코인에 특금법 심는다…해킹·분실 환수까지

조아라 기자
입력 2021.06.17 06:00
# A기업은 B거래소에서 발생한 해킹으로 30억원이 넘는 규모의 비트코인을 탈취당했다. 하지만 A기업은 큰 걱정을 하지 않아도 된다. 비트코인 소유증명서를 이용해 가상자산 피해 구제 업체인 C에 피해신고를 하면 되기 때문이다. C는 탈취된 비트코인의 이동 경로를 추적, 거래를 중지시키고 탈취당한 비트코인을 원소유자인 A기업에 돌려준다.

# D거래소는 가상자산 상장 심사를 대폭 강화했다. 자금세탁방지(AML) 솔루션을 구축한 사업자만 자사 플랫폼에서 거래될 수 있도록 한 것이다. 아울러 상장 토큰사에는 스스로 보유 가상자산에 고객알기제도(KYC)와 AML을 구축하도록 안내했다. 이에 따라 상장한 토큰 기업과 투자자(개인 또는 기관)는 자체적으로 보안을 강화하고 규제를 준수하고 있다.

위 사례는 가상으로 꾸며본 이상적인 가상자산 거래 생태계의 모습이다. 가산자산 시장의 모든 참여자가 자발적으로 투명성과 안정성을 확보해 해킹과 사기·도난·오입금 등 가상자산 금융범죄와 사고 위험을 줄일 수 있는 시스템이다. 참여자 하나하나가 준법감시기관인 셈이다. 이를 바탕으로 감독당국과 금융기관의 관리감독 업무와 책임이 대폭 줄어들 수 있다. 아울러 가상자산 거래에 대한 정부와 시장의 인식도 개선할 수 있다.

거래 안정성 극대화 목적...생태계 조성 위해 협의체 구축

문제는 이같은 생태계가 아직은 현실화되지 못했다는 점이다. 세계 주요 국가가 가상자산 시장의 제도화를 마련하면서 고민하는 이유다. 이에 건전한 가상자산 생태계를 기술적으로 구현해보자는 협의체(얼라이언스)가 국내에서 처음으로 구축돼 업계 이목이 쏠린다.

얼라이언스는 국내 대표 보안 솔루션 기업인 NSHC의 최병규 부사장이 중심이 됐다. 여기에 가상자산 추적 솔루션 기업인 웁살라시큐리티가 참여했다. 또 법무법인 바른(유한)의 한서희·최영노 변호사가 가상자산 환수와 피해자 구조를 위한 법률 자문을 맡았다. 이밖에 (분산신분증명)DID, 커스터디, KYC·AML 솔루션, 가상자산 거래소, 토큰이코노미 개발 기업 등 다양한 분야의 사업자가 참여의사를 밝혔다. 이들은 기술 개발과 플랫폼 참여 등 공동사업을 위해 활발히 논의한다.

얼라이언스 구축은 가상자산 사업자에 AML의무를 부과하는 ‘특정금융법(이하 특금법)’ 시행이 결정적 계기가 됐다. 사업자 신고수리 과정에서 대규모 구조조정이 예상되는 가운데, 정부가 가상자산 사업자 불법행위에 대한 대대적인 단속을 예고하면서 시장이 크게 위축되는 상황이다.

얼라이언스는 금융 범죄와 규제 불확실성 등 가상자산 거래가 지닌 근본적인 문제를 최소화하는 한편, 토큰 이코노미의 장점을 극대화해 시장을 활성화시키자는 공감대를 갖고 있다.

최병규 부사장은 "보안 데이터를 분석하다보니 최근 가상자산을 활용한 범죄가 다수 발견됐다"며 "모든 책임은 가상자산 투자자에게 있지만, 개인이 보안 이슈를 해결하기는 너무 어려운 현실이다"라고 아쉬움을 토로했다. 그는 이어 "피해 복구 기술은 턱없이 부족하고 시장 참여자 간 피해 정보를 공유할 수단이 없다"며 "이를 해결하기 위해 블록체인 기술 기반의 생태계에 최적화된 보안·보장 솔루션을 개발했다"고 설명했다.

지난해부터 NSHC와 가상자산 금융범죄 기술협력을 진행하고 있는 구민우 웁살라시큐리티 한국지사장은 "가상자산피해대응센터(CIRC)를 통해 피해자 구제에 힘썼지만 분권화의 아이러니로 범죄 피해금 환수가 쉽지 않은 실정이다"라며 "NSHC가 제안한 가상자산 금융범죄 피해구제 협력 기술로 환수 규모를 늘릴 수 있을 것이라고 판단하고 플랫폼 조성에 참여했다"고 밝혔다.

