오지스 1000억 원대 피해에 큰 타격…갤럭시아·썸씽도 ‘유의 종목’ 지정, 허술한 보안 비판
1월 1일 오르빗 브릿지는 취약점 공격을 받아 8150만 달러(1060억 원) 규모 가상자산을 탈취당했다. 오르빗 브릿지에 예치된 자산 45%에 달하는 이더리움(ETH) 9530개, 랩핑된 비트코인(WBTC) 230개와 함께 스테이블 코인인 테더(USDT) 3000만 개, 다이(DAI) 1000만 개, USD코인(USDC) 1000만 개가 털렸다. 오르빗 브릿지 내 예치된 자산(TVL)이 약 1억 8000만 달러(2354억 원)인 점을 감안하면 자산 45%가 탈취된 셈이다.
오르빗 브릿지는 서로 다른 가상자산을 이어주는 기술 플랫폼이다. 흔히 브릿지라 불리는 이 기술은 이더리움을 클레이튼 기반에서 활용하도록 만들어주는 방식이다. 예를 들어 이더리움 기반에서 클레이튼 기반으로 넘어간다고 가정해보면, 기존 이더리움(ETH)을 오르빗 브릿지 금고에 넣어 놓고 클레이튼 기반 oETH(오르빗 이더리움)라는 일종의 증서를 받는다.
이 증서를 통해 클레이튼 기반에서 활동할 수 있고, 언제든 이 증서를 소각하면서 금고에 맡겨진 이더리움을 되찾아갈 수 있다. 사용자들은 이 증서를 믿고 이더리움 가치와 똑같은 가치로 클레이튼에서도 거래하고 De-Fi(탈중앙화금융) 등에서 활용할 수 있다. 그런데 금고가 털리면서 이 증서를 돌려줘도 원래 이더리움이나 스테이블 코인을 받을 수 없게 됐고, oETH, oUSDT 등 오르빗 담보 증서 가치가 폭락했다.
오지스는 국내 최대 가상자산 플랫폼인 클레이튼에서 핵심 역할을 하고 있는 만큼 충격이 크다. 오지스는 클레이튼 기반 가장 큰 De-Fi로 꼽히는 클레이스왑과 세계적으로 손꼽히던 브릿지인 오르빗 브릿지를 운영했지만 이번 해킹 사고로 인해 회사 자체가 흔들리고 있는 상황이다. 클레이튼에 워낙 큰 영향을 미치다 보니 일각에서는 클레이튼 측에서 지원 등 ‘손을 내밀어줘야 하는 것 아니냐’는 의견도 있다. 그러나 사실상 쉽지 않을 전망이다.
가상자산 업계 한 관계자는 “과거였으면 몰라도, 최근 클레이튼은 지원을 해주려고 해도 클레이튼 보유자 중심으로 투표에 부쳐야 한다고 알고 있다. 클레이튼이 1000억 원짜리 지원안을 내도 클레이튼 투자자들이 찬성을 할 가능성이 매우 적다고 본다”고 말했다.
1월 25일 오지스는 전 정보보호최고책임자(CISO) A 씨가 퇴사 직전 임의로 방화벽을 취약하게 만든 사실을 발견하고 서울남부지방법원에 불법행위로 인한 손해배상청구소송을 냈다고 밝혔다. A 씨가 퇴사 직전 임의적으로 사내 통신망의 방어벽을 취약하게 만든 것과 이번 탈취 사건의 연관 가능성을 추가 조사하기 위해 경찰청에 정보통신망법 위반·업무방해죄 혐의로 수사를 촉구했다. 투자자들은 범인을 잡을 가능성이 높아졌다는 판단에 1달러에 약 650원대까지 떨어졌던 oUSDT를 매집했다. 그 후 가격이 770원까지 올라갔지만 재차 하락해 최근 660원 정도에서 거래 중이다.
오지스 관계자는 “북한 관련 해킹 그룹의 소행이라는 제보도 있었던 만큼, 수사·조사 기관과 긴밀히 협력해 모든 가능성을 열어두고 접근했다. 그러다 내부자가 임의로 보안 정책을 변경하고 퇴직한 사실이 있어 해당 행위와 사건과의 연루 가능성에 대해 수사기관에서 중점적으로 확인해주길 요청한 상황”이라면서 “오지스는 의무 대상 기업이 아님에도 ISMS 인증을 취득하고, 모든 서비스 출시나 기능 업데이트 전 보안 감사를 선행하는 등 보안 강화에 각별히 힘써왔던 만큼, 처음 내부자 소행 가능성을 발견했을 때 임직원 모두 너무 큰 상실감과 참담함을 느꼈다”고 말했다.
