최근 화제가 됐던 이더리움 '수수료 폭탄'의 진원지가 국내 암호화폐 거래소 '굿사이클'인 것으로 확인되면서 향후 귀추에 전세계 이목이 집중되고 있다.

블록체인 보안업체인 팩실드(PeckShield)는 16일 위챗을 통해 발표한 조사 결과 보고서에서, 지난 10일 1만666이더(한화 약 30억원), 11일 1만669이더를 송금 수수료로 지불한 '0xcdd6a2b9' 전자지갑이 굿사이클의 핫월릿 중 하나라고 밝혔다. 온체인데이터 분석기업 크립토퀀트도 17일 해당 지갑이 굿사이클의 핫월릿이라는 것을 확인했다고 밝혔다.

송금 수수료를 보낸 지갑이 밝혀진 데 세계 암호화폐 업계가 집중하고 있는 이유는, 엄청난 규모의 비정상적 송금 수수료가 해킹 피해에 따른 것일 가능성이 크기 때문이다. 통상 이더리움을 1회 송금할때 사용되는 수수료는 0.00126이더(한화 약 359원) 정도로, 간혹 이더 거래가 밀려있을 경우 자신의 송금 내역을 빠르게 확정하기 위해 이보다 높은 수수료를 제시하는 경우는 있다. 그러나 한 번 송금에 1만 666이더(한화 약 30억원) 규모의 거액을 수수료로 사용한 경우는 이더리움이 만들어진 후 이번이 처음이다.

이와 관련해 펙실드는 앞서 지난 12일 보고서를 통해, 해커가 거래소 지갑의 개인키 일부를 탈취한 뒤 소유주를 협박했을 가능성을 제기했다. 자신이 해킹한 개인키 만으로는 이더리움을 빼낼 수 없게 되자, 이동이 가능한 것으로 설정된 지갑으로 소액의 이더를 보내는 대신 막대한 송금 수수료를 매기며 소유주를 위협했다는 것이다.

대부분의 암호화폐 거래소는 핫월릿에서 돈을 옮길 때 복수의 개인키가 있어야 가능하도록 설정한다. 보안적 취약점을 보완하기 위해서다. 그러나 운영 편의를 위해 일부 지갑은 단수의 개인키로도 자금 이체가 가능하도록 설정한다. 이번 사건에서도 완벽하게 해당 거래소의 모든 개인키 해킹을 하지못한 해커가 이런 상황에 처하자, 지갑 소유주에게 개인키를 알려주지 않으면 이런 방식으로 지갑 내 자산을 소진하겠다는 액션을 취했다는 가정이다.

펙실드의 '가설'은 이더리움 창시자인 비탈릭 부테린도 자신의 트위터에서 인용하는 등 전세계 암호화폐 업계의 주목을 받았다. 종전에 보지 못했던 새로운 형태의 암호화폐 범죄였던 셈이다.

 

 

굿사이클은 왜 해킹당했다는 얘기를 안 했나

이같은 설명에 따르면, 굿사이클은 해킹으로 막대한 자산을 도난당한 피해자에 해당한다. 그러나 굿사이클은 17일 회원들을 상대로 한 공지사항에서 "굿사이클 시스템에 해커 공격이 반복되고 있다"면서도 지난 10~11일 약 60억원의 대규모 자산 피해가 발생했다는 사실을 공개하지 않았다. 다만, "해커들이 회원들의 자산 표기에 혼돈을 주고 있으니 자산표기가 완료될 때까지 출금을 제한하겠다"며 해킹 공격이 있었다고만 밝혔다.

굿싸이클 사이트 공지사항. 수수료 문제로 60억원의 자산손실이 발생했다는 내용이 없다.
굿싸이클 사이트 공지사항. 수수료 문제로 60억원의 자산손실이 발생했다는 내용이 없다.

해킹 피해를 밝히지 않은 탓에 굿사이클은 분실 자산을 되찾을 기회도 놓쳤다. 해당 트랜잭션을 채굴하면서 졸지에 '수수료 폭탄'을 맞은 이더리움 전문채굴 집단인 스파크풀과 이더마인(Ethermine)은 수수료를 동결시킨 채 지갑 주인이 요청하면 해당 수수료를 돌려주겠다는 입장을 냈다. 그러나 4일 동안 주인은 나타나지 않았다. 결국 이더마인 풀을 운영하는 비트플라이(Bitfly)는 16일 수수료를 채굴자들에게 배분하기로 결정했다

또 한 가지 수상한 것은 애초 해킹당한 것으로 의심되는 거래소 핫월릿 '0xcdd6a2b9' 지갑에 남아있던 1만8006이더(한화 약 51억원)가 17일 낮 2시48분께가 돼서야 다른 지갑(0x262e03c)으로 이체된 부분이다. 이 지갑은 해커가 접근할 수 없는 콜드월릿으로 추정된다. 추가 해킹 피해를 막기 위해 안전한 곳으로 옮긴 것이므로, 굿사이클이 이같은 역량을 갖춘 것은 이용자 입장에서 다행스럽다고 볼 수 있다.

그러나 해킹 공격 뒤 즉각 자산을 안전한 지갑으로 옮기지 않고 1주일 뒤에야 자산을 피신시킨 것은 납득하기 힘든 대목이다. 소를 상당분 잃고 나서야 외양간을 고친 격이다. 굿사이클은 '자산 피신' 사실도 공개하지 않았다.

여러 의문이 꼬리를 무는 가운데, 팩실드는 "이번 이상거래의 피해 거래소가 스캠 거래소라면 모든 의문점이 풀린다"고 추정했다. 정상적인 영업행태가 아닌 거래소이기 때문에 해커가 거래소 서버를 손쉽게 뚫고 랜섬웨어 공격을 할 수 있었고, 해킹 피해를 입었음에도 거래소가 그 사실을 공개적으로 밝히지 못했을 것이라는 얘기다.

실제 굿사이클은 빗썸, 업비트 등 국내 일반 암호화폐 거래소들과는 업태가 다소 다르다. 17일 현재 네이버 밴드, 블로그 등지에 올라온 굿사이클 홍보자료들을 보면, 거래소 내에 이용자가 암호화폐를 예치하면 매일 10% 이상의 이자를 받을 수 있다고 홍보하고 있다. 

현행법상 금융업 허가를 받지 않은 상태에서 불특정 다수로부터 원금 이상의 금액 반환을 보장하면서 자금을 조달하면 유사수신행위에 해당한다. 굿싸이클 홍보자료에는 신규 이용객을 많이 가입시키면 다른 회원들보다 더 많은 수당이 지급된다는 내용도 있다. 암호화폐 스캠(scam) 거래소들이 활용하는 전형적인 다단계 영업 방식이다. 

네이버 밴드 '굿사이클 정보공유방'을 보면, 16일 작성된 "답답한 마음에 본사에 방문해 굿사이클 김아무개 회장과 미팅을 했다"는 이용자 후기가 눈에 띈다. 해당 이용자는 이 글에서 경영진을 인용해, "해커들의 공격이 6월초 시작됐고 지금도 계속되고 있지만 개인 자산들은 콜드월릿 안전지갑에 옮겨놔서 안전하다(는 얘기를 들었다)"고 전했다. 정황상 거래소가 자산을 콜드월릿으로 옮기지 않은 채 이용자들에게는 '옮겼으니 걱정하지 말라'는 식으로 은폐무마했을 가능성도 있는 셈이다.

출처=굿사이클 정보공유방
출처=굿사이클 정보공유방

 

제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지