이용자 사전 합의 없는 토큰 스왑ㆍ동결… 바람직할까

[출처: 쿠코인]

최근 대규모 해킹을 당한 쿠코인과 설립자 체포로 출금 정지된 오케이이엑스 등 암호화폐 거래소에 잇단 악재가 터지며 거래소에 보관된 고객 자금의 안전 여부에 대한 불안이 커지고 있다. 일부 프로젝트는 거래소에 예치된 토큰을 신규 토큰을 대체하거나 동결하는 방식으로 자금 보호에 나서고 있지만 프로젝트 측이 사전 협의 없이 스마트 컨트랙트 중지, 토큰 스왑 등 중대한 결정을 내리는 게 바람직한 것인지 논란이 일고 있다.

#프로젝트들, 긴급 상황에 토큰 스왑ㆍ락업 시도

9월 중국계 암호화폐 거래소 쿠코인가 해킹 공격을 받아 3억달러 규모의 피해가 발생했다. 당시 다수 프로젝트들은 암호화폐를 동결하거나 하드포크를 진행하는 식으로 방어에 나섰다. 쿠코인에 따르면 벨로, 오리온, 노이아 등 30여개 프로젝트는 토큰 스왑을 통해 고객 자산을 보존했다. 이중 오리온 프로토콜은 해킹으로 탈취된 토큰 3800만개를 되찾기 위해 해킹 소식이 나온 당일 즉각 스왑을 진행했고, 기존 컨트랙트 주소와 토큰을 모두 무효화했다. 알렉세이 콜로스코프 오리온 최고경영자(CEO)는 코인텔레그래프와 인터뷰에서 “효과는 즉각적으로 나타났고, 손실은 거의 없었다”고 전했다. 1000만달러 상당의 자금을 탈취당한 디파이 프로토콜 카르디아체인(KardiaChain)도 재빨리 토큰 스왑을 실시해 피해가 확산되는 것을 최소화했다. 

코베스팅(Covesting)을 비롯한 일부 프로젝트는 토큰의 불변성과 분산화에 영향을 덜 미치는 방식을 채택했다. 공격받은 일부 계정을 선별해 락업을 한 것이다. 오션 프로토콜은 토큰 가격이 곤두박질치는 것을 막기 위해 하드포크를 단행했다. 반면 신세틱스나 컴파운드 등은 스왑이나 락업 등 별도의 조치를 취하지 않았다. 이를 두고 일부는 커뮤니티의 합의 없이는 어떠한 강제적 조치도 허용하지 않는 탈중앙화 시스템이라고 평가한 반면, 다른 일부는 도난당한 자금이 유통량의 1%가 채 안 되는 경미한 수준이어서 적극적으로 조치하지 않았다고 해석하기도 했다. 

거래소 설립자가 당국에 연행돼 출금이 중지된 오케이이엑스 사태의 경우에도 트론은 토큰 스왑을 진행해 고객의 불안을 빠르게 잠재웠다.

#이용자 사전동의 없는 조치… 바람직할까

업계에서는 해킹 등 불가항력의 상황에 맞닥뜨릴 때 이용자 동의 없이 이 같은 강제 조치를 취하는 게 바람직한지 대해 논란이 일고 있다. 탈중앙화 생태계가 누군가의 독단적인 결정에 의해 좌지우지되는 건 옳지 않다는 지적이다. 실제로 쿠코인 사태 때 일부 커뮤니티에선 협의를 거치지 않은 채 스왑이나 락업을 한 데 대해 강한 불만을 표시하기도 했다.

반면 사태가 긴급하고 심각할 경우 먼저 대응 조치를 한 뒤 추후에 이용자나 커뮤니티에 양해를 구하는 게 정당하다는 주장도 나온다. 이용자들도 손실을 줄이기 위해서라면 어느 정도 묵인하는 부분이기도 하다. 카르디아체인 관계자는 “토큰 스왑이 이상적인 솔루션은 아니었을지 모르나 해커가 프라이빗 키를 쥐고 완전한 통제권을 확보한 상태였기 때문에 과격한 대응을 할 수밖에 없었다”며 “커뮤니티에서도 우리에게 스왑하자고 먼저 제안하기도 했다”고 말했다. 또한 여러 프로젝트와 거래소들이 한꺼번에 긴급 조치에 동의한 데 대해 “일반적인 사례는 아니다”라며 “쿠코인 해킹이 매우 이례적인 사건이었다”고 말했다.

향후엔 고객 자금이 위협받는 상황에 처하기 앞서 공감대를 형성하는 게 가능할 거라는 관측도 나온다. 쿠코인의 경우 피해를 입은 프로젝트와 고객을 지원하기 위해 세이프가드 프로그램을 내놨다. 세이프가드는 보안 위협에 처했을 때 기술 지원과 증거 확보, 자산 확인 등 각종 서비스를 제공하는 게 목표다. 프로젝트와 커뮤니티가 거래소와 보안에 관한 파트너 관계를 맺고 문제가 터졌을 때 매뉴얼에 따라 공동 대응하는 방식이다.

권선아 기자 kwon.seona@joongang.co.kr