제 4차 산업혁명 시대 도래에 발맞춰, 디지털 화폐인 가상화폐에 대한 관심이 뜨겁다. 블록체인 기술에 기반한 가상화폐는 금융기관의 개입 없이도 이용자 간 온라인 거래가 가능하고, 실물이 없기에 보관의 번거로움이 없다는 장점을 가지고 있다. 또한, 전통적인 자본 시장과 별개로 움직이기 때문에 정치적 불안정으로 인한 화폐 가치의 하락으로부터 자산을 안전하게 보호할 수 있기도 하다. 이러한 장점에 주목한 일부 선진국에서는 가상화폐를 공식적인 결제수단으로 인정하는 움직임이 가속화되고 있다.

하지만 빛에는 그림자가 있는 법. 가상화폐 시장이 빠르게 성장함에 따라, 이를 노리는 사이버 공격도 잇달아 발생하고 있다. 특유의 익명성으로 자금 흐름 추적이 쉽지 않은 만큼 '지하경제용 화폐'로 악용될 수 있을뿐더러, 최근 가파른 시세 상승으로 가상화폐의 가치가 높아지고 있기 때문이다. 또한, 가상화폐에 대한 법적 규제가 아직 정립되지 않았거나, 전통적인 금융 시장에 비해 비교적 낮은 규제를 적용하고 있는 국가가 적지 않다는 사실도 공격을 부추기는 요인 중 하나다.

이글루시큐리티 보안분석팀 김미희 과장

특히 가상화폐를 법정화폐나 다른 가상화폐로 교환하는 '가상화폐 거래소'는 공격자들의 새로운 먹잇감으로 떠오르고 있다. 공격자들은 위·변조가 불가능한 가상화폐 자체를 노리기 보다는 가상화폐 거래소 시스템의 취약점을 이용하거나 가상화폐 거래소 직원을 공격의 교두보로 이용하는 공격 방식을 취하고 있다. 또는, 가상화폐 거래소 직원을 사칭한 악성 이메일을 사용자들에게 보내 계정 정보를 빼돌린 후 가상화폐를 탈취하기도 한다.

실제로 국내외에서 동시다발적으로 가상화폐 거래소를 노린 사이버 공격이 발생함에 따라, 가상화폐 거래소의 안전성에 대한 사용자들의 불신이 깊어지고 있다. 지난 6월 발생한 국내 최대의 가상화폐 거래소 '빗썸' 해킹 사고가 대표적이다. 6월 29일, 빗썸은 직원 PC가 해킹돼 약 3%에 해당되는 회원의 일부 개인정보가 유출되었음을 알리고, 피해자에 대한 보상금 지급(인당 10만원)과 제 2차 피해를 막기 위한 보안 기능 강화(로그인 시 OTP 인증 추가)에 초점을 둔 대응 방안을 발표했다.
 
이렇게 무마되는 듯했던 빗썸 해킹 사고는 빗썸 계정 사용자들을 대상으로 한 2차 피해가 발생하며 다시 재점화됐다. ▲개인정보가 유출된 고객이 가입한 이동통신사와 포털 사이트 계정이 탈취되고 ▲빗썸을 사칭한 스피어피싱 메일이 발송되며 ▲빗썸 사이트와 동일한 계정 정보를 사용하고 있는 다른 가상화폐 거래소에서 가상화폐가 불법적으로 인출되는 등 다양한 형태의 2차 공격이 일어나고 있으며 이로 인한 피해 규모는 아직 정확하게 집계가 되지 않은 상황이다.
 
빗썸의 개인정보 유출 사고로 금전적 피해를 입은 140여 명의 사용자들은 결국 집단 소송에 나섰다. 빗썸 해킹 피해자 모임인 'GETBACKCOIN'은 빗썸 측이 개인정보 유출 사실은 인정하고 있으면서도 피해자들이 주장하는 금전적 피해는 동일한 계정 정보를 사용한 개인의 과실로 돌리고 있다며, 빗썸의 안일한 대응에 대한 비난의 목소리를 높이고 있다. 가상화폐 거래소의 보안 위협에 대한 부담을 사용자에게 전가하고 있다는 것이다.
 
이와 같이, 가상화폐 거래소 해킹을 둘러싼 갈등이 쉽게 해결되지 못하는 이유는 무엇일까. 가장 근본적인 문제점은 가상화폐가 법정통화로 인정되지 않는 까닭에 가상화폐 거래소가 가상화폐를 법정화폐로 교환하는 기능을 수행하면서도 금융 기관이 아닌 '통신판매업'으로 등록돼 운영되고 있다는 사실에서 기인한다. 즉 사이버 공격이 발생하더라도 금융감독원의 사고 원인 조사·제재 대상에는 포함되지 않는다는 얘기다. 실제 빗썸 역시 한국인터넷진흥원에만 개인정보 유출 사실을 신고했다.
 
가상화폐와 관련된 법적 근거가 아직 마련되지 않았다는 점 역시 큰 문제점으로 지적되고 있다. 온라인을 통해 다수의 투자자들에게 투자금을 지원받는 '지분투자형 크라우드펀딩'과 비교해 보면 그 차이를 쉽게 확인할 수 있다. 크라우드펀딩 플랫폼을 제공하고 투자자를 모집해 수수료를 받는 중개업자들은 현재 '온라인투자중개업자'로 분류돼 금융감독원의 직접적인 영향권 아래 놓여 있다. 반면, 가상화폐 거래소에는 이용자들의 가상화폐를 보호하기 위한 법적 장치가 마련되어 있지 않은 것이 사실이다.
 
다행히, 이러한 문제점을 보완하기 위한 움직임도 조금씩 나타나고 있다. 지난달 1일 국회 정무위원회 소속 더불어민주당 박용진 의원은 '가상화폐 규제법(전자금융거래법 개정안)'을 발의했다. 개정안은 '가상통화취급업'을 정의하고, 가상화폐 거래 업자에 대한 '인가제'를 통해 진입 장벽을 설정하며, 소비자를 보호하는 장치를 마련하는 것을 주요 골자로 하고 있다. 가상화폐를 악용한 범죄나 사기 행위를 규제할 법적 근거를 마련함으로써, 가상화폐 시장이 성장할 수 있는 법적인 뒷받침을 마련하겠다는 설명이다.
 
지금까지 가상화폐 거래소를 노린 보안 위협과 이와 관련된 이슈를 살펴봤다. 독일, 일본, 영국, 호주, 유럽연합 등 가상화폐를 법정화폐로 인정하거나 제도적 환경 조성에 나선 국가들에 비해, 가상화폐의 안전성을 확보하기 위한 우리나라의 움직임은 아직 걸음마 단계에 불과하다. 새로운 투자 수단으로 가상화폐에 대한 관심이 급증하고 있는 만큼, 안전하게 가상화폐를 사용하기 위한 제도적 기반이 조속하게 마련됐으면 한다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지