19일 국내 가상화폐 거래소 유빗이 해킹 피해를 입어 파산 절차를 밟는다는 소식이 전해진 가운데, 3년 전 일본에서 발생한 대형 가상화폐 거래소 해킹 사건이 다시 회자되고 있다. 전문가들은 가상화폐 시장에 국경이 없는 만큼 한국도 보안 이슈에서 자유로울 수 없다며 투자 주의를 당부했다.
일본 가상화폐 거래소 ‘마운트곡스(Mt. Gox)’는 한때 세계 최대 비트코인 거래소로 명성이 자자했다. 2013년 중반까지만 해도 전세계 비트코인 거래의 절반 이상을 마운트곡스가 담당할 정도였다.
그러나 재앙은 2014년 2월 불쑥 찾아왔다. 마크 카펠레스 마운트곡스 최고경영자(CEO)가 “고객이 맡겨둔 75만 비트코인과 회사 소유의 10만 비트코인 등 총 85만 비트코인을 해킹 공격으로 잃어버렸다”며 느닷없이 일본 법원에 파산을 신청한 것이다.
당시 85만 비트코인은 전체 비트코인 발행량의 약 7%, 현금으로 치면 5억달러(약 5400억원)에 이르는 규모였다. 시세가 2200만원까지 오른 2017년 12월 현재 기준으로 보면 18조7000억원이 하루 아침에 증발한 셈이다.
카펠레스 CEO는 “초당 15만건의 쿼리(query)를 보내는 디도스(DDos·분산서비스거부) 공격으로 며칠 동안 웹사이트가 마비됐고, 그 틈을 타 해커들이 비트코인을 훔쳐갔다”고 주장했다. 반면 해커들은 “카펠레스 CEO가 거짓말을 하고 있다”고 맞받아쳤다.
일각에선 카펠레스 CEO가 고객 돈을 노리고 자작극을 벌인 것일 수도 있다는 주장이 제기되기도 했다. 이들은 “마운트곡스가 2013년 말부터 고객 응대를 소극적으로 했고, 가상통화를 현금으로 바꾸려 해도 쉽게 인출되지 않았다”며 “수상하다고 느낀 투자자가 많다”고 주장했다.
이런 공방이 이어지는 사이 2013년 1000달러를 돌파했던 비트코인은 300달러선까지 급락했다. 큰 손실을 입은 투자자들은 연일 마운트곡스 건물 앞에서 항의 시위를 이어나갔다. 상당수 투자자는 마운트곡스를 상대로 개인 또는 단체 소송을 걸었다.
수사에 착수한 일본 경시청은 카펠레스 CEO가 거래 시스템을 조작해 자신의 달러화 계좌 잔고를 부풀리고 고객이 맡긴 돈을 개인 계좌로 송금한 혐의 등을 찾아내 2015년 8월 그를 체포했다.
마운트곡스뿐 아니라 민트팔, 크립시 등 해외 유명 거래소들도 해킹 피해를 입은 후 파산했다. 최근에는 슬로베니아의 가상화폐 채굴장터 나이스해시(NiceHash)가 해커 공격을 당해 6400만달러(약 694억원) 상당의 비트코인이 사라지기도 했다.
보안전문업체 A10네트웍스의 리 첸 CEO는 “가상화폐와 같은 신(新)문물이 이끄는 디지털 혁명은 해커 집단에 좋은 동기부여를 제공한다”며 “앞으로 대규모 해킹 사례가 더 자주 발생할 수 있다”고 경고했다.
마운트곡스 파산 후 일본 정부는 가상화폐 거래소 인가제를 도입하고 ▲해킹 방지시설 마련 ▲컴퓨터 용량 확보(서버 마비 대비) ▲고객 신원 확인(소유자 추적해 불법적 사용 차단) ▲자금세탁방지 시스템 등 4가지를 갖추도록 했다.