선제적 규제대응, 가상자산 지급보장, 자기책임 강화 핵심

생태계 활동 핵심은 선제적 규제대응과 가상자산 수탁·지급보증, 그리고 자기 책임 강화다. 대략적인 틀은 다음과 같다.

A기업은 플랫폼 기업 D를 통해 수탁사업자인 E에게 비트코인을 맡긴다. 이 과정에서 D는 A가 누구인지, 자금세탁이나 테러자금과 관련된 인물이 아닌지 필터링한다. 여기에서 특금법 신고수리 요건이 일정 부분 해결된다. 이상 징후가 없을 경우 D는 ‘해당 비트코인이 A의 소유’라는 내용의 증명서를 DID기업인 C를 통해 A가 발급하도록 한다. 증명서는 ‘메타레그(MetaReg)’로 불린다. 일종의 비트코인 보증수표다. 만약 금융사고가 발생할 경우 A는 증명서인 메타레그를 내고 비트코인을 돌려받을 수 있다.

플랫폼 기술 개발은 최병규 부사장이 맡는다. NSHC는 다크웹·딥웹의 가상자산 관련 범죄 데이터베이스를 기반으로 사이버 범죄 예방 솔루션을 제공해왔다. 최병규 부사장은 ▲다크웹, 딥웹 상의 위협 정보 분석 서비스(Darktracer) ▲해킹 사고 정밀 분석 기술(RedAlert 분석팀) ▲모바일 보안 솔루션(DxShield) ▲전세계 해킹 그룹 분석 플랫폼(ThreatRecon) 등 NSHC의 기술을 대거 활용할 방침이다. 이를 바탕으로 가상자산 보증수표를 발행하는 은행의 역할을 담당한다.

웁살라시큐리티는 손해사정사 역할을 맡는다. 가상자산 피해자금을 추적·분석하고 사법기관의 공조를 끌어내는 업무를 수행한다. 가상자산 자금 추적 기술과 가상자산 금융범죄 피해자 구제 이력이 주 무기다. NSHC의 데이터를 바탕으로 가상자산 금융범죄 데이터베이스와 연계해 추가적 연관분석에 활용할 계획이다.

가상자산 활용 종합 금융플랫폼 목표...다양한 기업과 협력 필수

얼라이언스가 활동할 플랫폼은 연구개발 막바지 단계다. 서비스 출시는 이르면 10월 중으로 목표한다.

다만 생태계 활성화를 위해 넘어야 할 산이 몇 가지 있다. 가장 큰 과제는 참여자들이 자발적으로 참여할 수 있는 토큰 이코노미를 구축해 보상 체계를 마련하는 한편, 높은 신뢰성을 바탕으로 플랫폼 참여자를 대거 확보해야 한다는 점이다. 가상자산의 장점인 익명성과 탈중앙성이 약화되는 만큼, 서비스 초반 안전을 중시하는 기관투자자들의 수요가 관건이 될 전망이다.

최병규 부사장은 "범죄 구제 서비스에 그치는 것이 아니라 사건이 발생해도 보상을 받을 수 있고, 사고 우려 없이 가상자산을 활용할 수 있는 종합 금융 플랫폼으로 발전시키겠다"라며 "기술적 책임과 권한을 가진 다양한 업체와 협력이 가장 중요한 요소다"라고 강조했다.

웁살라시큐리티는 전통 보안 기술에 가상자산 추적 시스템을 접목하는 기술을 고도화하는 데 몰두할 예정이다. ▲디파이 플랫폼의 스마트컨트랙트 취약성 공격 ▲디파이 코인 사기(Dumping &run) ▲오라클 이슈로 발생하는 플래시론 공격(flashloan attack) 등 새로운 범죄 유형에 맞는 추적 시스템을 개발할 방침이다.

구 지사장은 "가상자산 금융범죄의 피해가 개인 몫으로 돌아가고 있다"며 "민간의 노력, 산업 발전 규제, 기업의 이용자보호 노력 등이 조화를 이뤄 ‘선의의 피해’가 없는 사회가 되길 기대한다"고 말했다.

한서희 변호사는 "피해자 구제 프로그램에 참여하면서 보상과 환수의 필요성을 절감했다"며 "NSHC와 웁살라시큐리티의 고도화된 기술을 바탕으로 가상자산 시장이 건전화되길 희망한다"고 말했다.

조아라 기자 archo@chosunbiz.com

T조선 뉴스레터 를 받아보세요! - 구독신청하기
매일 IT조선 뉴스를 받아보세요 닫기