가상자산거래소들 ‘왜 이러나’…네이버와 합병하는 업비트, 해킹·IPO 앞둔 빗썸, 당국 고강도 조사

업비트 445억 해킹·빗썸 당국 조사 장기화로 오더북 공유 중단
보안·규제 리스크, 국내 대형 거래소 동시 타격… 시장 불확실성 확대

국내 가상자산 거래소 1, 2위인 업비트와 빗썸이 잇따라 악재에 직면했다. 업비트는 대규모 해킹 피해로 보안 리스크가 부각됐고, 빗썸은 해외 거래소와 오더북 공유를 둘러싸고 금융당국의 고강도 조사에 맞닥뜨렸다. 업계에서는 업비트(두나무)와 빗썸이 각각 추진 중인 기업 결합과 상장(IPO) 계획에도 변수가 될 수 있다는 관측이 나온다.

30일 가상자산업계에 따르면, 업비트에서 27일 새벽 4시42분경 445억원 규모의 코인을 도둑맞는 사건이 발생했다. 금융감독원과 한국인터넷진흥원(KISA)은 즉각 현장 조사에 착수했다. 정부 당국은 해킹 패턴과 정황을 토대로 북한 정찰총국 산하 해킹조직 '라자루스'의 소행 가능성을 염두에 두고 조사 중인 것으로 알려졌다.

업비트 운영사 두나무는 일부 솔라나 네트워크 계열 디지털자산에서 비정상적인 출금 행위가 탐지됐다고 27일 낮 12시 33분에 공지했다. 솔라나 네트워크 계열 디지털자산은 블록체인 플랫폼 '솔라나'를 기반으로 발행된 토큰을 말한다.

구체적으로 시가총액 6위인 솔라나와 7위 USD코인(USDC)을 비롯해 오피셜트럼프(TRUMP), 펏지펭귄(PENGU), 오르카(ORCA) 등 24개 가상자산이 담긴 핫월렛(Hot Wallet)에서 비정상적인 출금이 감지됐다.

핫월렛(Hot Wallet)은 온라인 상태의 지갑을 의미하며, 인터넷이 연결된 상태에서 거래 정보를 주고받을 수 있다. 이와 반대되는 개념인 콜드월렛(Cold Wallet)은 오프라인 상태의 지갑으로 인터넷과 단절된 장치에 만들어진다.

박춘식 전 아주대 사이버보안학과 교수는 현장 조사를 해봐야 알 수 있다면서도 “가상자산 거래소에는 내부망도 많이 있다"며 “만약 서버가 해킹되면 전자지갑 정보나 고객 정보, 코인 정보 등 여러 정보를 해킹해서 코인을 탈취할 수 있다"고 말했다.

해커는 업비트의 핫월렛에서 코인을 빼돌린 뒤 수십 개 지갑으로 자산을 쪼개 전송하고 쪼개진 자금 일부는 허브 역할을 하는 중간 지갑에 다시 모았다. 빼돌린 코인을 솔라나와 이더리움으로 일원화해 현금화를 준비하고 있는 것으로 알려진다.

박춘식 전 교수는 “탈취한 코인을 여러 곳으로 쪼개서 보내고 섞는 등 자금을 세탁하는 여러 방법이 있다"며 “그걸 추적하는 방법도 있긴 하지만 결국은 찾기가 어렵다"고 설명했다.

라자루스가 배후로 지목되는 이유로 해킹 수법이 과거 사례와 비슷하다는 점이 꼽힌다. 라자루스는 2022년 '엑시 인피니티'의 사이드체인 '로닌'을 해킹할 때 다수의 핫월렛에서 자산을 빼돌린 뒤 특정 지갑으로 모으고, 다시 여러 지갑으로 분산하는 방식을 사용했다.

업비트는 6년 전 같은 날인 2019년 11월 27일에 이더리움 34만2000여개(당시 시세 580억원)를 도둑맞는 사건을 겪었는데, 5년 뒤 경찰청은 북한 해킹조직 라자루스와 안다리엘 소행이라고 발표했다.

