가상자산거래소 보유 코인을 노린 해킹 범죄가 확산하는 가운데, 소비자의 예치자산 보호를 위한 보험이나 공제, 준비금 적립 등을 비롯한 대응 체계 필요성이 대두되고 있다. 지난해 발의된 디지털자산 기본법(업권법)에는 사업자에게 이를 의무화한 규정이 이미 존재하지만 국회 통과 논의가 지지부진한 상황에서 규제 공백 리스크가 커지고 있다는 지적이 나온다.

국내 코인마켓거래소 지닥은 최근 발생한 해킹 피해와 관련, 12일 “지닥에 보유하고 있는 회원의 일체 자산은 100% 전액 충당된다”며 “다만 입출금 서비스의 충분한 안전성 확보를 위해 입출금 재개까지 약 2주 정도 소요될 것으로 예상된다”고 밝혔다.

지닥은 지난 9일 오전 7시경 핫월렛에서 해킹 범죄가 발생해 전체 보유자산의 23% 상당 코인을 탈취당했다. 피해자산은 비트코인·이더리움·위믹스 등이며 총 피해액은 약 200억원 규모로 추산됐다. 이 중 위믹스의 비중이 85%(약 170억원 상당)에 달하는 것으로 집계됐다. 탈취된 코인 물량은 대부분은 아직 자금세탁을 통한 현금화가 이뤄지지 않은 것으로 온체인 데이터를 통해 분석되고 있다.

다만 해킹 피해 자산의 회수 및 보전 방식에 대해서는 알려지지 않았다. 지닥 측은 탈취범 특정에 방해가 될 수 있다는 점을 들어 해킹 경위와 조사 관련 사항에 대해서는 비공개를 원칙으로 하고 있다. 피해자산 대부분이 위믹스에 집중돼 있는 점을 고려할 때 발행사 위메이드의 협력을 구한 것으로 분석되고 있다.

제도권 금융기관에 예치된 자산과 달리, 가상자산은 탈중앙화 시스템을 기본으로 설계됐기 때문에 탈취된 비트코인이나 이더리움의 회수가 통상 매우 어렵다. 해커들은 탈취한 가상자산을 수백조각을 쪼개 다수의 신원미상 지갑주소로 전송하고, 이를 제3국에서 자금세탁해 현금화하는 방식으로 추적을 피하기 때문이다. 앞서 해킹으로 인해 가상자산을 탈취당한 거래소들은 보유한 여유자산으로 우선 이용자들의 피해를 보상하고, 사법기관 협조를 통해 장기적으로 회수를 타진하는 방안을 고려해왔다. 만약 거래소의 충당금이 충분하지 않다면 고객 피해를 보상할 방안도 요원한 것이다.

이와 같은 해킹 리스크를 보완할 수 있는 방안으로 '크립토보험' 도입 논의가 진행되고 있지만 아직까지 국내에서 해당 상품에 가입한 거래소는 없는 것으로 나타났다. 보험상품은 과거 데이터를 기반으로 위험을 평가해 손해율과 보험료를 산정해야 하는데, 가상자산 특화 보험은 충분한 데이터가 아직 확보되지 않았고 수요기업의 숫자가 적어 상품성이 높지 않아 보험사들이 개발이 꺼리기 때문이다. 가상자산 자체의 가격 변동성이 크기 때문에 상품의 설계 난이도가 높다는 점도 문제다.

외국의 경우 가상자산결제 플랫폼 크립토닷컴이 지난 2019년 1억달러 규모 가상자산 분실 보험에 가입해 주목받은 바 있다. 현재 외국 보험사 중에서는 엠브로커(EMVROKER)사가 '상업용 블록체인 및 가상자산 보험'을 통해 임직원에 의한 횡령이나 사이버범죄, 근로자보상, 기업의 요청 시 '독점 상품'에 이르기까지 보험 라인업을 갖추고 있다. 국내 일부 보험사는 직접 상품을 개발하는 대신 이와 같은 해외 크립토보험을 유통하는 방식으로 국내 도입하는 방안을 검토 중이다.

이형두기자 dudu@etnews.com