[출처: 에이치닥 테크놀로지]
국내 블록체인 프로젝트 에이치닥이 지난 8월 10일경부터 코인 무단 출금 사태를 겪은 것으로 밝혀졌다. 이에 다수의 투자자들이 피해를 입는 사태가 벌어졌다. 이와 관련해 에이치닥 측은 “8월 10일자로 당사에서 배포하지 않은 에이치닥 모바일 지갑 앱(App) 버전이 구글 플레이스토어로 배포됐음을 확인했으며, 현재는 관련 주소를 파악해 동결을 완료했다”고 8월 20일 공식 채널을 통해 발표했다.
#에이치닥? 라이즌 & 아톨로?
에이치닥(HDAC) 블록체인은 지난 7월 8일부터 신규 블록체인 플랫폼 브랜드 라이즌(RIZON)과 암호화폐 아톨로(ATOLO)를 새롭게 선보인 바 있다. 이에 따라 공식 텔레그램 커뮤니티도 ‘RIZON & ATOLO’라는 이름으로 운영되고 있는 중이다. 다만 사명인 에이치닥 테크놀로지(Hdac Technology AG)는 변경 없이 유지되고 있다. 에이치닥 테크놀로지는 현대BS&C 정대선 사장이 설립한 기업이다.
#16일 무렵부터 피해 사례 접수돼
에이치닥 내부 지갑 앱에서 코인이 무단으로 출금됐다는 이야기는 내부 커뮤니티에 16일 무렵부터 퍼진 것으로 보인다. 이후 17일부터는 다수의 피해자가 동일한 주소로부터 자금을 탈취당했다는 소식이 전해졌다. 관련 피해 사례를 접수 받은 에이치닥 측은 18일 에이치닥 공식 텔레그램 채널을 통해 “현재 에이치닥 모바일 월렛에서 코인이 출금되고 있다는 문의가 들어오고 있다. 정확한 원인 및 해결 전까지 에이치닥 모바일 월렛 앱 사용을 중지하고, 업데이트는 보류를 부탁드린다”고 말했다.
#”지갑 동결 조치 완료…서버 운영 재개 후 일괄적으로 신고 접수 받겠다”
이어서 20일에는 무단 출금 사태와 관련한 주소의 지갑 동결을 완료했다고 밝혔다. 에이치닥 측은 “조사에 착수한 결과 지난 8월 10일자로 당사에서 배포하지 않은 에이치닥 모바일 지갑 앱 버전이 구글 플레이스토어를 통해 배포됐음을 확인했다”며 “현재 지갑 서버를 정지해 추가 피해를 차단하고 수사기관에 사건 접수를 완료했다”고 전했다. 이에 따라 일련의 조치가 완료될 때까지는 에이치닥 모바일 지갑 앱 사용자는 당분간 서비스를 이용하지 못할 전망이다.
에이치닥 측이 밝힌 해커 지갑 주소는 현재까지 총 7개다. 해당 주소는 에이치닥이 상장된 거래소와 공조한 결과 거래소 지갑인 것으로 드러났다. 이 주소들은 에이치닥 측의 조치에 따라 동결 처리가 완료된 상태다. 에이치닥 측은 “추가적으로 확인되는 지갑 주소에 대해서도 동결 처리를 진행할 예정이다”라며 “현재 오류가 수정된 지갑 앱 1.0.5 버전을 등록 및 배포했다. 안드로이드 스마트폰 사용자들은 현재 설치돼 있는 지갑 앱을 절대 실행(클릭)하면 안되며, 반드시 구글 플레이스토어에 접속해서 앱 업데이트를 선행하기를 바란다”고 설명했다. 또한 “추후 피해 사례에 대해서는 지갑 서버 운영이 재개된 후 일괄적으로 신고 접수를 받을 계획”이라는 뜻을 덧붙였다.
#”투명한 피해상황 공개 및 피해자 보상 이뤄져야”
한편 에이치닥 투자자들은 해당 조치와 함께 투명한 피해상황 공개 및 피해자 보상이 이뤄져야한다고 이야기했다. 한 에이치닥 투자자는 “이번 해킹 건은 사측에서 발표한 바와 같이 해킹범이 플레이스토어에 탈취용 지갑 앱을 무단 배포해서 일어난 것이다. 이는 며칠간 공식 앱이 비공식앱으로 대체된 것을 의미한다. 곧, 해킹범이 플레이스토어 앱 업로드 권한을 가지고 있었다는 것이다. 결국 사측이 업로드 권한을 제대로 관리하지 못한 것”이라며 “해킹 피해 건에 대한 보상은 사측 책임으로 이뤄져야한다”고 설명했다. 또한 “탈취물량·보상물량 등, 피해상황과 관련한 정확한 내역을 투명하게 공개해주기를 바란다”며 해당 조치에 대한 투명성 확보를 강조했다.
박상혁 기자 park.sanghyuk@joongang.co.kr
