위믹스 1000만개 털렸다…특금법 규제에도 보안 뚫린 '지닥' (종합)

(서울=뉴스1) 박현영 기자 = 국내 가상자산 거래소 지닥이 해킹으로 약 182억원 규모 가상자산을 탈취당했다.

지난 2021년 가상자산 거래소를 규제하는 특정금융정보법(특금법) 개정안이 시행된 이후 피해 규모 수백억원대의 해킹 사고가 발생한 것은 사실상 처음이다. 국내에서는 지난 2018년 빗썸이, 지난 2019년에는 업비트가 해킹으로 각각 350억원(최초 집계 기준), 580억원 규모 가상자산을 탈취당한 바 있다.

10일 지닥은 지난 9일 오전 7시경 지닥 핫월렛에서 해킹이 발생해 가상자산이 '식별되지 않은 지갑'으로 전송됐다고 공지했다. 지닥 보관 자산의 23%에 달하는 규모다.

피해 자산은 비트코인(BTC) 60여개(개당 3733만원), 이더리움(ETH) 350여개(개당 245만원), 위믹스(WEMIX) 1000만개(개당 1482원), USDT(테더) 22만개(개당 1319원) 가량이다. 10일 오후 6시 10분 현재 시세로 따지면 약 182억3900만원에 해당하는 규모다.

◇'해킹 피해' 지닥은 어떤 거래소?

지닥은 코인과 코인 간 거래만 지원하는 코인마켓 거래소다. 은행으로부터 실명확인입출금계정(실명계좌)을 획득하지 못해 원화와 코인 간 거래를 지원할 수 없는 상태다.

국내 가상자산 시장에선 5대 원화마켓 거래소(업비트·빗썸·코인원·코빗·고팍스)의 점유율이 97% 이상으로 추산되나, 코인마켓 거래소 중에선 프로비트와 더불어 지닥의 거래 규모가 가장 큰 편에 속한다.

지난달 이더랩이 발표한 '2023년 2월 국내 가상자산 거래소 트래픽 보고서'에선 지닥이 원화마켓 거래소 고팍스보다 높은 순위인 5위를 차지하기도 했다. 이는 방문자 수에 따른 트래픽 통계로 거래량을 뜻하는 것은 아니다. 다만 코인마켓 거래소 중에선 지닥이 인지도가 높다는 사실을 간접적으로 추론할 수 있다.

특히 지닥은 지난해 말 위메이드의 가상자산 위믹스(WEMIX)가 국내 4대 원화마켓 거래소(업비트·빗썸·코인원·코빗)에서 퇴출됐을 당시, 곧바로 위믹스를 상장하겠다고 밝혀 화제를 모은 바 있다. 당시 업계에서는 코인마켓 거래소인 지닥이 줄어든 점유율 문제를 해결할 방법으로 '위믹스 상장' 카드를 택했다는 해석이 나왔다.

국내 거래소 중에선 유일하게 법인용 가상자산 서비스를 제공하는 거래소이기도 하다. 지난 2021년엔 법인 투자자를 위한 블록체인 펀드 상품을 판매해 당기순이익 300억원을 기록, 업비트·빗썸·코인원에 이은 국내 거래소 실적 4위에 오르기도 했다.

최근에는 금융정보분석원(FIU)의 코인마켓 거래소 종합검사 첫 타자가 되기도 했다. 이와 관련해 업계에서는 지닥의 공격적인 사업 행보가 금융당국의 '첫 타깃'이 되는 데 영향을 끼쳤을 것이란 해석도 나왔다.

◇특금법 시행에도 구멍 뚫린 거래소 보안

가상자산 거래소를 규제하는 특금법 개정안이 시행된 이후 피해 규모 수백억원의 거래소 해킹이 발생한 것은 사실상 처음이다.

특금법에 따라 금융당국에 신고 후 영업하려는 가상자산 거래소들은 정보보호관리체계(ISMS) 인증을 의무적으로 획득해야 한다. 또 해킹 예방을 위해 보유 중인 가상자산의 70%는 오프라인 상태의 지갑을 뜻하는 '콜드월렛'에 보관하도록 권고받고 있다.

현재 신고를 수리받은 거래소들은 이 같은 지침을 준수하고 있다. 지닥 역시 신고를 수리받은 거래소임에도 불구, 나머지 자산 30%를 보관해둔 '핫월렛'에서 해킹 피해를 입었다. 핫월렛은 온라인과 연결된 지갑을 말한다.

◇해결방안은 '아직'…업비트·빗썸처럼 '자체 자산 충당' 가능할까

해킹 피해가 발생했으나 지닥은 아직 구체적인 해결방안을 내놓지 못한 채 입출금을 중단한 상태다. 지닥 측은 "현재 수사 진행 중으로, 입출금 재개시점을 확정하기 어렵다"고 밝혔다.

지닥은 해킹 사실을 경찰에 신고, 사이버 수사를 요청했다고 밝혔다. 또 한국인터넷진흥원(KISA)에도 신고를 마쳤으며 금융정보분석원(FIU)에도 보고 및 지원 요청을 완료했다고 공지했다.

단, 회원 자산이 탈취당했을 경우 이를 어떻게 해결할 것인지에 대해선 아직 안내하지 않았다. 자산 발행사(재단), 거래소 및 디파이(탈중앙화금융) 운용사 등에 자산 동결 협조 요청을 마쳤다고만 밝힌 상태다.

앞서 지난 2018~19년 수백억원대 가상자산을 탈취당했던 빗썸과 업비트는 자체 보유 자산으로 탈취당한 피해 자산을 충당한 바 있다.

빗썸은 지난 2018년 해킹으로 350억원 규모 가상자산을 탈취당했으나 이후 해외 거래소 및 가상자산 발행사(재단)의 협조로 탈취당한 자산 중 일부를 보존, 피해 규모를 190억원으로 줄였다. 탈취당한 자산은 빗썸 자체 보유 가상자산으로 충당했다.

업비트는 지난 2019년 해킹으로 이더리움(ETH) 34만2000여개, 당시 시세로 580억원 규모 가상자산을 탈취당한 바 있다. 업비트 역시 자체 보유 자산으로 피해 금액을 충당했다.

업비트와 빗썸은 대형 거래소이므로 자체 보유 가상자산으로 피해 금액을 충당할 수 있었다. 하지만 지닥은 코인마켓만 있는 중소형 거래소로, 업계에서는 자체 보유 자산을 통한 충당이 가능할지 미지수라는 우려도 나온다.

지닥은 국내 타 거래소 및 해외 거래소에 공문을 발송하고, 해킹 지갑으로 추정되는 주소로 입금을 막아달라고 요청하며 피해 규모를 줄이고 있다. 지닥 측은 "해당 주소로의 입금 인지 시 '사고 신고'로 신고해달라"고 촉구했다.

hyun1@news1.kr