재단 대책 마련 나섰지만 생태계 복구 요원
규제 사각지대 코인 발행 재단, 보안도 구멍
갤럭시아, 오지스, 썸씽에 이어 이달 또 다른 김치 코인 프로젝트 플레이댑까지 해킹 사고를 겪었다. 연이은 사고에 재단들은 뚜렷한 대책 없이 사실상 재원을 마련해 탈취당한 가상자산을 사들이거나 복구하는 방식으로 대처하고 있다.
가장 먼저 지난해 11월 해킹 사고를 겪은 갤럭시아는 해킹으로 시장에 풀린 초과 토큰 물량 3억 8000만 개를 사들였다. 1월 1일 1080억 원대 가상자산을 탈취당한 오르빗 브릿지 운영사 오지스는 2년간 재원 마련을 통해 탈취당한 자산을 복구하겠다는 계획을 14일 발표했다. 플레이댑은 새로운 토큰을 발행하는 마이그레이션을 통해 이용자들에게 1:1로 새 토큰을 보상하겠다고 15일 밝혔다. 같은 날 썸씽은 “가능한 모델을 구체화해 해킹으로 인한 유통량 증가로 훼손된 프로젝트의 신뢰성을 확보하는데 최선의 노력을 다 하도록 하겠다”고 설명했다.
탈취된 자산을 당장 되찾기는 쉽지 않으니 재단이 재원을 마련해 생태계 복구에 나서는 것이다. 하지만 물량 복구에 나서도 갤럭시아처럼 주요 거래소에서 상장 폐지되거나 코인 시세가 떨어지다 보니 투자자 피해로 이어질 수밖에 없다. 결국, 해킹 피해 자체가 발생하지 않도록 막는 게 최선인 셈이다. 문제는 대부분 김치 코인 발행 프로젝트가 인력과 자본 규모가 작은 스타트업으로 기술 감사(Audit) 등 보안 투자에 소홀하다는 점이다.
가장 최근 10일 해킹 피해를 겪은 플레이댑은 코인이 아니라 코인 발행 권한 자체를 해킹당했다. 해커는 9일 플레이댑 토큰 (PLA)을 발행한 데 이어 12일에는 15억9000만 개에 달하는 토큰을 추가 발행했다. 당시 기준 한화로 약 3800억 원 규모이다. 해커는 이렇게 발행한 토큰 중 일부를 게이트아이오 등에서 현금화한 것으로 알려졌다.
조재우 한성대학교 블록체인연구소 교수는 “예전에 사기 사건 등에서 해킹으로 코인이 무단 발행된 적이 있었다. 기술적으로 충분히 가능하다”라면서 “(이러한 사고를 막으려면) 처음에 스마트 콘트랙트를 만들 때부터 코인 발행 총량을 확실히 제한하거나 민팅 기능 자체를 아예 없애야 한다”라고 조언했다.
국내에서 라이센스를 받은 가상자산사업자(VASP)는 7월 시행되는 이용자보호법에 해킹 전산 장애 등 사고에 대응하기 위한 보험 또는 공제에 가입하거나 준비금 적립 의무가 부과된다. 반면 코인 재단들은 국내 라이센스는커녕 ICO(코인 발행) 자체를 할 수 없으므로, 싱가포르 등 해외에 재단을 세우고 가상자산을 발행한다. VASP의 기본요건인 ISMS 등 정보보안 인증만 취득하거나 이마저도 취득하지 않는 곳도 많다. 규제 사각지대가 보안 사각지대까지 만들고 있는 셈이다.
조 교수는 "한 번 코인을 발행하고 상장한 뒤 (스마트 콘트랙트 계약을) 바꾸기는 쉽지 않다”면서 “잠재적으로 코인 발행 기능이 아직 살아있어 이러한 해킹 위험에 있는 코인 프로젝트들이 시장에도 더 있을 것"이라고 우려했다.
국내 가상자산 재단 프로젝트들의 내부통제 시스템 부재도 꾸준히 문제로 거론된다. 최화인 초이스온뮤대표는 “전문 해커 소행으로 국정원이나 경찰 등이 나서 수사 중인 곳도 있지만, 내부자 소행 가능성을 제기한 곳도 있다. 가상자산 재단의 모럴헤저드(도덕적해이)가 의심이 되는 상황”이라고 말했다.