플레이 브릿지 볼트에서 위믹스 코인 탈취 발생
해킹 피해는 투자자 보호라는 중대한 신뢰 훼손
관련 법령 강화돼 업계에선 재상폐 가능성 제기

위메이드의 가상자산 프로젝트 위믹스(WEMIX)가 약 88억원(865만여 개)에 달하는 대규모 해킹을 당했다. 국내 주요 가상화폐 거래소들은 즉시 위믹스를 거래유의 종목으로 지정하고 향후 거래 지원 여부를 검토할 예정이다. 시장에서는 지난해 시행된 '가상자산 이용자 보호 등에 관한 법률'에 따라 해킹 피해를 본 가상자산 프로젝트들이 대거 상장 폐지된 사례들을 고려할 때 위믹스의 2차 상장 폐지 가능성도 제기된다.

탈취한 코인, 7개 거래소로 나뉘어 대부분 매도

4일 위믹스재단은 공식 홈페이지를 통해 지난달 28일 가상자산 교환 서비스 '플레이 브릿지 볼트'가 악의적인 외부 공격을 받아 위믹스 코인 865만4,860개가 비정상 출금됐다고 밝혔다. 유출된 위믹스는 총 13회에 걸쳐 공격자의 지갑 두 곳으로 전송됐다. 출금 당일 시세(2월 28일 1,020원)로 환산하면 약 88억원 규모에 이른다. 위믹스에 따르면 탈취된 코인의 99.7%(863만223개)가 지난 2월 28일부터 3월 3일까지 77개의 주소를 거쳐 쿠코인·비트마트·바이비트·비트겟·HTX·비트투미·MEXC 등 해외 거래소 7곳에 나눠 입금됐다.

위믹스팀은 "즉각 비상 대응팀을 구성하고 플레이 브릿지 서비스 중단, 침해 서버 종료 등의 긴급 조처를 취했다"며 "거래소 입금량과 거래 내역을 분석한 결과, 탈취된 가상자산 대부분이 이미 매도된 것으로 추정된다"고 설명했다. 위믹스 팀은 수사기관에 정식으로 신고를 접수하고, 공격자의 거래소 계정과 관련한 자산의 보유·매도·출금 내역 정보를 확보해 달라고 요청했다. 또한 글로벌 외부 보안 기업 티오리와 협력해 공격의 원인을 분석하고 모든 서버에 다중 인증(MFA)을 적용해 서버 관리자에 대한 실시간 알림 시스템을 도입하기로 했다. 

2022년 유통량 공시 위반으로 상폐 후 재상장

해킹 사실이 알려지면서 4일 디지털자산 거래소 공동협의체(DAXA)는 위믹스를 거래유의 종목으로 지정했다. DAXA 회원사인 주요 거래소들은 이용자 보호 차원에서 약 2주간 거래유의 종목으로 유지하며, 향후 소명 절차와 검토 과정을 거쳐 거래유의 지정 연장, 해제 또는 거래지원 종료 여부를 결정할 방침이다. 거래소 측은 "투자자들은 거래유의 종목으로 지정된 가상자산에 대해 각별한 주의를 기울여야 한다"며 "입금 중단 및 거래지원 종료 가능성이 있는 만큼 공지사항을 반드시 확인해야 한다"고 당부했다.

위믹스가 거래유의 종목에 지정된 것은 이번이 처음이 아니다. 지난 2022년 10월 DAXA를 비롯해 업비트·빗썸·코인원·코빗 등 주요 가상화폐 거래소에서 거래유의 종목으로 지정됐다. 당시 DAXA는 "믹스 유통량 계획 정보의 신뢰성에 문제가 있다고 판단해 위믹스를 거래유의 종목으로 지정한다"며 "DAXA 회원사에 제출된 유통량 계획 정보와 실제 유통량에 차이가 있는 것으로 확인됐고, 유통량 정보에 부정확한 점이 있음에도 이 사항을 투자자들에게 적시에 명확하게 안내하지 않았다"고 설명했다.

위믹스는 유통량 공시 위반에 대해 "시장에 유통되지 않는 물량을 유통량 산정 시 제외한 것"이라며 "지적사항을 반영해 정보를 업데이트했다"고 해명했다. 하지만 소명 기간 중 위믹스가 제출한 자료에서도 오류가 발견됐고 결국 같은 해 12월 상장폐지됐다. 이후 코인원은 상장폐지 3개월 만인 2023년 2월 위믹스를 재상장했다. 코빗과 빗썸도 재상장 금지 기간 1년이 지난 같은 해 11월 거래를 재개했고 이 시기 고팍스도 위믹스를 신규 상장했다. 다만 업비트는 2022년 상장폐지 후 현재까지 위믹스를 재상장하지 않고 있다.

SSX, PLA, ORC 등도 최근 해킹 피해로 상폐

이번 사태와 관련해 위믹스의 거래지원 종료 여부가 결정되는 시점은 오는 17~21일이다. 업계에서는 위믹스의 2차 상장폐지 가능성이 제기된다. 국내 가상자산 시장에서 해킹으로 거래유의 종목으로 지정됐다가 해제가 된 사례는 사실상 전무하다. 더욱이 지난해 7월 시행된 '가상자산 이용자 보호법'에 따라 '해킹당한 가상자산은 상장하지 않는다'는 조항이 추가되면서 거래지원 기준이 더욱 엄격해진 상황이다. DAXA의 가이드라인에도 '원인이 밝혀지지 않은 해킹 등 보안사고가 발생한 가상자산'은 상장하지 않는다는 내용이 포함됐다.

이에 따라 지난해 대규모 해킹 사건을 겪은 국내 코인 다수가 상장폐지됐다. 지난해 1월 해킹 피해를 겪은 썸씽(SSX)은 유의종목 지정 후 같은 해 3월 상장폐지됐고, 플레이댑(PLA)도 2월 13일 유의종목으로 지정돼 한 달 만에 거래가 중단됐다. 올해 1월에는 1,000억원 상당의 코인 탈취가 발생한 오르빗체인(ORC)이 유의종목으로 지정돼 2개월 만에 상장폐지됐다. 업계 관계자는 "해킹 피해는 투자자 보호라는 중대한 신뢰를 위반한 것"이라며 "신속한 피해 복구와 명확한 보상책을 제시하지 못하면 거래지원 종료로 이어질 가능성이 높다"고 지적한다.

이와 더불어 위믹스 측이 중요 사항을 제때 공시하지 않았다는 점도 상장폐지 원인이 될 가능성이 있다. DAXA 가이드라인에 따르면 발행 주체의 신뢰성을 심사하는 요건으로 이용자의 합리적인 투자 판단, 가상자산 가치에 중대한 영향을 미칠 수 있는 중요 사항을 공시하지 않는 행위 등을 명시하고 있다. 하지만 위믹스 측은 사건이 발생한 후 4일이나 지나서야 해당 내용을 공시했다. 해킹 사실이 확인된 즉시 위믹스 코인이 거래되는 26개 글로벌 거래소에 탈취사실을 알렸지만, 국내 거래소인 빗썸, 코인원, 코빗, 고팍스는 제외됐다.