당시 탈취된 가상자산 절반 이상은 공격자가 만든 것으로 추정되는 가상자산 교환사이트 3곳을 통해 시세보다 2.5% 싼 가격에 비트코인으로 바뀌었고, 나머지는 해외 51개 거래소로 분산 전송 후 자금을 세탁했다.

현장검사에 나선 금융당국은 말을 아끼고 있다. 금융감독원 관계자는 “현장 조사에 나선 건 맞다"면서 “해킹을 당했으니 내부 통제가 부족했던 점, 소비자 피해가 있는지 등을 보고 있다"고 말했다. 경찰청 국가수사본부 사이버테러수사대 또한 내사에 착수했다.

업비트는 “고객 자산에 어떤 피해도 발생하지 않도록 업비트 보유 자산으로 전액 보전할 예정"이라며 “나아가 모든 자산에 대해 더욱 강화된 보안 절차를 적용해 점검을 진행 중이다. 강화된 보안 체계를 바탕으로 안전한 서비스를 제공하기 위해 최선을 다하겠다"고 밝혔다.

빗썸은 전혀 다른 성격의 이슈로 규제당국의 압박을 받고 있다. 빗썸은 최근 호주 가상자산 거래소 스텔라(Stellar)와 진행해 온 스테이블코인 '테더(USDT)' 오더북(호가창) 공유를 전면 중단하기로 결정했다. 당초 빗썸은 글로벌 유동성 확대를 위해 지난 9월 스텔라와 오더북 연동을 추진해 왔다.

오더북 공유는 서로 다른 거래소의 매수·매도 주문 내역을 실시간으로 연동하는 방식이다. 빗썸 이용자가 올린 주문뿐만 아니라 제휴된 해외 거래소 이용자의 주문도 하나의 호가창에서 체결할 수 있다. 거래량이 부족한 신설 마켓에서 풍부한 유동성을 확보해 매수·매도 간 가격 차이를 줄이고 체결 속도를 높일 수 있다는 장점이 있다.

그러나 FIU가 지난달 1일부터 해당 건에 대해 현장 조사를 이어가면서 상황이 급변했다. FIU의 조사는 통상 1~2주가 일반적이지만, 이번 조사는 수차례 연장돼 이달 말까지 이어지고 있다. 금융당국은 해외 거래소와 오더북 공유를 자금세탁방지(AML) 우려에 따라 사실상 제한하고 있다. 해외 거래소가 국내 특정금융정보법 수준의 AML·고객신원확인(KYC) 체계를 갖추지 못할 가능성이 있기 때문이다.

특히 규제당국은 스테이블코인 테더 특성상 자금세탁 위험이 크다고 판단하고 있다. 테더는 가격 변동성이 낮아 자금이 동에 활용되기 쉽다. 반면 업계 일각에서는 “오더북 공유 자체는 글로벌 거래소 간 유동성 확보를 위한 일반적 협력 방식"이라는 의견도 제기된다.

업비트와 빗썸은 각각 보안 이슈와 규제 이슈라는 다른 성격의 도전에 직면했지만, 공통적으로는 사업 확장 국면에서 예상치 못한 리스크가 발생했다는 점에서 업계의 시선이 집중된다. 두나무는 네이버와 전략적 협력을 통해 기업 간 결합으로 시너지를 모색하던 중 해킹 사태를 맞았고, 빗썸은 내년 상반기 기업공개(IPO)를 목표로 하는데 금융당국의 현장 조사가 길어지면서 영향을 받을 가능성도 나온다.

가상자산 시장의 성장과 제도권 편입이 가속화되는 가운데, 대형 거래소들의 신뢰 확보는 필수 과제로 꼽힌다. 보안 강화와 리스크 관리 체계의 재정비가 시급하다는 지적이 나오는 이유다. 가상자산업계 관계자는 “국내 주요 거래소를 둘러싼 불확실성이 커지면 투자자 심리에도 영향을 줄 수 있다"며 “각 사가 위기 대응력을 입증해야 시장 신뢰가 유지될 것"이라고 말했다.

최태현 기자 cth@ekn.kr