이 관계자는 이어 “오르빗 브릿지는 오지스 주요 사업의 중심에 있는 프로덕트로, 생태계 정상화 의지가 명확하다. 이에, 사건 발생 직후부터 수사·조사 진행과 별개로 복구안 마련을 위해 모든 역량을 집중해 왔다. 2월 중 커뮤니티에 복구안을 공개할 계획이다”라고 설명했다.
이 사건으로 17일 빗썸은 갤럭시아를 투자유의종목으로 지정했다. 결국 1월 10일 갤럭시아머니트리 자회사 갤럭시아메타버스가 운영 대행 중인 가상자산 ‘갤럭시아(GXA)’ 프로젝트는 가상자산거래소 빗썸에서 거래지원 종료가 결정됐다. 빗썸은 “재단이 제출한 소명자료와 후속 대처만으로는 투자유의종목 지정 사유 해소에 불충분하다고 판단해 거래지원 종료를 결정한다”고 공지했다.
이 사건으로 투자자들은 ‘멘붕’에 빠졌다. 상폐까지 되면서 8원에서 9원 정도이던 갤럭시아 가격은 계속 떨어져 4원 이하로 하락했고, 지금은 반토막 이하 가격에 거래 중이다. 갤럭시아 투자자 A 씨는 “정리해야 할지 어떻게 할지 당혹스러운 상황이다”라고 우려를 표했다.
갤럭시아는 상폐 전 법원에 가처분 신청을 내기도 했지만, 1월 29일 서울중앙지방법원 민사 제50부는 갤럭시아재단이 빗썸을 상대로 제기한 거래지원 종료 결정에 대한 효력정지 가처분 신청을 기각했다. 갤럭시아 재단은 공식 미디엄을 통해 “최근 발생한 빗썸 거래소의 거래지원 종료와 오늘 가처분 신청 기각 소식으로 커뮤니티 그리고 투자자분들께 실망을 드린 점 다시 한번 고개 숙여 사과드린다”며 “법원의 결정을 존중해야 하지만, 이번 가처분 신청 기각으로 투자자 피해가 커지는 점을 매우 유감스럽게 생각해 갤럭시아(GXA)팀은 모든 법적 조치를 취할 예정”이라고 계획을 밝혔다.
공지를 통해 썸씽 팀은 “2025년 말까지 유통 계획이었던 미유통 물량 5억 400만 개와 현시점 기준 유통 계획에 이미 반영돼 재단이 보유 중이던 2억 2600만 개 등 총 7억 3000만 개 썸씽 토큰이 해킹돼 인출됐다”고 공식 발표했다. 팀은 탈취 사실 파악 직후 경찰청 사이버수사대에 신고 및 조사 접수를 완료했다고 밝혔다. 이어 추가 피해 방지를 위해 국내외 거래소에 입출금 일시 중단도 요청했다.
이번 사건은 락업(잠금)이 안 된 물량이 털리면서 썸씽 측 자작극 아니냐는 음모론까지 불거졌다. 최소한의 보안 절차조차 없었다는 게 드러난 셈이기 때문이다. '변창호 코인사관학교' 운영자 변창호 씨는 “미유통 물량에 락업이 전혀 걸려있지 않았다는 건 기본적 관리조차 안 되고 있었다는 의미”라며 “그만큼 허술하게 운영했다는 걸 납득하기 어렵다는 점에서 자작극 논란은 충분히 불거질 수 있다”고 지적했다. 썸씽은 이번 해킹으로 갤럭시아와 마찬가지로 빗썸 등 주요 원화 거래소 상폐 위기를 맞았다. 일요신문은 썸씽 측 입장을 들어보고자 연락했으나 답변을 받을 수 없었다.
한두 달 사이 규모가 큰 해킹 사건이 연달아 터지다 보니 ‘또 김치코인이냐’는 분노도 나오고 있다. 해킹이 김치코인만 당하는 건 아니지만, 최근 지나치게 자주 큰 규모로 사고가 터지다 보니 우려가 더 커지는 분위기다. 가상자산 투자자 B 씨는 “가상자산은 해킹 한 번에 모든 자산을 털릴 수 있는데 보안이 이렇게 허술했다는 것에 분노할 수밖에 없다. 국내 가상자산을 구매한 사람들만 호구가 되고 있다”고 말했다.
국내 가상자산 시장이 이 같은 우려를 벗어나기 위해서는 책임지는 자세와 함께 보안 수준을 올리는 노력이 필요하다는 지적이 나온다. 오지스 관계자도 “생태계가 완전히 회복될 때까지, 끝까지 책임지는 자세로 사업을 지속하며 점진적인 신뢰 회복을 위해 노력하고자 한다. 또한 이번 사건의 원인 규명이 끝나는 대로 재발 방지 대책을 실행할 계획이다”라고 말했다.
김태현 기자 toyo@ilyo.co.kr