지난 2018년 6월20일 국내 1위 가상화폐거래소 빗썸이 해킹으로 350억원 상당의 가상화폐를 도난당했으며, 6월10일에는 코인레일이 400억원 어치의 가상화폐를 도난당했다. 2017년 12월에는 가상화폐거래소 유빗이 해킹 공격으로 170억원 상당의 가상화폐가 유출되는 피해를 입어 파산했다.
비트코인으로 대표되는 가상화폐는 2008년 나카모토 사토시가 발표한 “비트코인: P2P 전자화폐시스템‘ 논문에 기초하고 있다. 이 논문의 핵심은 P2P 전자거래 및 상호작용, 금융기관의 필요성 상실, 암호학적 증명으로 중앙의 신용기관 대체, 중앙 기관 개입 없이 분산된 네트워크 자체가 신뢰 인증문제 해결 등으로 요약될 수 있다. 이와 같이 가상화폐에는 중앙집권적 금융기관이 존재하지 않기 때문에 정보기관과 수사기관이 가상화폐를 이용한 불법테러자금의 탐지, 혐의자의 식별, 거래 기록의 확보 등을 실행하기가 곤란하다. 비트코인을 이용한 거래는 P2P 네트워크를 통해 그 사용자의 IP 주소를 알아낼 수도 있지만 그 주소가 누구에서 속하는지 알 수 없으며 사용자가 그 주소를 무제한 생산할 수도 있기 때문에 익명성이 담보될 수 있다. 따라서 테러리스트, 마약사범, 조직범죄집단 등은 비트코인을 활용해 불법자금의 모집·이전·거래는 물론 자금세탁 등을 시도하고 있다. 이들은 또한 국제적으로 용이하게 활용할 수 있다는 점에서 비트코인을 적극적으로 이용하고 있다. 미국에서는 가상화폐 사용 거래사이트인 Liberty Reserve를 통해 마약거래 자금 등 범죄수익금 60억달러 이상이 자금세탁된 것으로 추정하고 있다. 2018년 1월 우리나라에서도 시가 13억원에 이르는 마약 사범들이 적발됐는데, 이들은 ‘딥 웹 사이트’를 통해 비대면으로 마약을 구매·판매했고 대금은 가상화폐를 통해 지급한 것으로 밝혀졌다.
비트코인 등 가상화폐는 각종 불법적 행위에 활용되고 있는 동시에 가상화폐 자체가 해킹 위협에 노출돼 있다. 특히 비트코인 등 가상화폐 거래소는 보안상의 이유로 가상화폐 보유분의 70~80%는 인터넷이 연결되지 않는 별도의 서버(Cold Wallet)에 보관하고 나머지 20~30%는 가상화폐 매도와 매수 요청에 즉시적으로 대응하기 위해 인터넷에 연결된 서버(Hot Wallet)에 보관하고 있다. 이와 같이 인터넷에 연결된 거래소의 서버는 해킹 공격에 매우 취약하다. 이번 빗썸 공격의 경우 직원 PC해킹을 통해 인터넷에 연결된 서버의 비밀정보를 파악한 뒤 가상화폐를 탈취한 것으로 보인다. 한편 비트코인에 대한 지급보호 장치가 없는 경우가 대부분이기 때문에 거래소가 해킹되는 경우 피해자들은 배상받기가 매우 곤란하다. 해커들이 2014년 2월 비트코인으로 결제하는 미국의 실크로드라는 거래사이트의 계좌에 예치돼 있던 4400비트코인을 해킹해 절취했음에도 그 이용자들은 자신들의 비트코인을 전혀 배상받지 못했다.
따라서 비트코인으로 대표되는 가상화폐가 테러, 조직범죄, 마약범죄 및 자금세탁에 활용되지 못하도록 하는 정책과 해킹으로부터 가상화폐를 보호할 수 있는 기술적 조치에 대한 규제가 도입돼야 한다. 우선 ‘범죄수익은닉의 규제 및 처벌에 관한 법률’을 개정해 비트코인 등 가상화폐거래소에 대해 거래의 상대방을 확인하도록 하는 의무를 부과하는 방법을 고려할 필요가 있다. 또한 비트코인 등 가상화폐를 매매ㆍ거래ㆍ중개ㆍ발행ㆍ관리하는 자들에 대해 금융당국에 등록하도록 하고, 자신들이 구축ㆍ운영하는 시스템에 대해 해킹 등에 대응하기 위한 기술적ㆍ물리적ㆍ관리적 보안대책을 수립하도록 규제해야 할 것이다.
※ 이 글은 어떠한 기관, 조직이나 단체의 입장이나 의견과는 관련 없는 순수한 개인적 견해임을 밝힙니다.
