preLoad Image preLoad Image
검색 바로가기
주메뉴 바로가기
주요 기사 바로가기
다른 기사, 광고영역 바로가기
중앙일보 사이트맵 바로가기

손배 약관 삭제 10일 뒤 … 암호화폐거래소 수상한 400억 해킹

국내 암호 화폐 거래소인 코인레일이 400억원 규모의 해킹 사고를 당해 전체 거래가가 10% 안팎 폭락한 11일 오전 서울 무교동 암호 화폐 운영업체 빗썸의 전광판에 하락한 시세가 나타나 있다. [뉴스1]

국내 암호 화폐 거래소인 코인레일이 400억원 규모의 해킹 사고를 당해 전체 거래가가 10% 안팎 폭락한 11일 오전 서울 무교동 암호 화폐 운영업체 빗썸의 전광판에 하락한 시세가 나타나 있다. [뉴스1]

암호화폐(일명 가상화폐) 거래소 해킹 사고가 또 터졌다. 이번엔 400억원으로 국내 최대 규모다.  
 
11일 경찰청 사이버안전국 관계자는 “지난 10일 암호화폐 거래소인 코인레일에서 신고가 들어와 수사에 착수했다”라며 “실제 해킹으로 암호화폐가 유출됐는지 등 사실관계를 확인할 것”이라고 말했다. 
 
코인레일과 한국인터넷진흥원(KISA) 등에 따르면 해킹 사고는 10일 오전 1시쯤 일어났다. 40여 분만에 400억원 상당의 암호화폐를 도난당했다. 대상 암호화폐는펀디엑스(NPXS), 애스톤(ATX), 엔퍼(NPER) 등 모두 이더리움 기반의 토큰이다. 
 
도난 사실을 파악한 코인레일은 오전 2시쯤 거래를 중단하고 서버 점검에 들어갔다. 동시에 KISA 등 관계 기관에 신고했다. 회사 측은 홈페이지에 “전체 코인ㆍ토큰 보유액의 70%는 안전하게 콜드월렛으로 이동해 보관 중”이라며 “유출이 확인된 코인의 3분의 2는 각 코인사 및 관련 거래소와 협의를 통해 동결ㆍ회수에 준하는 조치가 완료했다”고 설명했다. 이어 “나머지도 회수하도록 최선을 다하겠다”고 덧붙였다. 
 
암호화폐 거래소 안에서 이뤄지는 거래는 모두 일종의 장부거래다. 거래소가 매수ㆍ매도에 따라 장부상 숫자를 달리 기록할 뿐이다. 거래소 밖으로 암호화폐를 출금하거나 거래소로 암호화폐를 입금할 경우에만 실제 블록체인 상에서 거래가 일어난다.
  
대부분의 거래소는 암호화폐의 70~80%를 콜드월렛에 보관한다. 인터넷과 물리적으로 분리됐기 때문에 해킹 위협에서 안전하다. 나머지 20~30%를 핫월렛에 보관한다. 핫월렛은 인터넷과 연결된 지갑(계좌)이다. 고객 요청에 따라 당장 암호화폐를 출금해 줄 수 있지만, 해킹 위험에 노출돼 있다. 이번에 도난당한 암호화폐 역시 코인레일의 핫월렛에 보관된 물량이었다. 
 
코인레일은 24시간 거래량으로 국내 7위권, 세계 100위권 안팎이다. 하지만 주요 거래소들이 회원사인 한국블록체인협회에 가입하지 않았다. 공인 정보보호관리체계(ISMS) 인증도 받지 않았다. ISMS는 국내 최고 수준의 종합 정보보호 인증 제도다. 한 업계 관계자는 “중소 거래소는 해커들에게 대문을 활짝 열어두고 있다고 봐도 된다”고 말했다. 
주요 암호화폐 거래소 해킹 사례

주요 암호화폐 거래소 해킹 사례

 
관건은 투자자 피해보상 여부다. 공교롭게도 지난달 31일 코인레일은 약관을 변경했다. 지난 4월 초 공정거래위원회가 불공정 약관 조항에 대한 시정을 요구하면서다. 공정위는 “(거래소가) 고객에게 손해가 발생했을 경우 암호화폐나 포인트로 배상할 수 있다는 규정을 뒀는데 이는 민법상 손해배상을 금전으로 하는 원칙을 위반한 것”이라고 지적했다. 
 
