[스타트업 워치=김정은 기자] 일본이 최대 규모의 가상화폐 해킹 사건 발생으로 큰 혼란에 빠졌다. 일본 대형 가상화폐 거래소 ‘코인체크’는 외부 부정접속으로 가상화폐 일종인 NEM(New Economy Movement) 코인 580억엔(한화 5658억)이 유출됐다.

코인체크 사태는 2014년 일본 마운트곡스(Mt.GOX) 해킹 피해액 470억엔을 훌쩍 뛰어넘는 규모로 가상화폐 사상 최악의 해킹사건으로 기록될 전망이다. 피해자만도 26만명에 달하는 것으로 알려졌다.

마운트곡스 파산을 계기로 투자자 보호를 위해 적극적으로 가상화폐 관련 제도를 정비해 온 일본에서 벌어진 두 번째 대규모 해킹 사태에 가상화폐 투자자의 불안감이 증폭되고 있다.

역대 최대 규모 피해 파문’...허술한 보안관리가 원인

코인체크 해킹으로 추정되는 부정접속은 26일 새벽에 시작됐으며 코인체크가 NEM 입출금과 매매를 일시 정지한 것은 오전 11시가 넘어서였다. 이 시점에서 원인과 사건에 대한 회사의 설명은 없었지만 인터넷에서 확인할 수 있는 기록을 통해 회사가 거액의 NEM을 해킹당했을 가능성이 보도되기 시작했다.



코인체크는 27일 자정께 도쿄 도내에서 기자 회견을 열었다. 공동 설립자이자 최고운영책임자(COO)인 오오츠카 유스케(大塚雄介)는 "보안은 최우선으로 해 왔다", "가능한 한 충분한 대응을 해왔다"고 거듭 강조했지만 거액의 고객 자산을 리스크가 있는 온라인 환경에서 보관해 온 사실을 인정하는 등 모순된 답변으로 이용자들의 빈축을 샀다.

불법송금이 발생한 것은 26일 오전 2시 57분이며 코인체크가 이상을 감지한 것은 오전 11시 25분쯤으로 8시간 이상 지난 후였다. 시스템에 부정 송금 경고 기능이 있었다고는 하지만 이처럼 오랜 시간이 걸린 원인에 대해 오오츠카 COO는 확인중이라고만 답변했다.

<당시 마운트 곡스의 콜드월렛(cold wallet) 관리는 완전한 오프라인 상태에서 이뤄지지 않았기 때문에 안전성이 확보되지 않았습니다. 코인체크는 고객 예탁금 중 비유동성 자산을 안전하게 보관하기 위해 개인키를 인터넷에서 물리적으로 완전히 차단된 상태로 보관하고 있습니다>

이는 코인체크가 회사 사이트 '서비스 안전성'이라는 페이지에서 '콜드월렛의 비트코인 관리'라는 제목으로 게재중인 내용이다. 회사는 보안 관점에서 오프라인 관리의 필요성을 인식하고 고객에게 안전성을 어필했다. 그러나 NEM은 콜드월렛이 아닌 보안 수준이 낮은 핫월렛에 저장해 서버에 보관된 가상화폐 정보를 온라인과 연결한 상태로 방치해 온 것으로 드러났다.



일각에서는 NEM이 비트코인보다 오프라인 관리가 기술적으로 어렵다고 지적한다. 와다 코이치로(和田晃一良) 코인체크 사장도 "기술적인 어려움과 관련 기술의 인재가 부족하다"며 늦장 대응의 배경을 설명했다.

코인체크가 가입해있는 ‘일본 블록체인 협회’는 "우리 협회에서는 2014년 10월부터 회원사 동의하에 콜드월렛 정비 등을 내용으로 한 자체 기준을 제정했으나 콜드월렛 정비 지연이 이번 해킹의 원인이라면 매우 유감"이라는 성명을 발표했다.

또 코인체크가 이중 전자 서명을 채택해 안전성이 높은 '멀티시그(Multisig)' 기술을 도입하지 않았던 사실도 드러났다. 오오츠카 COO는 "도입해야 한다는 인식을 가지고 높은 우선순위를 두고 있었다"고 언급했지만 미흡한 안전 대책으로 막대한 고객 자산이 부정 유출된 사태를 야기했다는 비난의 목소리가 높다.



니혼게이자이신문은?오프라인 관리체제가 안전하지 않은 가상화폐의 경우 입출금 시간과 금액 제한 등 운영과정에서 위험을 최소화할 수 있는 방어기재를 갖췄어야 했다고 지적했다.

