가상화폐(암호화폐·가상통화) 거래소 유빗(구 야피존)이 잇단 해킹으로 파산하게 된 발단은 허술한 보안 수칙이었다는 지적이 나오고 있다.
유빗은 19일 새벽 4시 35분께 해킹으로 인해 코인 출금지갑에 손실이 발생했다며 이날부로 거래를 중단하고, 파산 절차를 진행한다고 밝혔다.
유빗측이 공개한 해킹 손실액은 보관자산의 약 17%이다. 업계에선 거듭되는 해킹으로 유빗측이 사업을 이어 진행할 경우 추가적인 피해가 예상될 만큼 심각한 기술적 결함이 있었기 때문이라고 추정하고 있다.
유빗은 이미 4월 22일 오전 2~3시에 해커의 공격으로 거래소의 인터넷망에 연결된 코인지갑(Hot-Wallet) 4개를 탈취당하는 피해를 입기도 했다. 총 피해 규모는 3831BTC(당시 약 55억 원)이다. 이는 야피존이 보유 중인 고객들의 총 자산의 37.08%에 해당하는 규모였다.
전문가들은 해킹 자산이 37%를 상회하는 것에 대해 기본 보안 수칙이 지켜지지 않았다고 보고 있다.
예컨대 다른 거래소들은 고객 자산의 70% 이상을 오프라인 저장매체에 보관하는 ‘골드 스토리지(Cold Storage)’ 방식을 지키고 있다. 이는 해커가 온라인으로 해킹할 수 있는 양이 30%를 넘을 수 없다는 것이다.
이 때문에 당시 업계에선 유빗이 기본 보안 수칙이 정비되지 않았다는 지적이 제기됐다.
특히 당시 유빗은 임의로 고객 자산을 일괄 차감해 논란이 일기도 했다. 이 때문에 이미지에 타격을 입고 고객 확보에 어려움을 겪은 것으로 알려졌다. 현재 1차 해킹 사건의 피해자에게 매달 일부 금액을 보상하고 있지만 아직 이마저도 완료하지 못한 상태다.
2차 170여억 원 규모의 피해액 또한 전체 고객에게 자산 비율만큼 분배할 것으로 전해졌다. 회사측은 사이버종합보험(30억 원)과 회사 운영권 매각 등으로 피해금액을 보전할 것이라고 했지만, 피해금 중 일부가 될 것이란 게 업계의 관측이다.
유빗이 파산하면 국내에서 처음으로 가상화폐 거래소가 파산하는 것이다.
앞서 2014년 2월 세계 최대 비트코인 거래소였던 마운트곡스(Mt.Gox)는 일본 법원에 파산신청을 했다. 처음 거래소 해킹으로 알려졌으나 최고경영자(CEO) 마크 카펠레스(Mark Karpeles)가 자신의 현금 계좌를 부정한 방법으로 조작하고 잔액을 100만 달러로 부풀려 횡령한 혐의로 체포돼 재판 중인 것으로 알려졌다.
2015년 1월 슬로베니아에 본사를 둔 ‘비트스탬프(Bitstamp)’에서도 해킹 사고가 일어나 보유한 비트코인의 12%(1만8866비트코인)을 도난당했다. 지난해에는 홍콩 비트피넥스(Bitfinex)에서 해커들이 11만9756비트코인(약 725억 원)을 해킹해 예금과 인출 등 모든 거래가 중지된 적이 있다.
업계에선 이번 해킹으로 시장에 대한 부정적 인식을 심어줄 수 있다고 우려하고 있다.
업계 관계자는 “보안에 결함이 생길 수도 있지만, 내부 규율이나 보안 수칙을 지킬 경우 상당 부분 위험을 제거할 수 있다”며 “자칫 거래소들에 대한 불신으로 이어질까 걱정”이라고 말했다.