![국내 암호 화폐 거래소인 코인레일이 400억원 규모의 해킹 사고를 당해 전체 거래가가 10% 안팎 폭락한 11일 오전 서울 무교동 암호 화폐 운영업체 빗썸의 전광판에 하락한 시세가 나타나 있다. [뉴스1]](https://pds.joongang.co.kr//news/component/htmlphoto_mmdata/201806/12/0a9174a4-700f-4bcd-b15d-96d4bbea0e78.jpg)
국내 암호 화폐 거래소인 코인레일이 400억원 규모의 해킹 사고를 당해 전체 거래가가 10% 안팎 폭락한 11일 오전 서울 무교동 암호 화폐 운영업체 빗썸의 전광판에 하락한 시세가 나타나 있다. [뉴스1]
암호화폐(일명 가상화폐) 거래소 해킹 사고가 또 터졌다. 이번엔 400억원으로 국내 최대 규모다.
국내 7위권 거래소 코인레일 털려 #비트코인 가격 700만원 대로 하락 #공정위 “약관 삭제와 배상은 별개”
11일 경찰청 사이버안전국 관계자는 “지난 10일 암호화폐 거래소인 코인레일에서 신고가 들어와 수사에 착수했다”라며 “실제 해킹으로 암호화폐가 유출됐는지 등 사실관계를 확인할 것”이라고 말했다.
코인레일과 한국인터넷진흥원(KISA) 등에 따르면 해킹 사고는 10일 오전 1시쯤 일어났다. 40여 분만에 400억원 상당의 암호화폐를 도난당했다. 대상 암호화폐는펀디엑스(NPXS), 애스톤(ATX), 엔퍼(NPER) 등 모두 이더리움 기반의 토큰이다.
도난 사실을 파악한 코인레일은 오전 2시쯤 거래를 중단하고 서버 점검에 들어갔다. 동시에 KISA 등 관계 기관에 신고했다. 회사 측은 홈페이지에 “전체 코인ㆍ토큰 보유액의 70%는 안전하게 콜드월렛으로 이동해 보관 중”이라며 “유출이 확인된 코인의 3분의 2는 각 코인사 및 관련 거래소와 협의를 통해 동결ㆍ회수에 준하는 조치가 완료했다”고 설명했다. 이어 “나머지도 회수하도록 최선을 다하겠다”고 덧붙였다.
암호화폐 거래소 안에서 이뤄지는 거래는 모두 일종의 장부거래다. 거래소가 매수ㆍ매도에 따라 장부상 숫자를 달리 기록할 뿐이다. 거래소 밖으로 암호화폐를 출금하거나 거래소로 암호화폐를 입금할 경우에만 실제 블록체인 상에서 거래가 일어난다.
대부분의 거래소는 암호화폐의 70~80%를 콜드월렛에 보관한다. 인터넷과 물리적으로 분리됐기 때문에 해킹 위협에서 안전하다. 나머지 20~30%를 핫월렛에 보관한다. 핫월렛은 인터넷과 연결된 지갑(계좌)이다. 고객 요청에 따라 당장 암호화폐를 출금해 줄 수 있지만, 해킹 위험에 노출돼 있다. 이번에 도난당한 암호화폐 역시 코인레일의 핫월렛에 보관된 물량이었다.
코인레일은 24시간 거래량으로 국내 7위권, 세계 100위권 안팎이다. 하지만 주요 거래소들이 회원사인 한국블록체인협회에 가입하지 않았다. 공인 정보보호관리체계(ISMS) 인증도 받지 않았다. ISMS는 국내 최고 수준의 종합 정보보호 인증 제도다. 한 업계 관계자는 “중소 거래소는 해커들에게 대문을 활짝 열어두고 있다고 봐도 된다”고 말했다.
주요 암호화폐 거래소 해킹 사례
관건은 투자자 피해보상 여부다. 공교롭게도 지난달 31일 코인레일은 약관을 변경했다. 지난 4월 초 공정거래위원회가 불공정 약관 조항에 대한 시정을 요구하면서다. 공정위는 “(거래소가) 고객에게 손해가 발생했을 경우 암호화폐나 포인트로 배상할 수 있다는 규정을 뒀는데 이는 민법상 손해배상을 금전으로 하는 원칙을 위반한 것”이라고 지적했다.
코인레일은 이에 따라 관련 조항을 바꾸는 것이 아니라 아예 삭제했다. 일부 투자자들은 변경 전후 약관을 비교하며 “코인레일이 손해배상 의무를 피하려고 약관을 삭제했다”고 의심했다. 공정위 관계자는 “수정 요구는 보상을 현금으로 하라는 취지였다"라며 "해당 조항을 삭제했다고 해서 회사의 책임이 면제되는 것은 아니다”라고 설명했다. 약관 변경과 관계없이 손해배상과 관련한 다툼은 법원에서 따져야 한다. 회사의 과실로 인한 피해가 입증될 경우엔 배상받을 수 있다.
하지만, 회사가 망하면 돈 받을 길은 요원하다. 코인레일은 자본금 1000만원으로 지난해 말 설립됐다. 보험 가입 여부도 확인되지 않는다. 설사 가입돼 있다고 해도 400억원 전체를 보상해 줄 지는 의문이다. 지난해 12월에는 거래소 유빗이 해킹으로 170억원 가량의 암호화폐를 도난당했지만, 보험사 보상 한도는 30억원에 그쳤다. 그나마 보상 여부를 놓고 보험사와 소송 중이다. 구태언 테크앤로 대표변호사는 “거래소는 금융회사 아니고 전자상거래업자이기 때문에 금융회사 수준의 투자자 보호를 기대해선 안 된다”며 “거래소를 선택할 때 무엇보다 보안을 우선해야 한다”고 말했다.
코일레일의 해킹 소식이 전해지며 11일 암호화폐 시세는 일제히 폭락했다. 비트코인은 한 달여 만에 800만원선을 내줬다.
고란·한영익 기자 neoran@joongang.co.kr
