(오르빗 브릿지 해킹③)"가상자산 이용자 보호법 '사각지대' 메워야"

7월 가상자산 이용자 보호법 시행
사업자 해킹 피해 예방 조치 강제

입력 : 2024-03-14 오후 5:30:39
[뉴스토마토 이범종·배덕훈 기자] 오지스의 '오르빗 브릿지' 사태 등 가상자산 업계를 둘러싸고 해킹 사건이 끊이지 않자, 가상자산 투자자를 보호할 더욱 촘촘한 법 체계가 필요하다는 의견이 나옵니다. 특히 올해 7월 '가상자산 이용자 보호 등에 관한 법률(가상자산 이용자 보호법)' 시행이 예고됐지만 적용되는 대상은 대부분 거래소로, 오지스 같은 그 밖의 가상자산 사업자 관리에 '허점'이 있다는 비판입니다.
 
14일 가상자산 업계에 따르면 오는 7월19일부터 '가상자산 이용자 보호법'이 시행됩니다. 이 법은 가상자산 사업자 요건을 매매·교환·이전·보관·관리 행위 등으로 적시하고 해킹 피해 등에 대한 예방조치를 강제합니다. 이 법의 가상자산 사업자 요건은 앞서 시행 중인 '특정 금융거래정보의 보고 및 이용 등에 관한 법률(특금법)'에서의 요건과 동일합니다. 
 
서울 여의도 오지스 사무실. (사진=이범종 기자)
 
때문에 특금법은 물론 가상자산 이용자 보호법의 규제 대상 사업자 역시 대부분 거래소가 됩니다. 최근 1000억원대 해킹 피해를 낳은 오지스는 해당되지 않는 것인데요. 금융위원회 금융정보분석원에 따르면 오지스는 가상자산 사업자 신고 목록에 없습니다. 이날까지 등록한 가상자산 사업자는 37곳으로 대부분이 업비트 등 거래소입니다.
 
홍기훈 홍익대 경영학과 교수는 "특금법상 가상자산 사업자는 코인을 중계해주는 곳을 말한다"라며 "남의 코인을 위탁해 운용한다거나 중계를 하면 위험이 발생하는데, 특금법의 기본은 실명제이지 소비자 보호가 아니다"라고 지적했습니다.
 
결국 가상자산 거래가 일어나는 곳을 법령 상 규제·관리한다는 의미인데, 이번에 해킹 피해가 발생한 오지스의 '오르빗 브릿지'는 이에 해당하지 않는다는 겁니다. 
 
실제로 금융감독원이 특금법에 따라 만든 '가상자산사업자 신고 매뉴얼'을 봐도 사업자가 개인 암호키에 대한 독립적인 통제권을 갖지 않을 경우는 신고 예외 사유로 규정하고 있습니다. 오지스 역시 자사가 오르빗 브릿지 내 토큰 전환 서비스를 할 뿐, 개인 암호키에 대한 독립적인 통제권이 없다고 강조합니다.
 
다만 법조계 일각에서는 오지스가 가상자산 이용자 보호법 규제 대상이 될 수 있다는 관측도 나오는데요. 강지현 리율 법률사무소 대표 변호사는 "오지스는 브릿지 기능을 제공하면서 여러 코인을 보관·관리하고 있는 것으로 보인다"며 "오르빗이 보관하는 가상자산이 어떤 성격인지에 따라 가상자산 사업자 해당 여부가 결정될 것 같다"고 말했습니다. 홍 교수 역시 원론적으로는 "가상자산 이용자 보호법이 이런 업체를 포괄해야 정상"이라며 "오지스가 범주에 들어가려면 시행령도 필요하고 여러가지 조율을 통해야 한다"는 점을 짚었습니다. 
 
가상자산 사업자 해당 여부 '모호'…제2 오지스 사태 발생 우려
 
이러한 제도적 장치 미비로 제2의 오지스 사태가 발생할 가능성도 농후합니다. 자산을 보관하는 지갑의 경우 통상 온라인에 연결돼 실시간으로 거래할 수 있는 지갑은 '핫월렛', 오프라인 상태로 거래를 하려면 별도의 절차를 거쳐야 하는 지갑을 '콜드월렛'으로 분류됩니다.
 