코인레일은 이에 따라 관련 조항을 바꾸는 것이 아니라 아예 삭제했다. 일부 투자자들은 변경 전후 약관을 비교하며 “코인레일이 손해배상 의무를 피하려고 약관을 삭제했다”고 의심했다. 공정위 관계자는 “수정 요구는 보상을 현금으로 하라는 취지였다"라며 "해당 조항을 삭제했다고 해서 회사의 책임이 면제되는 것은 아니다”라고 설명했다. 약관 변경과 관계없이 손해배상과 관련한 다툼은 법원에서 따져야 한다. 회사의 과실로 인한 피해가 입증될 경우엔 배상받을 수 있다.   
 
하지만, 회사가 망하면 돈 받을 길은 요원하다. 코인레일은 자본금 1000만원으로 지난해 말 설립됐다. 보험 가입 여부도 확인되지 않는다. 설사 가입돼 있다고 해도 400억원 전체를 보상해 줄 지는 의문이다. 지난해 12월에는 거래소 유빗이 해킹으로 170억원 가량의 암호화폐를 도난당했지만, 보험사 보상 한도는 30억원에 그쳤다. 그나마 보상 여부를 놓고 보험사와 소송 중이다. 구태언 테크앤로 대표변호사는 “거래소는 금융회사 아니고 전자상거래업자이기 때문에 금융회사 수준의 투자자 보호를 기대해선 안 된다”며 “거래소를 선택할 때 무엇보다 보안을 우선해야 한다”고 말했다. 
 
코일레일의 해킹 소식이 전해지며 11일 암호화폐 시세는 일제히 폭락했다. 비트코인은 한 달여 만에 800만원선을 내줬다.
 
고란·한영익 기자 neoran@joongang.co.kr
AD
온라인 구독신청 지면 구독신청

중앙일보 핫 클릭

PHOTO & VIDEO

shpping&life

뉴스레터 보기

김민석의 Mr. 밀리터리 군사안보연구소

군사안보연구소는 중앙일보의 군사안보분야 전문 연구기관입니다.
군사안보연구소는 2016년 10월 1일 중앙일보 홈페이지 조인스(news.joins.com)에 문을 연 ‘김민석의 Mr. 밀리터리’(news.joins.com/mm)를 운영하며 디지털 환경에 특화된 군사ㆍ안보ㆍ무기에 관한 콘텐트를 만들고 있습니다.

연구소 사람들
김민석 소장 : kimseok@joongang.co.kr (02-751-5511)
국방연구원 전력발전연구부ㆍ군비통제센터를 거쳐 1994년 중앙일보에 입사한 국내 첫 군사전문기자다. 국방부를 출입한 뒤 최장수 국방부 대변인(2010~2016년)으로 활동했다. 현재는 군사안보전문기자 겸 논설위원으로 한반도 군사와 안보문제를 깊게 파헤치는 글을 쓰고 있다.

오영환 부소장 : oh.younghwan@joongang.co.kr (02-751-5515)
1988년 중앙일보 입사 이래 북한 문제와 양자 외교 관계를 비롯한 외교안보 현안을 오래 다뤘다. 편집국 외교안보부장ㆍ국제부장과 논설위원ㆍ도쿄총국장을 거쳤고 하버드대 국제문제연구소(WCFIA) 펠로우를 지냈다. 부소장 겸 논설위원으로 외교안보 이슈를 추적하고 있다.

박용한 연구위원 : park.yonghan@joongang.co.kr (02-751-5516)
‘북한의 급변사태와 안정화 전략’을 주제로 북한학 박사를 받았다. 국방연구원 안보전략연구센터ㆍ군사기획연구센터와 고려대학교 아세아문제연구소 북한연구센터에서 군사ㆍ안보ㆍ북한을 연구했다. 2016년부터는 중앙일보에서 군사ㆍ안보 분야 취재를 한다.