한편 마이니치는?29일 불법 유출의 범인이 동유럽 등 복수의 외국 서버를 경유했을 가능성이 있다고 보도했다. "경시청이 코인체크 해킹사건에서 해외 부정 접속 정황을 포착했다"며 해외 해커의 소행일 가능성에 무게를 두고 있다고 전했다.

논란 일파만파’...피해액 환불 가능성은 좀 더 지켜봐야

이런 해킹사태가 발생할 때마다 피해는 고스란히 고객의 몫이다. 고객 자산이 보장되는 금융회사와 달리 가상화폐 거래소는 법적 보호를 받지 못하기 때문이다. 자본금 4700만엔의 벤처 기업에서 발생한 거액의 손실에 사업 연속성을 의심하는 목소리도 높아지고 있다.

코인체크는 28일 약 26만명으로 추산되는 NEM 보유자에 대한 엔화 환불 계획을 발표하고 사업을 계속해 나갈 방침을 분명히 밝혔다. 와다 사장은 "최악의 사태는 고객의 자산이 훼손되어 갚지 못하는 경우"라며 자사 홈페이지를 통해 피해자 전원에게 해커의 공격으로 손해를 입은 자산의 90%인 코인 1개당 88.549엔씩 보상하겠다고 밝혔다.



하지만 비난의 목소리도 거세다. 코인체크 측은 환불 계산에 적용할 NEM 기준 가격을 NEM 매매정지 시점부터 보상발표 시점까지로?잡고?거래량에 따라 가중 평균할 방침이다. 하지만 해킹이 알려지면서 NEM 가격이 폭락했고?보상액은?피해액보다 120억엔이나 낮아졌다.

특히 문제로 지적되는 것은?"보상은 회사 자체 자금으로 코인체크 가상화폐 거래 계좌에 엔화로 환불하는 형태로 실시하되 그 시기에 대해서는 현재 검토 중"이라고만 언급했다는 사실이다.

즉 전체 재무 상황을 공개하지 않은 채 환불 시기도 구체적으로 밝히지 않아 보상 여부는 좀 더 지켜봐야할 것으로 보인다.

월스트리트저널(WSJ)은?코인체크가 자체 보유자금으로 보상할 계획이지만 "업체가 이를 해결할만한 현금을 보유하고 있는지 불명확하다"고 전했다.

교토통신은 회사 관계자의 발언을 인용해 전체 보상이 어려울 가능성이 있다고 전했다. 산케이신문 역시 해킹 피해를 감당할만한 수준의 자금 보유 여부도 불투명할 뿐더러 최악의 경우 파산 가능성도 있다고 관측했다.

거래소 측은 우선 추가 피해를 우려해 26일 오후부터 모든 가상화폐와 엔화 출금을 정지하고 비트코인을 제외한 가상화폐 거래를 동결시킨 상황이다.

◆ 가상화폐를 둘러싼?안전 신뢰도 타격 불가피 ?

코인체크는 가상화폐거래소 등록을 심사 중이던 ‘유사사업자’ 신분임에도 스마트폰 거래 편의성을 높인 기술력과 비트코인 이외의 다양한 가상화폐 라인업으로 호평을 받던 가상화폐 거래소 가운데 하나다. 이에 가상화폐 초보자가 쉽게 접근할 수 있었고 유명 연예인을 동원한 적극적인 광고로 이용자를 확대해 왔다.



마운트곡스 파산 후 일본 정부는 가상화폐 거래소 인가제를 도입하는 등 적극적으로 시장 거래를 활성화하는 한편 규제 정비를 통해 범죄와 탈세 등의 부작용을 막는데 주력해왔다.

일본 가상화폐 시장은 이번 사태로 심각한 충격에 휩싸였다. 투자자들은 언제 계좌가 털릴지 모른다는 불안감을 느끼고 있다. 고객 자산보전이라는 기본이 흔들렸기 때문에 가상화폐 투자액 감소와 고객 이탈이 예상되며 코인체크의 보상금 지급 부담과 소송 리스크까지 줄줄이 기다리고 있다.

일본 금융청은 코인체크에 대해 업무정지를 포함한 업무개선명령을 내릴 방침인 것으로 알려졌다. 사태의 심각성을 중시해 재발 방지와 더불어 근본적인 시스템 강화를 요구한다는 방침이다.

현지 매체는 향후 일본에서 가상화폐 거래소에 대한 심사가 한층 엄격해질 것이며 화폐 특성에 따라 취급정지도 이어질 것으로 내다봤다.

일본 경제지 '니케이비즈니스'는 29일 “가상화폐에 대한 인지도가 높아지던 시점에 발생한 이번 해킹 사건으로 가상화폐에 대한 신뢰가 크게 흔들릴 것”이라고 지적했다.
저작권자 © 데일리포스트 무단전재 및 재배포 금지