국내 가상자산 거래소 지닥이 지난 4월 182억원 상당의 가상자산을 탈취당한 가운데 이후 대처에 대한 비판의 목소리가 나오고 있다.
지닥은 4월 11일 긴급공지를 통해 자사 시스템에서 식별되지 않은 지갑으로 전송된 자산 중 85% 이상(170억원)이 위믹스였고, 위믹스 발행사 위메이드와 협력해 피해 자산 동결 및 회수를 실시간으로 진행하고 있다고 밝혔다.
거래소에 따르면 사실관계를 파악하고 바로 경찰 사이버수사대, 한국인터넷진흥원(KISA)등 유관기관, 관리 감독기관, 경찰청에 내방 신고 접수 했다. 이후 유관 기관들과 공동 대응 조직을 마련해 탈취범을 특정하고 자산 동결 및 회수를 위해 노력하고 있다고 말했다. 지닥에서 탈취된 자산이 대부분 현금화되지 않았다.
거래소는 "여러 언론사에서 해킹 경위 관련 조사 사항에 질의하고 있지만 조사 관련 사항은 기밀에 포함되며 탈취범 특정에 도움이 안 될 수 있으므로 공개가 어렵다"고 밝혔다.
지닥은 그 다음날 입장문을 발표해 "현재 지닥에 보유하고 있는 회원 자산에 대해 100% 전액 충당하고 보전할 것이다. 관련 작업이 완료되는대로 다시 안내하겠다. 입출금 서비스의 충분한 안전성을 확보해야하므로 입출금 재개까지는 약 2주 정도 소요될 것으로 예상된다"고 밝혔다.
업계에서는 이같은 지닥의 대응에 아쉬움을 표하고 있다. 이전에 해킹을 겪었던 거래소들이 즉각적으로 대응 및 대처 방안을 공개한 것과 비교해 소통 방식이 불투명하기 때문이다. 해킹 원인과 경위마저 공개하지 않은 건 지나치게 소극적인 대응이란 지적이다.
일례로 업비트는 지난 2019년 11월 이더리움 34만2000개(당시 시세 580억원)를 탈취당했을 당시 이석우 두나무 대표의 명의로 대응 방안과 자체 보유 자산으로 보상하겠다고 밝혔다. 빗썸은 지난 2019년 3월 자체 보유한 가상자산의 이상 출금을 감지한 뒤 이튿날 유출된 가상자산은 모두 회사 소유분이며 회원 자산은 모두 콜드월렛에 보호하고 있다고 설명했다. 또한 유출된 가상자산 관련 내부자 횡령 사고로 판단하고 유관기관에 강도 높은 조사를 요청했다고 밝혔다.
또한 지닥은 지난 3월 금융위원회 금융정보분석원(FIU)이 진행한 현장감사에서 가상자산을 다수 핫월렛에 보관하고 있다는 점을 지적받아 최근에야 콜드월렛을 확충한 것으로 알려져 질타를 받고 있다. 핫월렛이란 소프트웨어 지갑으로 온라인에 연결되어 거래 정보를 쉽게 주고 받을 수 있는 가상자산 지갑이다. 단, 해킹에 취약하다는 단점이 있다.
이에 정부에서는 가상자산사업자에 보유 중인 가상자산 보유량의 70% 이상을 콜드월렛에 보관하도록 지침을 내리고 있다. 업비트는 2019년 이더리움 탈취 이후 고객 보유자산을 모두 핫월렛에서 콜드월렛으로 옮겨 보관 중이다.
지닥이 해킹 원인이나 사고 경위에 명확히 밝히지 않은 것도 내부자 소행이기 때문이 아니냐는 의심을 받고 있다. 블록체인 보안 감사 업체 티오리는 지닥 탈취 자산 지갑의 온체인 데이터 분석을 통해 "핫월렛 비밀 키 유출이 아닌 내부 API 인프라 탈취를 통해 공격했을 가능성이 높다"고 말했다.
김형중 호서대학교 석좌교수는 "데이터를 중앙집중 관리하는 중앙화 거래소 해킹에는 두 가지 유형이 있다. 블록체인 지갑 프라이빗 키가 유출되어 당하는 경우와 내부자 소행이다. 탈취 자산의 규모를 보면 지닥의 경우에는 후자일 가능성이 높다. 이 부분을 거래소가 직접 해명해야 한다"고 지적했다.
최화인 블록체인 에반젤리스트 역시 지닥 해킹이 내부자 소행일 확률이 높다고 봤다. 그는 "지닥이 이같은 사태를 되풀이하지 않기 위해 정확한 사고 원인과 경위를 밝히고, 내부통제를 강화하고 명확한 보상 방안을 밝혀야 신뢰를 회복할 수 있을 것"이라고 말했다.
지닥은 피해 자산을 100% 보전하겠다고 밝혔지만 어떻게 보전할 것인지 명확히 밝히지 않았다. 업계에서는 지닥이 해킹 물량 보전이 가능할지도 우려하고 있다. 중소기업벤처부 중소기업현황시스템에 따르면 지닥 운영사 피어테크는 2021년 영업이익 31억원, 당기순이익 300억원을 기록했지만 이듬해인 2022년에는 영업손실 4억원, 당기순손실 241억원을 기록하며 적자전환했다. 회사 재무건전성이 악화된만큼 182억원 손실 보전이 가능한지 의문이다.
지닥의 해킹 이후 대처 역시 물음표다. 지닥은 지난달 28일 자본 충당과 시스템 점검을 완료했다며 홈페이지를 다시 열었다. 하지만 구체적인 피해 보상안에 대해선 침묵했다. 오히려 5월 지닥 디파이 앱, 상반기 지닥 모바일 앱을 출시한다고 홍보에 열을 올렸다.
이에 일각에서는 지닥이 지난 2018년 500억원 규모의 해킹을 당한 코인레일의 선례를 반복하는 것은 아닌지 우려하고 있다.
코인레일은 당시 국내 7위 규모의 중소형 거래소였다. 거래소에 따르면 해킹된 물량은 전체 보유 자산의 30%에 달했다. 코인레일은 이후 입출금 서비스를 중단한 뒤 투자자들에게 탈취당한 자산을 반환하지 않았다. 이후 자체 거래소 코인 레일을 발행해 이를 하나당 0.72원으로 계산해 보상하겠다고 밝혔으나 이에 투자자들이 반발해 현재까지 소송을 진행 중이다.