일본이 피해액이 580억엔(약 5648억원)에 이르는 사상 최대 가상화폐 해킹 사건으로 혼란에 빠졌다. 코인체크는 가상화폐거래소 등록을 못 마친 '유사 사업자' 신분이면서도 유명 연예인을 동원해 TV 광고를 하며 투자자를 끌어모았다.
26만명 피해자는 투자금을 돌려받지 못할까 봐 발을 동동 구르고 있지만, 범인을 찾는 수사는 오리무중이다. 거래소 측의 부실 보안 관리 사실이 드러나며 비판이 쏟아진다.
일본 최대 가상화폐 거래소 중 하나인 코인체크는 27일 자정께 기자회견을 열고 “시스템에 공인받지 않은 외부인이 접속해 고객들이 맡겨둔 580억엔 상당의 NEM(뉴이코노미무브먼트) 코인을 가져갔다”며 가상화폐의 엔화 인출과 거래를 중단했다고 밝혔다.
코인체크는 28일 이번 해킹 피해자가 26만명에 달한다며 이들에 대한 보상액(피해액 중 거래소 보유분 등을 제외)이 460억엔(약 4480억원)이라고 밝혔다. 피해자에 대해서는 매매 정지 시 가격과 그 후 다른 거래소의 가격 등을 참고해 보상액을 정한 뒤 자사의 자기자본 등을 재원으로 보상하겠다고 밝혔다. 이 회사가 실제로 보상을 할 수 있는 자금력은 확인되지 않는다. 산케이신문은 코인체크가 보상 시기와 절차를 아직 정하지 못했다며 충분한 보상을 하지 못할 우려가 있으며 폐업할 가능성도 부정할 수 없다고 설명했다.
투자 피해자들은 도쿄 시부야에 있는 이 회사 사옥에 몰려가는 등 불안감을 감추지 못하고 있다. 사옥을 찾은 한 남성은 요미우리신문에 “TV 광고 등을 보고 코인체크를 신뢰했다”면서 “돈을 돌려받고 싶지만, 포기하고 싶다는 생각도 든다”며 자포자기 심경을 드러냈다.
일본 경찰은 전날 코인체크 담당자를 불러 도난 경위 등 수사에 착수했지만 온라인 상에서 벌어진 범죄인 만큼 범인의 행방을 쫓기는 쉽지 않아 보인다.
니혼게이자이신문은 고도의 기술을 가진 해커가 접속 흔적을 없애는 것은 가능한 일이라며 해킹한 사람을 특정하는 것은 쉽지 않을 전망이라고 설명했다.
가상화폐 정보사이트 코인마켓캡에 따르면 시가총액은 26일 사건이 일어난 뒤 한때 사건 전에 비해 10%나 줄었다. 시장규모가 사건 전 61조엔에서 55조엔으로 6조엔(약 58조4000억원)이나 축소됐다. 해킹 사건이 시장 전체를 뒤흔들 정도로 파급을 미쳤다.
미국 월스트리트저널(WSJ)은 “사이버 공격 위험을 감소시키기 위한 다각적인 노력에도 가상화폐 투자자가 얼마나 취약한 상황에 놓여 있는지를 보여주는 예가 될 것”이라고 지적했다.
일본 금융청은 27일 자국 내 모든 가상화폐 거래소 운영회사에 시스템을 재점검하라고 주의를 환기하는 문서를 보냈다.
이번 사건과 관련해 코인체크의 엉성한 보안 관리에 대해 비판이 쏟아진다. 코인체크는 가상화폐를 외부 네트워크와 접속한 채로 보관하고 있었던 것으로 알려졌다. 이 회사는 사건이 발생한 지 8시간이나 지나 해킹을 인지했고 공표까지도 반나절이 걸렸다.
일본은 지난해 4월 개정 자금결제법 시행으로 가상화폐 거래소가 금융당국에 등록을 해야 한다. 이 회사는 등록 절차를 완료하지 못하고 있다가 해킹을 당했다.
가상화폐 전문가인 노구치 유키오 와세다대 파이낸스연구센터 고문은 마이니치신문에 “거래소가 가상화폐 데이터를 외부에서 접근하지 못하도록 해야 한다는 것은 상식”이라면서 “현금수송차량이 현금을 강탈당했다고 해서 돈에 문제가 있다고 말할 수는 없다”고 말했다.
김인순 보안 전문기자 insoon@etnews.com