[일요시사 취재1팀] 김정수 기자 = 비트소닉은 최근 해킹 의혹과 관련해 도마에 올랐다. 피해를 호소하는 이들은 OTP 인증의 비활성화로 보유 암호화폐가 유출됐다고 주장한다. 반면 사측은 조사 결과에 따라 외부 해킹도, 내부 문제도 아니라고 매듭지었다. 일각에선 먹튀 가능성을 꺼내들기도 하는 형국이다.
 

국내 암호화폐 거래소 비트소닉은 지난해 4월 설립됐다. 비트소닉은 설립 초기 ‘수익 공유형 거래소’로 이름을 알렸다. 자체 발행 코인 비트소닉코인(BSC) 보유량에 따라 거래소 수입을 나눠주는 것이다. 비트소닉은 올해 초 거래량 기준 국내 3위의 반열에 올랐다. 거래소 자체 발행 코인은 단기간에 거래량을 늘리는 배경이 됐다.

신생 거래소

지난달 암호화폐 커뮤니티 등에서는 비트소닉과 관련한 피해 사례가 언급됐다. 이들의 사례를 종합해 보자면 자신들의 의지와 달리 OTP 인증이 비활성화됐고, 보유 코인이 자동으로 출금됐다는 것이다.

피해자라고 주장하는 이들 중 한 명은 “멀쩡하게 OTP를 사용하고 있었는데, 새벽에 OTP 인증 비활성화 메일이 왔다”며 “아침에 재활성화를 시킨 뒤 비밀번호를 변경하려했지만 PC로만 가능하다고 해 회사로 와서 비밀번호를 바꾸려 했다”며 상황을 전했다.

이어 “비밀번호를 바꾸려는 순간 다시 OTP가 비활성화됐고, 암호화폐 출금 완료라는 메일이 왔다”고 밝혔다.

또 다른 피해자는 “새벽 4시경 알지 못하는 로그인 기록과 OTP 해제 메일이 남아있었다”며 “남아있는 코인을 모두 출금해갔다”고 호소했다. 이들은 실제로 사이버수사대에 신고를 접수하기도 했다.

OTP 자동 비활성화 
보유한 코인 유출 

OTP는 거래소 내에서 사용되는 일회용 비밀번호다.

업계 관계자는 “은행 등 금융기관서 쓰이는 OTP와 비슷하다고 보면 된다”며 “OTP를 비활성화 할 수 있는 건 이용자 본인과 거래소 뿐”이라고 설명했다. 이어 “피해 사례의 핵심은 OTP 비활성화”라며 “스미싱이나 악성코드 열람 등 개인의 부주의로 OTP가 비활성화됐다면 그들의 책임으로 볼 수 있지만, 특별한 일 없이 OTP가 비활성화됐다면 책임은 사측으로 전가될 가능성이 높다”고 말했다.

<코인데스크코리아>에 따르면 신진욱 비트소닉 대표는 “전수조사 결과 OTP를 초기화한 분들이 그리 많지 않고 시스템상 문제는 없었다”고 말했다. 그는 “OTP는 거래소가 아니라 이용자가 관리하기 때문에 거래소가 어떤 일이 일어났는지를 알 수는 없다”고 덧붙였다.

피해를 입었다는 이들은 개인 해킹 가능성을 일축하고 있다.

이들 중 한 명은 “비트소닉 계정이 드림위즈 메일인데 드림위즈는 올해 7월 서비스가 종료됐다”고 설명했다. 결국 거래소 차원의 개입과 OTP 비활성화의 관계를 따로 볼 수 없다는 것이다.

일각에선 “거래소가 망하기 전에 내부자가 먹튀를 한 것이 아니냐”며 우려를 표하기도 했다.

피해자들 중 일부는 매도된 화폐가 ‘유니오 코인’으로 매수된 점에 주목한다. 유니오 코인은 비트소닉에만 상장돼있다. 즉, 해킹으로 암호화폐를 손에 넣었다 하더라도 현금화를 위해서는 비트소닉을 거쳐야 하는 구조다. 피해금액이 크지 않다는 것도 눈길이 간다.
 

거래소 관련 해킹은 크게 3가지로 분류된다. 거래소가 직접 공격을 당한 경우, 거래소 내부의 착오 또는 고의적인 행위의 경우, 그리고 고객의 부주의로 인한 경우다.

