연이은 가상자산 '해킹'...정부는 자금세탁 방지만 골몰

HOME 블록체인 마켓

연이은 가상자산 '해킹'...정부는 자금세탁 방지만 골몰

규제 당국의 가상자산 제도화 통해 투자자 보호와 자금세탁방지 두마리 토끼 잡아야

이 기사는 2022년 02월 04일 17시 31분 유료콘텐츠서비스 딜사이트 플러스에 표출된 기사입니다.

추천키워드

#웜홀 #클레이스왑 #그라운드X #가상자산 #해킹 #금융위원회 #특금법

실시간 속보 랭킹뉴스

[딜사이트 석주민 기자] 가상자산 해킹 사고가 연이어 발생하고 있다. 하지만 정부는 가상자산을 통한 자금세탁 문제에만 집중하는 모양새다.

가상자산 연결서비스 '윔홀'이 미국 현지시간으로 지난 2일 3억2400만달러(한화 약 3900억원) 규모의 자금을 해킹당했다. 웜홀은 서로 다른 블록체인의 가상자산 거래를 지원하는 '크로스체인 브릿지'(연결서비스) 다.

블록체인 보안 감사 전문 기업 서틱(certik)에 따르면 이번 해킹 사고로 웜홀에선 최소 2억5100만달러(3027억원) 상당의 이더리움과 4700만달러(567억원) 상당의 솔라나, 400만달러(48억원) 상당 USD 코인 등이 탈취됐다. 서틱은 이번 해킹 공격에 사용된 수법으로 웜홀 내의 블록체인 연결 취약점을 노린 것이라 분석했다.

서틱에 따르면 해킹 세력이 솔라나 블록체인에서 쓰이도록 변환된 이더리움 12만개를 자체 발행했다. 그리고 그걸 다시 웜홀 서비스를 경유해 진짜 이더리움과 거래하는 방식으로 이용자들의 자산을 탈취했다.

관련기사 more

4대 거래소 특금법 따라 트래블룰 이행 보름 남은 트래블룰 거래소 이용 문제 없을까 화이트리스트 클레이·루나 생태계 위협 가능성↑ 잦은 해킹·서버마비, 내년엔 달라질까

4일 국내에선 '클레이스왑' 해킹 사고가 발생했다. 클레이스왑은 카카오의 자회사 그라운드X가 개발한 블록체인 플랫폼 '클레이튼'을 기반으로 한 디파이(탈중앙화된 금융) 서비스다. 클레이스왑 운영사 오지스에 의하면 클레이스왑은 외부 해킹 공격으로 약 22억원에 달하는 가상자산이 특정 지갑으로 출금되는 해킹 피해가 발생했다.

오지스는 이번 피해 원인으로 사용자의 카카오 SDK(소프트웨어 개발 키트) 파일 요청이 외부 공격으로 카카오 서버가 아닌 해커 서버로 연결돼 악성코드가 다운로드된 것으로 파악했다.

앞선 웜홀 해킹의 경우 디파이 서비스의 연결성이란 취약점을 활용해 가짜 가상자산을 진짜로 바꾼 시스템 오류를 야기했다. 그리고 클레이스왑 해킹 사고는 그보다 더 직접적으로 디파이 서비스의 연결 부분에 공격을 가해 전반적인 서비스 오류를 발생시켰다. 방식을 다르지만 결국 디파이 서비스의 취약점을 공격한 것이다.

특히 이들 해킹 사고에서 엿볼 수 있는 공통점은 디파이 서비스의 '연결고리'를 노린 공격이다. 앞선 웜홀이나 클레이스왑 같은 디파이 서비스는 서로 다른 블록체인을 이어주는 연결성을 갖는다. 업계에선 블록체인의 분산 장부 시스템이 해킹을 예방한다며 블록체인 해킹 예방을 높게 평가한다. 하지만 보안성은 개별 블록체인의 이야기일 뿐 디파이 서비스 전체로 보면 이야기가 달라진다.

서로 다른 블록체인을 연결하는 디파이 서비스 코드 중 일부 코드에서 오류가 발생할 경우 그 오류는 디파이 생태계 전반으로 확산된다.

앞선 두 사례 외에도 디파이 서비스의 취약점을 겨냥한 해킹 사고는 지난 1년 간 꾸준히 발생해왔다. 자본시장연구원이 지난달 18일 발표한 '디파이 위험요인과 국제사회의 규제 동향 보고서'에 따르면 지난해 디파이 보안 사고는 분기 별로 꾸준히 이어졌다. 또한 분기별 해킹 피해 상위 10개 사례의 피해액은 총 16억달러(1조9198억원)로 적지 않은 투자자가 해킹으로 피해 입은 걸 확인할 수 있다.

2021년 디파이 관련 주요 보안 사고 사례 (출처=자본시장연구원 보고서, rekt news)

규제 당국은 이러한 해킹 사고를 미연에 방지하기 위해 오는 3월부터 자금 이동 추적 제도인 '트래블룰'을 국내 가상자산거래소에 의무화할 예정이다. 트래블룰이 시행되면 개별 거래소의 가상자산 송수인 신원정보 기록이 절차상 의무화된다.

정지열 한국자금세탁방지전문가협회장은 지난달 25일 특금법 시행 관련 토론회에서 "이제 트래블룰이 시행되면 가상자산 추적이 용이해짐에 따라 금융소비자 보호를 한층 더 강화할 수 있다"고 평가했다.

이외에도 규제 당국은 지난해 3월 '특정 금융거래정보의 보고 및 이용에 관한 법률(특금법) 개정안'에 따라 가상사업자 신고 및 실명계좌 취득 등의 규제방안을 마련했다. 하지만 규제당국의 일련의 움직임은 투자자 보호가 아닌 자금세탁 방지에만 초점이 맞춰져 있는 것이 현실이다. 금융위원회가 지난해 12월 발표한 '2022 정부 업무보고'에서도 가상자산 정책에 대해 자금세탁방지에만 집중했다.

이러한 상황에서도 국회에선 가상자산 투자자 보호 조치를 담은 관련 법안이 오랜 기간 처리되지 않고 계류돼 있다. 해당 법률안은 지난해 5월 김병욱 의원(더불어민주당)이 대표 발의한 '가상자산업 발전 및 이용자 보호에 관한 법률안'이다. 해당 법안에선 가상자산사업자에게 투자자 피해보상을 위한 보험 가입 및 준비금 적립 등의 보호조치가 명시돼 있다. 법안이 발의된 지 벌써 6개월이 지났지만 법안은 아직도 국회를 떠돌고 있는 실정이다.

해킹 피해가 속출하고 있는 상황이고 법안 마련은 지지부진한 상황에서 규제 당국이 가상자산을 먼저 인정하고 제도화를 진행해야 한다는 목소리가 나오고 있다. 박성준 동국대 블록체인연구센터장은 팍스넷뉴스와의 통화에서 "규제당국이 가상자산을 먼저 인정하고 투자자 보호와 자금세탁방지를 진행하는 게 올바른 순서"라고 지적했다. 이어 박 센터장은 "가상자산사업자의 보험 가입과 준비금 마련 의무는 해킹 문제 대응을 위한 거래소의 한계를 극복할 수 있는 좋은 대책"이라며 제도 도입의 필요성을 언급했다.

석주민 기자 jumin6024@paxnetnews.com