해킹 이후 5조원 이상 자금 인출
‘흡사 뱅크런’ BTC ETF 탈출 행렬
업계 지원사격에도 우려 종식 역부족

국내외 가상자산 거래소들이 연이은 사건·사고에 휘청이는 모습이다. 바이비트가 2조원 상당의 가상자산을 탈취당하면서 시작된 업계의 위기는 대규모 자금 인출로 이어졌고, 증시에도 영향을 미치면서 금융시장 전반에 먹구름을 드리우고 있다. 국내 최대 가상자산 거래소 업비트 역시 정책 미준수를 이유로 일부 영업정지 처분을 받았다. 시장에서는 금융당국의 선제적 조치를 높이 평가하면서도 여전히 불안감을 호소라는 모습이다.

대형 거래소·콜드월렛도 보안 취약

26일(이하 현지시각) 업계에 따르면 싱가포르에 본사를 둔 가상자산 거래소 바이비트에서 지난 21일 대규모 해킹 사건이 발생했다. 탈취당한 자산은 15억 달러(약 2조1,577억원) 상당의 이더리움과 이더리움 파생상품 등이다. 바이비트 측은 거래소 재무상태가 건전한 만큼 투자자들이 예치한 가상자산을 모두 돌려줄 수 있다는 입장을 밝혔지만, 시장에서는 파산 등을 우려하는 목소리가 끊이지 않고 있다.

대형 가상자산 거래소의 해킹 피해는 잊을 만하면 반복되는 사건이다. 그럼에도 이번 사건에 시장이 유독 민감하게 반응하는 것은 거래소 콜드월렛(오프라인 가상자산 지갑)이 도난당했기 때문이다. 통상 콜드월렛은 핫월렛(온라인 가상자산 지갑)보다 해킹으로부터 안전한 장치로 여겨진다. 실제 2023년 4월 국내에서 발생한 지닥 해킹 사건에서도 탈취당한 자산 대부분은 핫월렛에 있던 것으로 밝혀졌다. 해당 사건으로 지닥이 폐업한 후 국내 금융당국은 거래소의 콜드월렛 보관 비중 기준을 80%로 늘린 바 있다.

가상자산 업계는 일제히 바이비트 지원 사격에 나섰다. 저스틴 선 트론(Tron) 창업자는 소셜미디어를 통해 “바이비트 사고를 면밀하게 모니터링하고 있으며, 우리 파트너들을 전부 동원해 해킹 관련 자금을 추적하고 있다”고 밝혔으며, 또 다른 가상자산 거래소 오케이엑스(OKX)도 바이비트 해킹 자금 추적을 위해 보안팀을 배치했다고 전했다. 쿠코인(KuCoin) 또한 공식 X를 통해 “사이버 범죄를 퇴치하고 가상자산 산업 전반의 보안을 강화하는 데 거래소 간 협업이 필수”라고 강조했다.

하지만 이 같은 업계의 지원 사격도 투자심리 악화와 뱅크런(대규모 인출 사태)을 막기엔 역부족인 모양새다. 해킹 사태 이후 바이비트에서는 지금까지 약 40억 달러(5조2,000억원)가 인출됐다. 여기에 현물 상장지수펀드(ETF)의 자금 유출도 뱅크런을 방불케 할만큼 가속이 붙고 있다. 25일 하루에만 현물 비트코인 ETF에서 10억 달러(약 1조4,000억원) 이상이 인출되면서다. 이는 지난해 1월 해당 ETF가 출시된 이후 가장 큰 자금 인출 규모다.

업비트 일부 영업정지에 일일거래량 70% 급감

여기에 최근에는 기존 화폐 가치와 연동돼 비교적 안전하다고 평가받는 스테이블코인 또한 문제점이 속속 드러나며 투자자들의 불안감을 가중하는 모습이다. 달러와 연동된 스테이블코인 테더(USDT)의 사례가 대표적이다. 테더는 세계 최대 스테이블코인임에도 불구하고 그간 준비금 문제로 여러 차례 논란이 됐다. 미국 상품선물거래위원회(CFTC)는 테더가 2016~2018년 동안 준비금이 부족했던 사실을 확인하고 4,100만 달러의 벌금을 부과하기도 했다.