거래소가 직접 공격을 당한 대표적인 사례는 코인레일이다. 코인레일은 국내 암호화폐 거래소 중 하나로 지난해 6월, 해킹 공격을 당한 바 있다. 당시 코인레일은 거래를 전면 중단하고 시스템 점검에 들어갔다.

당시 9종의 보유 암호화폐 36억개가량이 40분에 걸쳐 인출됐다. 해당 암호화폐 시세는 개당 수십원이었고, 모두 400억원 규모의 피해를 낳았다. 사건 이후 암호화폐 시장이 일시에 하락하는 등 파장은 만만치 않았다.

조사 결과 문제없어
개인정보 관리 강조

거래소 내부 문제로는 빗썸의 사례가 있다. 빗썸은 국내 암호화폐 3대 거래소 중 하나다. 빗썸 운영사 BTC코리아는 지난 3월 비정상적 출금 행위를 인지, 한 시간 뒤 암호화폐 입출금 서비스를 중단했다. 탈취된 암호화폐는 이오스 300만개로 약 140억원의 규모인 것으로 드러났다.

빗썸은 이튿날 사과문을 통해 “유출된 암호화폐는 모두 회사 소유분”이라며 “회원 자산은 모두 콜드월렛서 보호하고 있다”고 밝혔다. 이어 “내부 횡령 사고가 발생한 것으로 추정된다”며 “KISA(한국인터넷진흥원) 및 사이버경찰청 등에 보안, 전산 인력을 대상으로 강도 높은 조사를 요청했다”고 전했다.

당시 업계 안팎에선 사내 전사적 비용 절감과 희망퇴직 등에서 불만을 품은 직원이 해킹을 저지른 것으로 알려졌다.

암호화폐는 지난달 30일 국정감사서도 소개됐다. 이날 국회 과학기술정보방송통신위원회 간사인 바른미래당 신용현 의원에 따르면 최근 3년 간 암호화폐 취급업소에서 발생한 해킹사건은 총 8건이었다. 이 중 암호화폐 유출 피해가 7건, 개인정보 유출 피해가 1건이었다.
 

신 의원은 “ISMS(정보보호관리체계)를 받고도 해킹으로 인한 암호화폐 유출 피해가 발생할 수 있다”며 “과기정통부 등 정부당국에선 암호화폐 취급업소에 대한 보안강화를 위한 대책을 강구해야 할 것”이라고 지적했다.

이번 사건의 피해 규모는 지난날 대규모 피해 사례와 비교했을 때 크지 않은 것으로 전해진다. 비트소닉은 공식 입장을 통해 “관련 OTP 초기화 기록을 중심으로 긴급 점검 및 조사를 실시했다”며 “외부 해킹 시도 징후는 전혀 발견되지 않았고, 내부에 의한 사고도 아니었다”고 밝혔다.

주의 강조

비트소닉은 “불특정 다수를 대상으로 거래소 밖에 존재하는 개인 정보를 취득한 것으로 보인다”고 봤다. 고객들의 개인정보를 누군가가 악의적으로 탈취했다는 것이다. 비트소닉은 “개인정보 관리는 필수”라며 “주기적인 비밀번호 변경을 부탁드린다”고 덧붙였다.

<kjs0814@ilyosisa.co.kr>

<기사 속 기사> ‘거래소 책임’ 국내 첫 판결은?

서울남부지방법원은 지난달 25일 해킹으로 보유 암호화폐와 현금을 잃어버린 A씨가 B거래소를 상대로 제기한 소송서 일부 승소 판결을 내렸다.
해외 서버로 접속한 해커는 A씨의 계정으로 거래소에 접속해 보유 암호화폐를 모두 매도하고 비트코인을 사들여 이를 다른 곳으로 송금했다.

B거래소는 1일 출금한도액을 2000만으로 제한한다고 공지했지만 적용되지 않았다.

재판부는 출금한도를 지키지 못한 점을 거래소의 잘못이라고 인정하면서도 출금한도 제한이 있더라도 일부 자산은 출금 가능했다는 점, 해킹에 의해 계정이 탈취당한 것은 거래소와는 무관한 점 등을 들어 거래소에 온전한 책임이 있다고 보지는 않았다.

재판부는 제기된 5886만원 상당 중 2500만원만 보상하라고 판결했다. <수>