암호화폐 거래소 노리는 '검은 손'…안전투자 이렇게

# 자신이 운영하는 암호화폐 거래소의 시세를 조작해 투자금을 챙기고, 해당 거래소와 연계한 도박 사이트까지 운영한 30대 남성이 10월 30일 검찰에 넘겨졌다.

A씨는 올해 1월부터 6월까지 차명 계정을 이용해 거래량이 많은 것처럼 속여 자체 발행한 코인의 시세를 조작한 후 다시 이 코인을 되파는 방법 등으로 총 127억원을 편취한 혐의를 받고 있다. A씨는 해당 사이트를 통해 도박을 할수록 투자수익이 늘어난다고 속여 이용자들을 유도한 것으로 전해졌다.

# 지난달에는 중국계 암호화폐 거래소 아이닥스의 대표가 암호화폐를 보관하는 콜드월렛과 함께 행방불명되는 일이 발생했다.

정확한 자산 규모는 공개되지 않았지만, 중국 매체들은 해당 거래소 대표가 보유한 암호화폐가 23조원 규모에 달할 것으로 추정했다.

위와 같은 사례처럼 암호화폐 거래소 사기가 끊이지 않고 있다. 사기는 점차 교묘해지고 있지만, 제대로 된 규정이 마련되지 않아 투자자들의 피해는 눈덩이처럼 불어나고 있다. 중국 등 해외 거래소를 통한 거래도 적지 않아 거래소 관계자를 잡아 처벌하는 일도 쉽지 않은 상황이다.

◇잇따른 해킹 사고... 3년간 1800억 피해

돈이 있는 곳에는 범죄가 발생하기 마련이다. 암호화폐 시장 역시 다르지 않다. 대형 거래소를 중심으로 보안 장치를 마련하고 강화하는 중이지만, 암호화폐를 탈취하는 사고가 잇따라 발생하고 있다.

신용현 바른미래당 의원이 과학기술정보통신부에서 제출받은 자료에 따르면 2017년 1월부터 지난 9월까지 암호화폐 거래소에서 발생한 해킹사건은 총 8건이었다. 이 중 암호화폐 유출 피해가 7건이었으며, 나머지 1건은 개인정보 유출 피해였다. 신 의원실은 8건의 사고로 약 1266억원의 경제적 피해가 발생했다고 추정했다.

여기에 최근 업비트에서 발생한 586억원어치의 해킹 사고까지 더하면, 지난 3년간 국내 주요 암호화폐 거래소에서 발생한 해킹 피해금액은 1800억원이 넘는다. 하지만 암호화폐 거래소 수가 200여개로 추산돼 알려지지 않은 피해액도 적지 않을 것이라는 분석이 지배적이다.
 

[그래픽=아주경제]

해외에서도 암호화폐를 노리는 해커로 곯머리를 앓고 있다. 세계 최대 거래소 중 하나인 바이낸스는 지난 5월 보안망이 뚫려 7074개의 비트코인을 날렸다. 당시 비트코인 시세로 476억원에 달하는 수치다.

일본은 암호화폐 거래를 제도권으로 편입해 규제하고 있는데도 막대한 해킹 피해를 입고 있다. 일본 내 3대 거래소 중 한 곳인 비트포인트는 지난 7월 380억원 상당의 리플을 도난당했다.

이에 앞서 지난해 4월에는 코인체크에서 5700억원 상당의 암호화폐를 해킹당하기도 했다. 현재까지 역대 최대 규모의 암호화폐 해킹 사례다. 당시 이 사건으로 비트코인 가격이 급락했다.

이밖에 지난해 2월 이탈리아의 비트그레일에서 1900억원 상당의 신생 암호화폐가 무단 인출됐으며, 크립토피아·쿼트리가CX·드래곤엑스 등 글로벌 암호화폐 거래소를 이용하는 투자자들도 해킹으로 막대한 금액을 잃었다.

암호화폐를 노리는 '검은 손'에 의한 피해규모는 갈수록 커지는 추세다. 주요 외신들의 기사를 종합하면 올 들어 9월까지 암호화폐 거래소가 해킹돼 입은 피해 규모는 44억 달러에 달한다. 이는 지난해 연간 피해액(17억 달러)보다 2.5배 급증한 규모다.

◇투자자 보호 위한 법적 장치 사실상 '전무'

문제는 해킹 사고가 끊이지 않고 있지만, 투자자 보호를 위한 법적 수단이 없다는 점이다.

일각에선 '특정 금융거래 정보의 보고 및 이용 등에 관한 법률'(특금법) 개정안에 기대를 걸고 있다. 그러나 이는 불법자금의 양성화 등을 위한 국제자금세탁방지기구(FATF)의 권고에 따라 마련된 개정안일 뿐이다. 개정안이 정보보호 인증체계 의무화 등의 조항을 담고 있으나, 보안 강화 등을 목적으로 만든 개정안이 아니라는 의미다.

