매주 월요일, 주목할 만한 블록체인 프로젝트나 업계 트렌드를 알기 쉽게 풀어봅니다.
지난 10일 해외 디파이(De-Fi, 블록체인 탈중앙금융) 프로토콜 폴리네트워크에서 6억1000만달러, 한화 약 7100억원 상당의 가상자산(암호화폐) 해킹 사고가 발생했습니다. 이는 디파이 부문 역대 최고 피해액으로 지난주 업계를 떠들썩하게 했는데요. 그보다 놀라운 건 해커가 이후 불과 3일 만에 자신이 훔친 가상자산을 모두 원래대로 반환했다는 겁니다. 아직 자신의 신원조차 특정되지 않았던 상황에서 말이죠. 또 이를 두고 많은 의문이 따랐습니다.

이번 사건에서 해커는 막대한 가상자산을 빼돌리는 데 성공했지만 바로 다음 날 "자금 반환을 준비 중(READY TO RETURN THE FUND!)이란 메시지를 밝혔습니다. 그리고 모두가 '혹시'했는데 정말 이틀에 걸쳐 훔친 가상자산 전부를 돌려줬죠. 그가 반환 전 직접 밝힌 내용에 따르면 해킹은 단순 재미였을 뿐, 가상자산에 손을 댄 건 훔칠 목적이 아니라 자신이 찾아낸 보안 취약점을 폴리네트워크에 알려주면 내부자가 이를 악용할 것을 우려했기 때문이라고 합니다.

보통 기업의 보안 취약점을 해킹 기법으로 찾아낸 뒤 이를 기업에 알려 보완할 수 있게 돕는 자들을 '화이트해커'라고 합니다. 이번 사건의 해커도 그가 밝힌 해킹의 의도, 그리고 실제 자금을 돌려줬다는 점에 미루어 화이트해커로 보는 시각이 있는데요. 실제 폴리네트워크가 해커에게 약 50만달러를 버그바운티(보안 취약점 제보자에게 주는 보상금)로 지급하기로 하며 표면적으로는 훈훈(?)한 분위기로 사건을 종결해 가는 분위기입니다.

그러나 그를 화이트해커로 볼 수 없다는 시각도 있습니다. <로이터>에 따르면 블록체인 데이터 분석 전문업체 체이널리시스의 CTO 출신 '구르바이스 그리스'는 "만일 진짜 화이트해커였다면 처음부터 그런 거액을 훔치지 않았을 것"이라며 "그는 자금을 현금으로 바꾸는 것이 너무 어렵다는 사실을 알고 돌려준 것"이라고 주장했습니다.

이는 블록체인 특유의 '투명성'에 기인합니다. 모든 블록체인이 그렇진 않지만 보통 디파이 플랫폼에 사용되는 퍼블릭 블록체인은 가상자산의 발행, 소각, 거래 이력 등 모든 데이터가 분산된 전자장부에 기록되는 구조로 설계됩니다. 그리고 보통의 기업 서비스와 달리 이 기록은 인터넷처럼 누구나 볼 수 있게 열려 있죠. 그 덕분에 블록체인에선 내 것이 아닌 가상자산도 그것이 언제 어디로 누구에게 이동했는지 언제나 실시간으로 확인할 수 있습니다. 쉽게 말해, 내 통장 내역이 전세계에 상시 공개된 상태라고 보면 됩니다.

▲ 전세계 이더리움 블록체인 거래 기록을 확인할 수 있는 '이더스캔' (자료=이더스캔 갈무리)
▲ 전세계 이더리움 블록체인 거래 기록을 확인할 수 있는 '이더스캔' (자료=이더스캔 갈무리)

물론, 각 블록체인 지갑 자체는 익명성을 띄고 있어 자산의 이동 내역은 볼 수 있어도 소유자의 신원을 쉽게 특정할 순 없습니다. 그러나 내역이 훤히 드러난다는 것 자체가 사실 해커 입장에서는 상당히 부담스러운 일입니다. 도둑의 미학은 발자국 하나 남기지 않는 것인데, 돈을 훔치는 순간 그 돈이 지금 어디서 어디로 흐르고 있는지 모두에게 생중계되는 꼴이니까요.

