국내 최대 가상통화 거래소 ‘빗썸’이 해킹을 당하면서 투자자들이 ‘충격과 공포’에 빠졌다. 빗썸은 지난 20일 오전 과학기술정보통신부 산하 한국인터넷진흥원(KISA)에 해킹 사실을 신고 후 가상통화 입출금 서비스를 중단했다.
빗썸측에 따르면 해킹 공격은 지난 19일 오후 11시부터 20일 오전 4시까지 발생했으며 리플을 비롯한 약 350억원 규모의 가상화폐가 탈취당했다.
이번 사건은 중소 거래소 ‘코인레일’이 400억원 가량의 가상통화를 도난당한 지 열흘도 되지 않은 시점에서 발생한 사고여서 투자자들의 불안감을 더욱 크게 만들고 있다.
앞서 지난 16일 오후 빗썸은 해커의 공격을 받아 가상통화 입금을 제한하고 서버 점검에 들어갔다. 고객들의 자산 전액은 인터넷과 연결되지 않은 외부 저장장치, ‘콜드월렛’에 옮겼다는 게 빗썸측의 설명이다.
그러나 문제는 인터넷과 연결된 계좌인 ‘핫월렛’에 거래소가 보유한 1500억 원 상당의 가상통화를 남겨둔 것이었다. 빗썸측은 이번 해킹으로 인해 도난당한 가상화폐는 회사 보유분으로, 고객이 보유한 가상통화는 유출되지 않았다고 해명했다. 또한 도난당한 가상통화는 회사 소유분으로 충당할 것이라고 빗썸 관계자는 덧붙였다.
핫월렛은 최근 들어 해커들의 주요 타겟이 되고 있다. 지난 10일 코인레일 해킹도 핫월렛에서 이뤄졌으며 최근 1년간 국내 거래소가 입은 핫월렛 피해금액은 1000억원에 이른다.
전문가들은 “지난해 가상통화 투자 붐을 타고 거래소들이 우후죽순 생겨났으나, 이들 중 대다수가 제대로 된 보안 시스템을 갖추지 못했다”며 추가 피해를 우려한다. 특히 빗썸은 1일 거래량이 5000억원에 이르는 세계 7위 규모의 거래소여서 투자자들의 불안감을 가중시키고 있다.
빗썸은 지난 2월 은행권이 쓰는 통합보안 솔루션 ‘안랩 세이프 트랜잭션‘을 도입하고 전체 임직원의 21%를 정보기술(IT) 인력으로 채운 바 있다. 4월 과기부에 정보보호관리체계(ISMS) 인증을 요청한 빗썸은 그러나, 요건을 채우지 못했다는 이유로 인증을 거절당했다.
한호현 경희대 컴퓨터공학부 교수는 “대부분의 거래소들이 보안에 취약한 상태이며 콜드월렛 역시 해킹으로부터 완전히 안전한 게 아니다”라며 “보안성을 높이기 위해 인력과 예산을 더 투입하는 것이 지금으로서는 최선의 방법이다”라고 전했다.
일각에서는 금융당국이 기존의 금융회사와 마찬가지로 가상화폐 거래소의 투자자 보호나 보안성을 관리해야 한다는 의견도 제시되고 있다. 그러나 금융위원회는 현재 가상화폐를 금융상품으로 간주하지 않고 있으며, 자금세탁 방지 관련 규제만 이뤄지고 있는 게 현실이다.
한편 빗썸의 해킹 사실이 알려지면서 20일 비트코인 등 주요 가상통화 가격은 10% 안팎으로 일제히 폭락했으며, 글로벌 가상통화 시가총액도 1시간 만에 10조 원가량 증발했다.
더구나 빗썸은 국내 거래소 중 가장 큰 규모의 보험에 가입했는데도 보험금 혜택을 받기 어려울 것으로 예상된다. 빗썸은 사이버 위험에 대비해 현대해상, 흥국화재와 모두 60억원 한도의 보험계약을 체결한 상태다.
가입 규모는 현대해상과 맺은 '뉴 사이버 종합보험'이 30억원, 흥국화재와의 '개인정보유출 배상책임보험'도 30억원이다. 문제는 빗썸이 재산 피해 보상에 가입하지 않아 정보유지 위반, 네트워크 보안, 미디어 배상책임, 평판 훼손 등만 보장받게 된 것이다.
빗썸이 재산 피해를 함께 보장하는 보험에 가입했더라도 해킹으로 인한 가상화폐 도난 피해를 보상받을 수 있을지는 의문이다. 가상화폐가 재산으로 간주될 수 있는지, 단순한 데이터에 불과한 것은 아닌지에 대한 개념 규정이 명확하지 않기 때문이다.
이에 대해 빗썸 관계자는 "우선은 고객서비스 복구에 전념하고 있으며, 고객 피해가 없는 상황이기 때문에 보험은 후순위"라고 전했다.