정부는 보안성 강화를 위해 거래소에 고객이 예치한 자산의 70% 이상을 콜드월렛에 넣어 안전하게 보관할 것을 권고하고 있는데요. 
 
문제는 이번 해킹이 발생한 오르빗 브릿지는 거래소가 아니기에 이에 해당하지 않는다는 점입니다. 오지스 측은 'o자산'이 발급되고 소멸되는 전 과정은 밸리데이터(무결성 검증인)들이 합의한 대로 진행되는 '스마트 컨트랙트' 방식으로 묶어 놓기 때문에 '핫월렛' 방식에 속하지 않는다고 설명하고 있는데요. 
 
반면 전문가들은 오르빗 브릿지가 원본 자산을 실시간으로 다루기 떄문에 일종의 핫월렛에 속한다고 보고 있습니다. 자산이 온라인에 모여있으니 해킹으로 털린 것 아니냐는 겁니다.
 
강장묵 동국대 국제정보보호대학원 교수는 "볼트(금고)에 락킹된 이더리움 등이 다른 주소지로 이동할 수 있도록 돼 있는데, 공격자는 스마트 컨트랙트 자체를 우회해버리고 락을 풀어버린 뒤 자산을 가져가 버린 경우 등을 추정할 수 있다"고 말했습니다.
 
홍기훈 홍익대 경영학과 교수는 "중간에 복잡한 절차를 끼워놓지만, 결국엔 핫월렛이라는 소리"라며 "해킹이 됐다는 게 팩트이고 바뀌지 않는 사실"이라고 지적했습니다.
 
이어 "보안수칙을 제대로 지켰을 확률이 낮다고 합리적으로 의심해볼 만한 부분"이라며 "내부자가 방화벽을 약화시켰다는 설명은 그것대로 문제"라고 말했습니다.
 
핫월렛이냐 콜드월렛이냐 진위 여부를 떠나서도 오지스가 법의 맹점 속 투자자 보호를 위한 장치 마련을 등한시 했다는 비판은 면하기 어렵습니다. 관련 법이 없는 상황이라도 거액의 투자자 자산을 보관할 경우 안전 장치에 분산 보관하는 등 기본적인 보안 수칙을 지키지 않았기 때문입니다.
 
국내 대표 거래소인 업비트를 운영하는 두나무는 보안을 강화하기 위해 '콜드월렛' 비중을 70% 이상으로 관리하고 있습니다. 핫월렛 역시 다수 구조로 분산 운영 중입니다.
 
강 변호사는 "현재 여러 코인 개발사들의 보안이 취약해서 해킹 위협에 노출돼 있는데, 이런 사고가 발생하게 되면 이미 상장된 코인 거래소에서 해당 코인을 상장 폐지 될 가능성이 높아 코인 보유자가 상당한 피해가 발생한다"며 "코인 개발사에 요구되는 보안 수준을 명시하거나 코인 거래소에 이에 대한 보안 검증 의무를 부담하게 하는 제도적 장치가 필요할 것"이라고 덧붙였습니다. 
 
테라-루나 사태 연상되지만…실물자산 담보 여부 차이
 
한편 일각에선 오르빗 브릿지가 자산 교환 효과를 낸다는 점에서 '테라-루나' 사태가 연상된다는 시각도 있습니다. 하지만 두 사업의 구조는 다르다는 게 전문가들 설명입니다.
 
테라는 1달러 가치를 지키는 '스테이블 코인'으로, 테라 가치가 떨어질 때마다 루나를 발행해 판 돈으로 테라를 사서 가치를 지키는 식으로 운영됐습니다. 하지만 테라의 가치 하락이 루나에 대한 신뢰 하락으로 이어져, 투자자들이 너도나도 루나를 팔아 테라 가치가 폭락했습니다. 테라를 담보할 실물 자산 없이 알고리즘에 의존한 결과입니다. 반면 오르빗 브릿지는 실제 토큰을 메인넷에 묶는 대가로 'o자산'을 발행하고, 원본 자산을 돌려받을 때 'o자산'을 소각하는 구조입니다.
 
이범종·배덕훈 기자 smile@etomato.com
 
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지
이범종 기자
SNS 계정 : 메일 페이스북