이 같은 상황에선 훔친 가상자산을 현금화하는 일이 쉽지 않습니다. 보유만 한다면 모를까, 범인이 현금화를 위해 은행계좌와 연결된 거래소에 가상자산을 이동시키는 순간, 그의 정체가 드러날 가능성은 굉장히 높아집니다. 기본적으로 은행 계좌는 모두 실명 기반이니까요.

이 때문에 범죄조직들은 보통 가상자산 세탁에 거래 이력 추적이 어려운 '다크코인'을 활용하거나 점조직 형태로 움직이며 자신들을 숨기는 경우가 많습니다. 그러나 만약 이번 폴리네트워크 사건이 한 해커의 단독 범행이었다면, 그가 수천억원 상당의 가상자산을 직접 현금화하는 일이 결코 쉽지 않았을 것이란 가정이 가능합니다.

즉, 그리스의 주장도 '해커는 꼬리가 길어져 잡힐 바에 자신을 화이트해커로 위장하는 전략을 택한 것'이란 얘기가 됩니다. 실제로 해커는 7000억원을 손에 쥐진 못했지만 해킹에 성공한 대가로 오히려 50만달러, 약 5억8000만원을 보상금으로 받게 됐습니다. 보통 법은 잃어버린 돈을 주인에게 찾아줬을 때 일부를 보상금으로 주도록 돼 있는데, 이 경우는 훔친 돈을 돌려주고도 보상금을 받는다는 점이 아이러니하죠.

불과 수년 전만 해도 범죄자들이 범죄 수익금을 비트코인 등 가상자산으로 요구하는 경우가 많았습니다. 비트코인이 현금보다 추적이 어렵다고 생각했기 때문입니다. 틀린 말은 아니지만 그동안 세계적으로 가상자산 거래나 범죄를 추적하는 기술 또한 크게 발달했습니다.

▲ 웁살라시큐리티가 올해 2월 빗썸, 경찰과 긴밀한 공조로 가상자산 범죄자를 잡아낸 과정 (자료=웁살라시큐리티)
▲ 웁살라시큐리티가 올해 2월 빗썸, 경찰과 긴밀한 공조로 가상자산 범죄자를 잡아낸 과정 (자료=웁살라시큐리티)

국내만 해도 보안업체인 웁살라시큐리티가 올해 두 차례에 걸쳐 가상자산 사기 피해자들의 가상자산을 환수해 돌려준 사례를 들 수 있습니다. 탈취된 가상자산이 입급된 지갑 주소들을 추적 및 분석하고 특정 거래소 사용자 지갑으로 이동한 정황을 확인한 뒤 경찰과 공조해 범인을 찾아낸 경우였습니다.

또 지난 6월 미국 FBI도 송유관 회사 콜로니얼 파이프라인이 랜섬웨어 피해 복구 키를 받는 대가로 해커조직에 준 비트코인 75개 중 63.7개를 회수하는 데 성공한 사례가 있습니다. 비트코인 송금 전 사전에 FBI의 지침을 받아 추적이 쉽도록 보낸 것이 주효했는데요. 구체적인 방법은 알려지지 않았으나 이는 수사기관의 가상자산 추적 노하우도 점점 고도화되고 있음을 방증하는 대목입니다.

이번 폴리네트워크 해킹 사건도 피해 규모가 워낙 컸던 만큼, 사건이 조기 종결되지 않았다면 수사기관이 개입했을 가능성이 높습니다. 이 해커는 앞서 '자신이 잡힐 가능성은 제로'라고 단언한 바 있는데 어쩌면 훔친 가상자산을 돌려주고 오히려 수억원의 보상을 받은 그의 선택은 '신의 한 수'였을지도 모릅니다.

저작권자 © 블로터 무단전재 및 재배포 금지