테더는 준비금이 미국 국채 등 안전한 자산으로 완전히 보장된다고 주장하며 분기별 회계 보고서를 공개하고 있지만, 해당 보고서는 ‘감사(Audit)’가 아닌 ‘검토(Attestation)’ 형식으로 이뤄져 신뢰성이 떨어진다는 게 전문가들의 일관된 견해다. 투자 전문매체 더모틀리풀은 “테더가 갑작스럽게 사라지지는 않겠지만, 점진적으로 보다 투명한 스테이블코인으로 이동하는 것이 가상자산 생태계에 긍정적일 것”이라고 평가했다.

한편, 국내 최대 가상자산 거래소 업비트(Upbit)도 초대형 악재를 만났다. 한국 금융정보분석원(FIU)은 지난 25일 업비트가 미등록 가상자산사업자(CASP)와의 거래를 제한하는 정책을 준수하지 않았다는 점을 들어 신규 고객의 암호화폐 입출금을 중단하는 일부 영업정지 처분을 내렸다. 다만 구체적인 사실관계 고려 후 제재 범위는 수정될 수 있다고 설명했다.

업비트는 이번 제재 조치가 발표된 직후 웹사이트를 통해 사과문을 게시했다. 해당 사과문에서 업비트는 “FIU의 지적 사항은 2024년 실시된 현장 검사에서 발견됐다”고 인정하며 “이로 인해 신규 고객의 암호화폐 자산 이전이 금지된 점을 양해 바란다”고 전했다. 이어 “금융당국의 지시에 따라 필요한 개선 조치는 모두 완료했다”고 부연했다. 이 같은 해명에도 FIU의 발표 이후 업비트 일일 거래량은 1월 평균치 대비 약 70% 급감해 46억 달러(약 6조6,000억원) 수준을 나타내고 있다.

영업 중단 반복하며 이용자 보호 뒷전

시장참여자들은 금융당국의 선제적인 조치를 높이 평가하는 분위기다. 그간 국내 가상자산 거래소를 둘러싼 각종 사고에서 당국의 늦은 대처에 소비자들의 피해가 눈덩이처럼 불어난 경우가 다반사였기 때문이다. 금융위원회에 의하면 2023년부터 지난해 10월까지 영업을 중단한 10개 가상자산 거래소가 보유한 예치금 규모는 178억1,700만원에 달했다. 특히 2023년 11월 문을 닫은 캐셔레스트는 130억원 규모의 자산을 돌려주지 않은 것으로 집계됐다.

이들 거래소는 본격 폐업 전까지 서비스 점검이 필요하다는 이유로 영업 중단을 반복하면서 예치금 입출금을 막아온 것으로 파악됐다. 전산 장애가 발생할 경우, 입출금 차단이 가능토록 한 가상자산이용자보호법(이용자보호법) 규정을 악용한 것이다. 투자자들의 지속적인 민원에 금융당국 관계자는 “거래소가 연락되지 않거나 반환 절차가 장기화하면서 관리 소홀, 자산 분실 등이 발생할 가능성이 있다”며 “영업 중단 거래소는 일종의 사각지대에 있는 상황”이라며 법의 허점을 인정했다.

지난해 금융당국이 영업종료 또는 중단에 들어간 10개 거래소를 대상으로 현장 점검에 나선 이유도 여기에 있다. 당시 점검에서 문을 닫은 거래소 7곳 중 6곳은 홈페이지에 서비스 종료 사실을 사전 공지하지 않은 것으로 드러났다. 심지어 종료 공지나 안내를 전혀 하지 않은 사업자도 파악됐다. 또 해외 거래소 및 개인 지갑 출금이 아닌 국내 거래소 자산 이전을 제한하고, 100만원 이상 이용자에게만 전화 안내를 하는 등 이용자 보호에 소홀한 실태도 다수 확인됐다.

이후 금융당국은 디지털자산보호재단을 설립해 영업을 중단한 거래소의 예치금 반환을 독려하고 나섰다. 재단이 영업 종료 암호화폐 거래소로부터 예치금과 암호화폐 등을 넘겨받은 뒤 반환 업무를 대행하는 방식이다. 그러나 이를 강제하는 법 규정이 없어 폐업 거래소의 협조가 없으면 재단 또한 예치금을 관리할 수 없는 실정이다. 금융당국의 적극적인 움직임에도 투자자들의 불안감이 쉽사리 가라앉지 않는 이유다.