 170억 원대 해킹 피해를 갚지 못 해 파산했다. 전세계적으로도 올해 초 글로벌 가상자산 거래소 바이비트가 2조원 대 이더리움을 탈취당해 가상자산 시장이 급랭하기도 했다.

전문가들은 잇따르는 코인 해킹의 근본 원인을 ‘탈중앙화’를 표방하는 가상자산을 ‘중앙화’된 거래소에 가두는 모순적 구조에서 찾는다.

박혜진 서강대 AI·SW대학원 교수는 “블록체인 자체는 전 세계 수백만 대의 컴퓨터에 분산돼 있어 해킹이 불가능에 가깝지만, 거래소는 이 코인들을 끄집어내 자기네 회사의 중앙화된 시스템에 넣어두는 형태”라며 “해커 입장에선 수백만 명을 뚫을 필요 없이 거래소라는 중앙 서버 하나만 털면 되는 구조”라고 지적했다.

이처럼 중앙화된 거래소는 해커 입장에서 매력적인 먹잇감일 수밖에 없다. 가상자산 거래의 핵심인 ‘비가역성’과 ‘자동화’ 때문이다.

예컨대 은행 시스템은 불법 거래가 감지되면 중앙 서버에서 거래 취소나 계좌 동결 등 사후 조치가 가능하지만, 거래소 시스템에선 한번 전송이 완료되면 되돌리는 것이 불가능에 가깝다. 또한 관리자 개입 없이 코드 조건만 충족되면 자금이 즉시 이체되는 ‘스마트 컨트랙트(자동 이행)’ 구조 때문에, 해커가 시스템 취약점을 파고들거나 승인 조건을 맞추기만 하면 별도의 제동 장치 없이 자금 탈취가 완료되는 구조다.

여기에 블록체인의 기술적 진보가 역설적으로 방어자에게 불리하게 작용되기도 한다. 특히 이번 사태에서 타깃이 된 솔라나는 트랜잭션 처리 속도(TPS)가 초당 10만 건에 달할 정도로 거래 처리 속도가 빨라, 거래소의 이상거래탐지시스템(FDS)이 이번 무단 거래를 탐지하지 못했을 가능성이 높게 점쳐진다.

“가상자산도 현실 자산…감독 체계 전면 재정비해야”

특히 국내의 경우 느슨한 규제 환경이 거래소들의 ‘보안 불감증’을 키운다는 지적도 나온다.

가상자산사업자는 특정금융거래정보법(특금법)에 따라 고객확인(KYC), 의심거래보고(STR), 고액현금거래보고(CTR) 등 은행과 동일한 의무를 갖지만, 최대 1억 원 이하 과태료가 대부분이다. 반면 미국이나 유럽 등은 해킹 사고 발생 시 당국이 천문학적인 과징금을 부과하기도 한다. 일례로 2023년 세계 최대 가상자산 거래소 바이낸스는 자금세탁방지 의무 소홀로 43억 달러(약 5조5000억원) 수준 벌금을 내야 했다.

업계 관계자는 “글로벌 거래소들은 해킹 한 번이면 막대한 소송과 과징금으로 회사가 망할 수 있어 사활을 걸고 보안 투자를 하고 준비금을 공개한다”며 “반면 국내 거래소들은 털려도 과징금이 적고, 쌓아둔 잉여금으로 피해자들에게 보상해주면 유야무야 넘어가는 경우가 많다”고 비판했다.

국내 가상자산 거래소는 금융권과 비교해 상대적으로 규제 수준이 낮다. 전자금융업자가 아닌 ‘가상자산사업자(VASP)’로 분류되기 때문에 전자금융거래법과 전자금융감독규정에서 요구하는 거래 안정성 확보 의무나 금융권 망분리 규제의 적용을 받지 않는다. 금융당국이 모범규준을 통해 IT 안전성을 강조하고 있지만, 이는 어디까지나 권고에 그쳐 법적 강제력은 없다.

지난해 7월 가상자산이용자보호법이 시행되며 이용자 보호를 위한 첫걸음을 뗐지만, 가상자산 사업자에 대한 실질적 규율을 담은 ‘2단계 입법’은 아직 논의 단계에 머물러 있다. 현행 법은 해킹 사고에 대비해 고객 자산의 80%를 콜드월렛(인터넷과 분리된 지갑)에 보관하고, 자산 유출에 대비한 준비금 적립 또는 보험 가입을 의무화하고 있지만, 보호 대상은 예치금에 한정돼 있어 가상자산 자체는 사실상 보호 사각지대에 놓여 있다.

염흥열 순천향대 정보보호학과 명예교수는 “가상자산이 이미 현실 자산의 한 형태로 자리 잡은 만큼, 금융권 수준의 엄격한 관리·감독을 검토해야 할 시점”이라며 “반복되는 보안 사고를 막고 산업 전반의 정보보호 수준을 높이기 위해서는 정부의 적극적 개입이 필요하다”고 말했다.