![[오늘의 운세] 4월 28일](https://pds.joongang.co.kr/news/component/joongang_sunday/202404/27/9866f29c-fc4e-4fd9-ad4a-3d0a95d53514.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
빗썸 고객 센터 전경. 빗썸
코인 투자자 A씨는 8월 이더리움 계열 가상자산을 보관하던 코인 지갑에서 당시 시가 23만달러(3억원) 상당의 코인을 해킹당했다. 해커의 지갑 주소를 알아내 재빨리 경찰에 신고했지만, 이미 손을 떠난 가상자산은 여전히 되찾지 못한 상태다. A씨는 “해킹당한 코인을 복원하려면 해커의 바이낸스 거래소 계정을 정지해야 하는데, 정지가 즉시 이뤄지지 않아 빠져나간 코인을 되찾을 길이 막막하다”고 했다.
해커 판치는 가상자산 시장…피해액 4조8697억원 추산
블록체인 기술을 기반으로 안전하다는 장점을 내세워 고속 성장한 가상자산 시장에서 해킹 사건이 잇따르고 있다. 최근 대표적인 가상자산 탈취는 거래소 지닥(GDAC)의 보관 자산 23%가 분실된 사건으로 경찰청 사이버테러수사대가 수사 중이다. 지닥은 “지난 4월9일 오전 7시 지닥 핫월렛(온라인 연결 지갑) 해킹 사고로 비트코인 60개, 이더리움 350개, 위믹스 1000만개 등 원화 가치 180억원에 달하는 자산이 식별되지 않은 지갑으로 전송됐다”고 공지하고 경찰과 한국인터넷진흥원(KISA)에 사이버수사를 요청했다.
퀸비컴퍼니는 2021년 2월 QBZ 코인을 발행해 거래소 빗썸에 상장했다가 2000억원대 해킹 피해를 입고 상장폐지됐다고 주장하고 있다. 이 사건은 현재 서울동부지검에서 수사 중이다. 퀸비컴퍼니 측은 관리 책임을 물어 빗썸코리아를 상대로 지난해 7월 손해배상 소송을 제기해 현재 소송이 진행 중이다. 퀸비컴퍼니 관계자는 “빗썸 계열사에 상장을 의뢰하고 마스터키를 맡겼는데, 최고 시총 2000억원까지 갔던 QBZ가 아직 특정할 수 없는 해커 소행으로 휴지조각이 됐다”고 주장했다.
6일 경찰청과 미국의 블록체인 분석업체 체이널리시스(Chainalysis) 등에 따르면 지난해 전 세계에서 해킹 피해가 발생한 가상자산 규모는 약 38억달러(4조8697억원)로 추산된다. 국내 가상자산 거래소에 대한 해킹 피해 신고는 2017년 최초 접수됐으며, 경찰은 총 7건(경찰청 6건, 서울경찰청 1건)을 수사 중이다. 경찰청 관계자는 “개인, 재단, 거래소 정보통신망에 침입해 가상자산을 탈취하려는 시도가 끊이지 않고 실제 피해로 이어지고 있어 가상자산 해킹을 신종 범죄로 분류해 형사사법 포털(KICS) 시스템에 입력하는 범죄 코드 신설을 내부 검토 중”이라고 말했다.
가상자산 탈취 범죄의 3가지 유형
서울 강남구 업비트 본사. 뉴시스
경찰은 해킹 유형을 크게 ①개인 지갑 탈취 ②재단 지갑 탈취 ③거래소 자산 탈취로 구분한다. 개인이나 발행 재단을 노린 가상자산 탈취는 피해자의 코인 지갑에 접근할 수 있는 마스터키를 빼돌리는 수법이 주를 이룬다. 가상자산 지갑을 대신 맡아준다고 속이고 네트워크에 접속해 지갑을 털어가는 이들도 적지 않다. 가짜 웹사이트로 사용자를 속여 비밀번호를 탈취하는 전형적인 피싱 기법도 자주 쓰인다는 게 경찰의 설명이다.
거래소 보안망을 뚫는 해킹 시도도 이어지고 있다. 업비트에서는 올해 상반기에만 15만9061건의 해킹 시도가 있었다. 지난해 해킹 시도전체 건수 16만491건에 육박하는 수치다. 잇따르는 해킹 시도에 국내 5대 가상자산거래소(업비트·빗썸·코인원·코빗·고팍스)는 8월 해킹 등 위기 공동대응 협의체도 구성했다. 경찰 등 수사기관에 가상자산 추적수사 기법 교육을 제공하는 체이널리시스의 백용기 한국 지사장은 “블록체인 기술의 투명성은 보안과 감사에 도움이 되지만, 해커들이 디파이 코드의 취약점을 자세히 들여다볼 수 있게 하기 때문에 이러한 약점을 전략적으로 악용해 많은 금액을 탈취하고 있다”고 설명했다.
그러나 정작 수사는 난항에 빠지는 경우가 적지 않다. 가상자산의 거래내역은 투명하게 공개되지만, 실제로 거래한 사람이 누구인지 특정하기가 사실상 어렵다는 게 경찰 등 수사당국의 설명이다.
정체불명의 해커에게 가상자산을 해킹 당했다는 신고를 받은 경찰이 실제 검거까지 한 사건도 2017년 벌어진 ‘리플 코인 탈취 사건’이 사실상 유일하다고 한다. 경찰은 당시 국제 공조 수사를 통해 이체기록을 추적하는 과정에 우연히 국내에서 접속한 흔적을 발견해 강모(42)씨 등 2명을 검거했다. 이들은 45억원 가량의 리플 코인을 빼돌린 혐의로 징역 7년형이 확정됐다. 당시 사건을 수사한 경찰 관계자는 “가상자산 계정 아이디와 비밀번호는 은행 계좌번호와 비밀번호처럼 타인이 절대 알게 해선 안 된다. 해킹 피해가 발생하지 않도록 이중·삼중의 보안 조치가 꼭 필요하다”고 말했다.
