"피해액만 3조"···지금 블록체인은 해킹과의 전쟁 중

세계 최대 NFT(대체불가능토큰) 거래소 오픈씨에서 해킹 피해 사태가 나타났다. 최근 블록체인과 NFT 시장이 빠르게 성장하고 있지만, 이를 노리는 사이버 공격 사례도 늘어나면서 투자자들의 주의가 요구된다.

22일 외신 등 업계에 따르면 오픈씨는 지난 19일 발생한 피싱 공격으로 인해 32명의 사용자가 총 254개의 NFT를 도난당했다. 도난된 NFT 중에는 '지루한 원숭이 요트클럽(BAYC)', '아즈키' 등 유명 NFT가 포함됐으며 금액만 20억원에 달하는 것으로 알려졌다.

오픈씨는 NFT 시장 점유율 80% 이상을 점유한 세계 최대 거래소다. 지난 2020년 거래액은 1억 달러 수준이었지만, 올해 1월 기준 거래액만 58억 달러(한화 6조9500억원)에 달한다.

오픈씨에 따르면 이번 사고는 플랫폼 자체의 해킹이 아닌 '피싱' 사건이다. 피해자들이 '악성 페이로드(피해를 입히기 위해 만든 피싱 이메일, 웹사이트)'에 서명했고, 해커들이 이를 통해 NFT 자산을 빼돌린 것이다. 구체적으론 피해자들이 백지수표에 서명을 하면 공격자가 남은 빈칸을 채워 소유권을 이전하는 방식이다.

국내 디파이 서비스 '클레이스왑'에서도 최근 해킹 사례가 있었다. 지난 3일 클레이스왑 사이트에서 약 1시간 동안 코인이 새로 생성된 지갑 주소로 흘러 들어가는 사고가 발생했다. 피해 규모는 약 22억원 수준이다.

클레이스왑에 따르면 당시 공격자는 클레이스왑에 접근 시 정상파일 대신 악성코드 파일을 다운로드 하도록 변경했다. 이를 통해 사용자가 클레이스왑에서 거래를 실행하면 클레이스왑이 아닌 공격자의 지갑으로 가상자산이 전송되는 방식이다.

클레이스왑의 개발사인 오지스는 "이번 사고로 발생한 피해를 최소화하기 위해 보상안을 마련할 계획"이라며 "각각의 트랜잭션들을 조회해 관련 보상 지급을 준비할 예정"이라고 밝혔다.

최근 가상자산 시장이 급격하게 성장하면서 해킹을 비롯해 스미싱, 피싱 등 관련 범죄의 사례도 큰 폭으로 증가하고 있다. 블록체인 데이터 플랫폼 기업 체이널리시스가 최근 발표한 '2022 가상자산 범죄보고서'에 따르면 지난해 가상자산 피해 금액은 140억 달러(16조7020억원)로 사상 최고치를 경신했다.

국내 가상자산 범죄 피해액도 지난해 3조원을 넘어섰다. 경찰청 조사에 따르면 지난해 가상자산 사기 피해액은 3조1282억원으로 집계됐다. 전년(2020년) 2136억원 보다 약 15배나 급증했다.

경찰청과 금융당국은 해킹 및 사기 피해를 최소화하고, 투자자들에게 유의점과 주의를 당부하고 있다. 거래소가 신고된 곳인지 금융정보분석원을 통해 알아보고 투자원금 대비 고수익을 보장한다는 안내에 대해서도 주의할 것을 요청하고 있다. 다만 가상자산은 아직까지 법으로 정한 화폐·금융투자상품이 아니기 때문에 투자자 보호에 한계가 있는 것도 사실이다.

가상자산 거래소들은 최근 투자자 보호 장치 마련을 위해 속도를 내고 있다.

코인원은 지난 14일 '이용자 보호 전담부서'를 신설하고 투자자 보호 정책 고도화에 나섰다. 이용자 보호 전담부서는 ▲이상거래, 클라이언트 해킹, 금융사고 등에 대한 처리 ▲수사기관 대응 ▲채권추심 압류 및 해제 등 공공기관 대응 ▲고객 민원 등 대내외 이용자 보호 업무를 수행한다.

빗썸은 지난달 고객지원센터와 서비스부문 운영센터 산하에 고객지원 파트, 모니터링 파트, 운영지원 파트를 통합해 투자자보호실을 구축했다.

업비트는 지난해 12월 28일 100억원을 투자해 투자자보호센터를 설립했다. ▲투자자보호 ▲디지털 자산 교육 ▲업비트케어 등 세가지 분야에서 입체적인 투자자보호 서비스를 제공한다. 가상자산 관련 투자 사기 유형과 예방, 대응 방법과 교육, 벌률상담 지원 등 업무를 맡는다.

코빗의 경우 리스크관리부서와 고객관리(CS)부서가 투자자보호 기능을 맡고 있다. 또 지난해 말 리서치센터를 출범해 가상자산 시장과 블록체인 업계 관련 리포트를 제공하고 있으며, 교육용 보이스피싱 방지 앱 '피싱방지24'를 출시해 투자자들에게 피싱 예방법을 알리고 있다.