지난달 19일 한국의 주요 가상화폐 거래소 중 하나인 빗썸에서 350억 원 규모의 가상화폐가 탈취당했다. 빗썸 관계자는 회원들의 자산 피해가 없을 것이라며 진화에 나섰지만, 이용자들의 불안감은 쉽게 사그라지지 않았다. 빗썸 해킹은 벌써 3번째 발생하는 국내 가상화폐 거래소 해킹이기 때문이다. 같은 달 10일 코인레일은 400억 원에 달하는 코인을 도난당했고, 지난해 4월 야피존에서는 총자산의 37%에 해당하는 55억 원이 탈취됐다.
거래소 해킹은 국내에서만 발생하는 일이 아니다. 시장조사업체 오토노머스리서치에 따르면 2011년부터 전 세계 가상화폐 거래소와 가상화폐공개(ICO) 등을 겨냥한 해킹 공격이 56건이나 있었고 이로 인해 총 16억3000만 달러(약 1조8381억 원)의 손해가 발생했다. 2014년 일본의 마운트곡스는 해킹으로 480억 엔 가량을 도난당했고 결국 청산절차를 밟다가 지난달 기업 회생절차로 전환됐다. 대부분의 해킹 시도는 아시아에서 이뤄졌으며 올해 들어 8억 달러가 넘는 가상화폐가 도난당했다.
WSJ는 해킹이 늘어나는 이유가 암호 보안의 취약성과 플랫폼에 대한 느슨한 규제에 있다고 설명했다. 거래를 지원할 뿐 유가 증권을 직접 보유하지 않는 증권 거래소와 달리 가상화폐 거래소들은 거래 수수료를 받으며 사용자들의 현금을 저장해둔다. 따라서 거래소를 해킹해 돈을 버는 일이 누워서 떡 먹기인 것이다. 사이버보안 회사인 BLAKFX의 로버트 스태티카 사장은 “가상화폐는 해커들이 침입하기 쉬우며 최소한의 노력으로 최대한의 수익을 낼 수 있는 수단”이라고 말했다. 가상화폐 스타트업인 레이더릴레이의 앨런 커티스 최고경영자(CEO)는 “믿을 수 없을 정도로 공격에 취약한 기술들”이라고 표현했다.
특히 한국은 가상화폐 시장이 단기간에 급성장했기 때문에 해커들의 표적이 되기 쉽다. 올해 초 21개 거래소를 대상으로 한 정부 감사 결과 정부가 제시한 기준 85개를 모두 충족하는 거래소는 한 곳도 없었다. 그러나 기준 미달에 따른 처벌 규정은 없다. 킴벌리 그라우어 체인널리시스 선임연구원은 “간단히 말하면 표적이 많이 널려있는 것”이라며 “한국의 일부 거래소는 성장과 동시에 적절한 보안 수준을 갖추지 못했다”고 경고했다. 사이버보안 회사인 크롤의 스테이시 스콧 상무이사는 “한국의 규제 격차는 거래소들이 보안 노력을 강화하는데 덜 신경 쓰게 만든다”고 지적했다.