연이은 국내 가상자산 프로젝트 해킹 논란에 투자자들의 한숨이 깊어지고 있다. 해커로부터 가상자산이 무단 출금되고 유통량이 초과되면서, 거래소로부터 상장폐지(거래지원 종료) 위험에 처했기 때문이다. 스마트컨트랙트(조건부 계약)에 따른 거래제한(락업)조차 설정하지 않고 미유통 물량을 보관하는 거래소의 관리 소홀에 대한 불만도 제기되고 있다.
갤럭시아, 썸씽 잇따라 해킹
2일 업계에 따르면 국내 가상자산 프로젝트 썸씽(SSX)은 지난달 29일 디지털자산거래소 협의체(닥사·DAXA)의 결정에 따라 유의종목으로 지정됐다. 썸씽 토큰은 동명의 블록체인 기반 노래방 어플리케이션에서 사용할 수 있는 토큰으로 국내 원화거래소 중에서는 업비트, 빗썸, 코인원, 고팍스에 상장돼 있다.
각 거래소는 썸씽을 유의종목으로 지정하면서 "재단이 관리하는 지갑에서 보안 이슈가 발생했고, 기존에 제출한 유통계획과 일치하지 않았다"고 밝혔다. 각 거래소는 유의종목 지정 기간 동안 썸씽에 대한 검토를 통해 유의 지정 연장, 해제, 혹은 최종 거래 지원 종료 여부를 판단한다.
썸씽 팀은 지난달 27일 미유통 물량(5억400만개)과 재단 보유물량(2억2600만개)을 포함해 총 7억3000만개의 썸씽(SSX) 토큰을 탈취당했다. 썸씽은 쟁글의 '라이브워치'를 통해 피해사실을 인지한 즉시 피해를 방지하기 위해 입출금 일시 중단을 요청했으며, 한국 사이버수사대와 인터폴 등 국내외 기관에 수사를 의뢰한다고 밝혔다.
또다른 국내 가상자산 프로젝트인 갤럭시아(GXA)는 해킹 여파로 빗썸에서 상장폐지 절차를 밟았다. 갤럭시아는 지난해 국내운영 대행사인 갤럭시아메타버스가 보유한 지갑에서 3억8000만개의 코인이 무단 출금되면서 닥사로부터 유의종목으로 지정됐다. 갤럭시아 재단이 사고에 대응하는 과정에서 해킹 물량을 제외하고도 계획된 유통량보다 많은 물량이 유통됐다는 의혹도 제기됐다.
갤럭시아 재단은 초과 유통분 1억개를 바이백(회수)하고 발행량을 소각하는 등 후속대처에 나섰다. 그러나 빗썸은 유의종목 지정사유를 해소하기에 불충분하다고 보고 지난 10일 거래지원 종료를 결정했다. 갤럭시아 재단은 거래지원 종료를 막기 위해 지난달 22일 빗썸을 상대로 효력정지 가처분을 신청했으나 기각당했다. 재단은 지난 1일 추가로 항고를 진행하지 않고 재상장에 힘쓰겠다고 커뮤니티에 공지했다.
썸씽, 갤럭시아와 사례는 다르지만 내부자의 소행으로 의심되는 가상자산 탈취 사례도 있다. '오르빗 브릿지'의 경우 지난달 1일 이더리움 볼트(잔고) 내 8150만달러(약 1000억원대) 규모의 가상자산을 탈취당했다. 탈취된 자산은 이더리움 및 다이(DAI) 등 다른 자산으로 교환된 후 8개 지갑으로 분산돼 보관됐다.
오르빗 체인의 운영사인 오지스는 이번 해킹사태의 원인으로 퇴사한 CISO(최고정보보호책임자)가 방화벽을 취약하게 만들었기 때문이라고 주장했다. 오르빗 브릿지에 활용되는 토큰인 오르빗 체인(ORC)은 현재 투자유의 종목으로 지정된 상황이다.
"락업 없이 해킹피해 노출"
잇따른 해킹 피해에 국내 가상자산 홀더들은 재단의 허술한 지갑관리와 취약한 보안을 문제삼고 있다. 미유통 물량이 시장에 풀리고, 거래소로부터 상장폐지를 당하게 되면 결국 고스란히 홀더들의 피해로 돌아가기 때문이다.
닥사의 거래지원심사 공통 가이드라인에서는 지난 6개월간 블록체인에 심각한 보안 문제가 발생한 이력이 있고, 문제원인 파악과 해결이 안 되거나, 상당규모의 가상자산이 무단으로 탈취되거나 해킹당한 이력이 있고, 탈취원인 파악과 해결이 안 된 경우 기술적 위험성이 있다고 본다.
문제를 해결하고 충분한 소명이 이뤄지지 않는다면 썸씽도 갤럭시아의 뒤를 따라 상장폐지 절차를 밟을 가능성이 있다. 썸씽이 해킹당한 물량은 약 180억원 규모로, 전체 시가총액(800억원)의 4분의 1에 달한다. 썸씽은 아직까지 바이백 등 추가 조치를 취하지 않고 있다.
가상자산 재단이 보유한 물량에 스마트컨트랙트를 활용한 락업조차 걸지 않아 무분별하게 해킹에 노출되었다는 비판도 제기됐다. 락업은 발행된 토큰을 거래할 수 없도록 잠궈 정해진 기간이나 조건에 맞춰 정해진 물량을 배출한다.
조재우 한성대학교 교수는 "재단이 보유한 미유통 물량을 코드상으로 확실히 락업을 걸어두고, 인출되지 않게 한다면 안전해질 수 있는데 그런 조치를 하는 프로젝트가 국내에도, 해외에도 적다"라면서 "락업만 확실하게 활용하더라도 블록체인의 기술적인 강점을 활용해 보안성을 높일 수 있다"라고 말했다.
