맨위로 가기
  • 공유 공유
  • 댓글 댓글
  • 추천 추천
  • 스크랩 스크랩
  • 인쇄 인쇄
  • 글자크기 글자크기
링크가 복사되었습니다.

[토큰포스트 칼럼] 위믹스 해킹에서 얻은 교훈

2025.03.19 (수) 16:39

4
3

위믹스 재단이 해킹으로 인해 90억 원 규모의 피해를 입었지만 공시가 늦어지면서 고객의 불안을 키웠고, DAXA는 위믹스를 거래 유의종목으로 지정해 재상장 폐지 우려까지 불거졌다. 이번 사건을 계기로 즉각적인 공시 및 대응 프로세스 정비, 해킹 피해 코인의 장물 처벌 및 환부를 위한 형법 개정 등 제도적 개선이 시급하다.

위믹스 Pte. Ltd 대표가 17일 경기도 성남 분당구 판교 한컴타워에서 열린 위믹스 가상화폐 해킹 피해 관련 긴급 간담회에서 발언하고 있다. (성남=연합뉴스 김인철 기자)

2월 28일 해킹으로 인해 90억 원에 달하는 위믹스 850만 개 이상이 탈취되었다. 위믹스 재단은 즉시 해외 거래소에 계좌 동결을 요청하고 서울경찰청 사이버수사과에 고소하는 등 적정한 절차를 따른 것으로 보인다.

다만, 재단은 3월 4일에서야 해킹 사실을 공지했다. 당일 DAXA는 위믹스를 거래 유의종목으로 지정했다. 이에 따라 국내 원화마켓 거래소에서 위믹스가 또 상폐될 거라며 고객들이 우려하고 있다.

이미 위믹스는 2022년에도 공시 물량 착오로 상장폐지를 당한 바 있다. 다만, 얼마 후 업비트를 제외한 나머지 거래소에 위믹스가 다시 상장되었다.

이번 해킹 사건에서 위믹스 재단은 키 관리를 소홀히 한 점과 4일이나 늦게 공시한 두 가지의 과오를 범했다. 재단은 “투자자들의 패닉 현상 등 야기될 부정적인 우려와 추가 위험 가능성이 없다고 보기 어려워 즉각 공지를 하기 어려웠다”고 발표했다.

그렇지만 언제 공시하더라도 패닉 현상은 피하기 어렵다. 어차피 맞을 매라면 빨리 맞는 게 낫다. 오히려 재단은 해킹 사실을 고객에게 바로 알리고 적절한 조치를 취해 더 이상 인출 등 피해가 없다며 고객이 안심하게 했어야 한다.

다행스러운 건 당일 재단이 모니터링을 통해 해킹 사실을 먼저 확인하고 즉시 조치를 취했다는 점이다. 제3자가 그 해킹 사실을 발표했다면 재단은 훨씬 더 큰 타격을 받았을 것이다. 그런데 4일 동안 제3자가 해킹 사실을 알릴 수 있는 여지를 준 건 재단의 큰 실책이다.

또한 공시를 즉시 해야 하는 이유는 많은 사람들이 협력해야 장물의 확산을 차단할 수 있기 때문이다. 그래서 재단은 관련 지갑 주소를 함께 공시해야 한다. 이게 케르코프스(Kerckhoffs)의 원칙에 맞다.

1883년 네덜란드의 암호학자이자 언어학자인 케르코프스는 정보를 투명하게 공개하는 게 그렇지 않을 때보다 더 안전하다는 원칙을 발표했다. 암호화폐에서도 이 원칙이 유효하다.

DAXA가 불성실 공시를 근거로 위믹스를 거래 유의종목으로 지정한 것은 충분히 납득할 수 있다. 유의종목 지정은 재단에 충분한 경고가 되었을 것이다. 그렇지만 불성실 공시를 근거로 상장폐지를 고려하는 건 재고해 볼 필요가 있다.

2022년 로닌 브릿지에서 173,600개의 이더리움, 2025년에 바이빗 거래소에서 401,000 이더리움이 탈취되었다. 금액으로 따지면 로닌 브릿지는 6억 달러, 바이빗은 15억 달러의 피해를 입었다. 그렇다고 해서 해킹을 당한 이더리움을 상장폐지 한 거래소는 없다.

2016년에 DAO 토큰은 해킹 발생 후 바로 상장폐지 되었다. 당시 이 DAO에는 1,150만 이더리움 가운데 360만 개가 탈취되어 고객 피해가 컸다. 그래서 고객의 피해를 줄이려고 “코드는 법(Code Is Law)”라는 원칙을 주장하는 이더리움 클래식과 결별하는 극단적인 방법을 썼다. 여기서 가장 중요하게 고려된 게 고객의 피해를 줄이는 것이었다.

그 효과가 어느 정도일 지 모르지만 재단이 200억원에 상당하는 위믹스를 매입하겠다고 했다. 이것도 고객의 피해를 줄이려는 재단의 고육지책으로 보인다.

이번에 해킹 당한 물량은 전적으로 재단 비축 물량이다. 따라서 그 피해는 전적으로 재단의 손실이다. DAXA가 상장폐지 결정을 4월로 넘겼지만 위믹스를 상장폐지하면 고객의 피해는 걷잡을 수 없이 커진다. 고객이 우려하는 게 바로 그 지점이다.

이번 해킹을 처리하는 과정에서 몇 가지 교훈을 얻었다. 첫째, 해킹이 발생했을 때 재단은 즉시 그 사실을 공시하고 미리 정해진 절차를 따라 처치해야 한다. 향후 거래소는 재단이 관련 프로세스를 잘 마련했는지 살필 필요가 있다.

둘째, 해킹된 코인의 유통, 보관 등을 장물에 관한 범죄로 처벌하고 피해자에게 환부할 수 있게 형법 및 형사소송법 개정이 필요하다. 2021년 한국 경찰청은 국내 거래소에서 탈취한 45억 원 상당의 코인을 중남미 거래소에서 환수한 바 있으나 법률 미비로 많은 어려움을 겪은 바 있다.

<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>

광고문의 기사제보 보도자료

많이 본 기사

관련된 다른 기사

댓글

4

추천

3

스크랩

Scrap

데일리 스탬프

0

매일 스탬프를 찍을 수 있어요!

데일리 스탬프를 찍은 회원이 없습니다.
첫 스탬프를 찍어 보세요!

댓글 4

댓글 문구 추천

좋은기사 감사해요 후속기사 원해요 탁월한 분석이에요

0/1000

댓글 문구 추천

좋은기사 감사해요 후속기사 원해요 탁월한 분석이에요

흰토끼를따라가라

2025.03.19 18:15:05

후속기사 원해요

답글달기

0

0
0

이전 답글 더보기

흰토끼를따라가라

2025.03.19 18:15:04

후속기사 원해요

답글달기

0

0
0

이전 답글 더보기

흰토끼를따라가라

2025.03.19 18:15:03

좋은기사 감사해요

답글달기

0

0
0

이전 답글 더보기

위당당

2025.03.19 18:03:43

좋은기사 감사해요

답글달기

0

0
0

이전 답글 더보기

1