실제로 해킹 사고를 당한 빗썸과 업비트는 이번 개정안이 의무화한 정보보호관리체계(ISMS) 인증을 이미 받은 상태였다. 여기에 국제표준 정보보호인증 'ISO 27001' 등도 자율적으로 획득했지만 해커를 피할 수는 없었다.

암호화폐 거래소들은 해킹 사고가 발생하면 자사 자산으로 피해액을 충당하는 방법으로 투자자 피해를 최소화했다. 하지만 임시방편에 불과하다는 지적이 적지 않다. 암호화폐를 도난당해도 투자자가 거래소를 상대로 배상 책임을 물을 수 있는 법적 체계가 없는 탓이다.

현행법상 암호화폐 거래소는 '정보통신서비스 제공자'로 분류된다. 지난 6월 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법) 일부 개정에 대한 시행령이 국무회의를 통과하면서 암호화폐 거래소에 손해배상책임보험 가입이 의무화됐다.

직전 사업연도의 매출액이 5000만원 이상, 전년도 말 기준 직전 3개월간 개인정보가 저장‧관리되고 있는 이용자수가 일일평균 1000명 이상인 업체가 대상이어서 국내 주요 암호화폐 거래소들은 해당 보험에 가입해야 한다.

그러나 이 보험은 '개인정보 유출'에 한정돼 있다. 해킹으로 암호화폐가 탈취되더라도, 투자자가 금전적 피해를 보상받을 방법이 없는 것이다.

한 암호화폐 거래소 관계자는 "일부 거래소들은 투자 피해를 보상하기 위해 적립금을 쌓아두기도 하지만, 이는 자율에 불과하다"며 "해킹 사고 예방을 위한 작업도 지속 추진 중이지만, 해커들의 능력도 고도화되고 있어 언제 어디에서 피해가 발생할지 예측하기 어려운 게 사실"이라고 말했다.

이 관계자는 "현재로선 투자자들에게 관련 리스크를 알리고, 예방 가능한 최소한의 투자 원칙을 제시하는 수밖에 없다"고 덧붙였다.

◇ 거래소 이용시 체크리스트는?

FATF가 암호화폐 거래의 투명성 강화를 위한 권고안을 확정하면서 거래소들의 자발적 움직임이 활발해지고 있다. 아직 명확한 기준과 법이 제정되지 않았지만, 투자자 자산을 보호하고 안전한 거래가 이루어질 수 있도록 대형 거래소를 중심으로 제도화를 추진하고 있다.

투자자 보호가 거래소의 최대 의무인 것은 맞지만, 투자자 개인이 안전거래 이용수칙을 숙지하는 것이 전제돼야 한다.

예를 들어 피싱 사이트는 후오비코리아의 공식 홈페이지 주소를 huobi 대신 houbi로 표기하는 등 URL을 교묘하게 바꾸는 방식으로 투자자들을 끌어들이고 있다. 거래소 홈페이지 링크를 꼼꼼히 확인해야 하는 이유다.

송금하기 전에는 받는 주소를 여러 번 확인하고 보내야 한다. 특히 큰 단위의 금액을 송금할 때는 미리 소액 송금으로 테스트해봐야 한다.

코인 투자 시에는 프로젝트팀의 이력을 따져보고 계획에 맞춰 프로젝트 진행이 업데이트 되고 있는지 확인해야 한다. 사실과 다른 내용으로 투자자를 현혹시켜 투자금을 유치한 뒤 잠적하는 경우가 많기 때문이다.

대부분의 스캠 코인은 백서 내용만 꼼꼼히 살펴봐도 구분할 수 있다. 기술력을 과대 포장하거나 전문가들도 알기 힘든 용어를 남발해 백서를 구성했다면 일단 의심부터 해야 한다.

최근에는 상당한 설득력을 갖고 백서를 작성하는 스캠 코인이 늘고 있다. 이럴 경우에는 코인 상장 거래소가 믿을 만한 거래소인지를 먼저 확인해야 한다. 쟁글 등 주요 블록체인 프로젝트에 대한 정보를 공시하는 플랫폼을 이용하는 것도 좋다.

업계 관계자는 "정부의 강력한 규제안이 만들어지면 거래소 자체에서 보다 엄격한 상장, 상장폐지 기준 등을 마련해 암호화폐 사기가 줄어들 수는 있지만 원천봉쇄는 사실상 불가능하다"며 "투자자 개인이 자산 보호를 위해 신경쓰는 것이 가장 중요하다"고 조언했다.