2월 28일 해킹으로 인해 90억 원에 달하는 위믹스 850만 개 이상이 탈취되었다. 위믹스 재단은 즉시 해외 거래소에 계좌 동결을 요청하고 서울경찰청 사이버수사과에 고소하는 등 적정한 절차를 따른 것으로 보인다.
다만, 재단은 3월 4일에서야 해킹 사실을 공지했다. 당일 DAXA는 위믹스를 거래 유의종목으로 지정했다. 이에 따라 국내 원화마켓 거래소에서 위믹스가 또 상폐될 거라며 고객들이 우려하고 있다.
이미 위믹스는 2022년에도 공시 물량 착오로 상장폐지를 당한 바 있다. 다만, 얼마 후 업비트를 제외한 나머지 거래소에 위믹스가 다시 상장되었다.
이번 해킹 사건에서 위믹스 재단은 키 관리를 소홀히 한 점과 4일이나 늦게 공시한 두 가지의 과오를 범했다. 재단은 “투자자들의 패닉 현상 등 야기될 부정적인 우려와 추가 위험 가능성이 없다고 보기 어려워 즉각 공지를 하기 어려웠다”고 발표했다.
그렇지만 언제 공시하더라도 패닉 현상은 피하기 어렵다. 어차피 맞을 매라면 빨리 맞는 게 낫다. 오히려 재단은 해킹 사실을 고객에게 바로 알리고 적절한 조치를 취해 더 이상 인출 등 피해가 없다며 고객이 안심하게 했어야 한다.
다행스러운 건 당일 재단이 모니터링을 통해 해킹 사실을 먼저 확인하고 즉시 조치를 취했다는 점이다. 제3자가 그 해킹 사실을 발표했다면 재단은 훨씬 더 큰 타격을 받았을 것이다. 그런데 4일 동안 제3자가 해킹 사실을 알릴 수 있는 여지를 준 건 재단의 큰 실책이다.
또한 공시를 즉시 해야 하는 이유는 많은 사람들이 협력해야 장물의 확산을 차단할 수 있기 때문이다. 그래서 재단은 관련 지갑 주소를 함께 공시해야 한다. 이게 케르코프스(Kerckhoffs)의 원칙에 맞다.
1883년 네덜란드의 암호학자이자 언어학자인 케르코프스는 정보를 투명하게 공개하는 게 그렇지 않을 때보다 더 안전하다는 원칙을 발표했다. 암호화폐에서도 이 원칙이 유효하다.
DAXA가 불성실 공시를 근거로 위믹스를 거래 유의종목으로 지정한 것은 충분히 납득할 수 있다. 유의종목 지정은 재단에 충분한 경고가 되었을 것이다. 그렇지만 불성실 공시를 근거로 상장폐지를 고려하는 건 재고해 볼 필요가 있다.
2022년 로닌 브릿지에서 173,600개의 이더리움, 2025년에 바이빗 거래소에서 401,000 이더리움이 탈취되었다. 금액으로 따지면 로닌 브릿지는 6억 달러, 바이빗은 15억 달러의 피해를 입었다. 그렇다고 해서 해킹을 당한 이더리움을 상장폐지 한 거래소는 없다.
2016년에 DAO 토큰은 해킹 발생 후 바로 상장폐지 되었다. 당시 이 DAO에는 1,150만 이더리움 가운데 360만 개가 탈취되어 고객 피해가 컸다. 그래서 고객의 피해를 줄이려고 “코드는 법(Code Is Law)”라는 원칙을 주장하는 이더리움 클래식과 결별하는 극단적인 방법을 썼다. 여기서 가장 중요하게 고려된 게 고객의 피해를 줄이는 것이었다.
그 효과가 어느 정도일 지 모르지만 재단이 200억원에 상당하는 위믹스를 매입하겠다고 했다. 이것도 고객의 피해를 줄이려는 재단의 고육지책으로 보인다.
이번에 해킹 당한 물량은 전적으로 재단 비축 물량이다. 따라서 그 피해는 전적으로 재단의 손실이다. DAXA가 상장폐지 결정을 4월로 넘겼지만 위믹스를 상장폐지하면 고객의 피해는 걷잡을 수 없이 커진다. 고객이 우려하는 게 바로 그 지점이다.
이번 해킹을 처리하는 과정에서 몇 가지 교훈을 얻었다. 첫째, 해킹이 발생했을 때 재단은 즉시 그 사실을 공시하고 미리 정해진 절차를 따라 처치해야 한다. 향후 거래소는 재단이 관련 프로세스를 잘 마련했는지 살필 필요가 있다.
둘째, 해킹된 코인의 유통, 보관 등을 장물에 관한 범죄로 처벌하고 피해자에게 환부할 수 있게 형법 및 형사소송법 개정이 필요하다. 2021년 한국 경찰청은 국내 거래소에서 탈취한 45억 원 상당의 코인을 중남미 거래소에서 환수한 바 있으나 법률 미비로 많은 어려움을 겪은 바 있다.