가상통화 거래소 ‘유빗’ 해킹에 뚫려 첫 파산

손실액 전체 자산의 17% 달해→ 코인-현금 입출금 정지… 투자자 피해
올 4월에도 北해킹에 55억원 털려
他거래소도 보안취약… 추가피해 우려→ 과기정통부, 11월 10곳에 시정권고

국내 가상통화 거래소가 해킹 공격을 받아 파산했다. 국내에서 처음 나온 사례다. 가상화폐 거래소 빗썸과 유빗을 비롯한 국내 주요 가상화폐 거래소들은 취약한 보안 때문에 이미 정부의 경고를 받은 것으로 드러나 향후 논란이 커질 것으로 보인다.

가상통화 거래소 유빗은 19일 해킹으로 인한 손실 때문에 거래를 중단하고 파산 절차에 들어갔다고 밝혔다. 유빗은 이날 홈페이지에서 “오늘 오전 4시 35분 해킹으로 인해 코인 출금지갑에 손실이 발생했다. 손실액은 전체 자산의 약 17%”라고 전했다. 유빗은 이날 오후 2시부터 코인과 현금 입출금을 정지시켰다.

이 업체는 올해 4월(당시 야피존)에도 북한의 해킹 공격을 받은 바 있다. 당시 피해 규모는 55억 원이었다. 이후 10월에 유빗으로 상호를 바꿨다. 잇단 해킹 공격에 거래소가 문을 닫으면서 이 거래소를 통해 투자한 가상통화 투자자의 피해가 불가피해졌다. 유빗 측은 “사이버종합보험(30억 원)과 운영권 매각 등으로 보전하면 손실액이 17%보다 낮아질 것”이라고 밝혔다.

김진화 한국블록체인협회 준비위원회 대표는 “유빗은 거래량 등이 공개되지 않던 폐쇄적인 거래소”라며 “피해를 예방하기 위해선 소비자 스스로 투명한 거래소 위주로 안전한 투자를 하는 게 좋다”고 말했다.

그동안 거래소들의 보안 문제는 끊임없이 제기돼 왔다. 한호현 경희대 컴퓨터공학부 교수는 “거래소 규모와 상관없이 다른 사이트도 해킹에 취약한 것은 마찬가지”라며 “블록체인협회에서 자산의 70%를 별도로 보관하겠다고 했는데 이 역시 언젠가는 별도 보관한 곳에 접속해야 하기 때문에 해킹 우려가 있다”고 말했다.

과학기술정보통신부와 한국인터넷진흥원(KISA)은 국내 주요 가상화폐거래소 10곳에 대해 지난달 보안 점검을 한 뒤 모두 낙제점을 주며 시정을 권고했다. 10개 업체의 명단을 밝히진 않았지만 파산 절차를 밟고 있는 유빗을 포함해 빗썸, 코빗, 코인원 등이 포함된 것으로 알려졌다.

경찰은 수사에 착수했다. 서울지방경찰청 사이버안전과는 이날 오후부터 KISA와 함께 해킹의 경로와 배후 등에 대한 조사를 진행했다. 경찰은 이 사건에 북한 해커가 연관됐는지도 수사할 예정이다.

김성모 mo@donga.com·박성민·신수정 기자