위믹스, 87억 해킹 충격 뒤 21일 생존 게임 시작

해킹 피해 은폐 의혹에 입 연 위믹스 “은폐 시도 없었다”

지난 17일 위메이드의 블록체인 자회사인 위믹스 재단의 김석환 대표는 지난달 28일에 위메이드에서 일어난 대규모 가상화폐 탈취 사건에 대한 경과, 대응, 향후 계획 등에 대해 밝혔다. 김 대표는 해킹 사고 이후, 24시간 비상 대응 체제를 유지하고 있으며, 피해 복구와 원인 규명에 집중하고 있다고 강조했다. 또한 “입이 열 개라도 할 말이 없다. 저의 실책이고 과오”라고 밝히며 재발 방지를 약속했다.

앞서 위믹스 재단은 2월 28일에 가상화폐 지갑 ‘플레이 브릿지 볼트’에 대한 악의적인 외부 공격으로 약 865만4860개의 위믹스 코인이 탈취됐다고 이달 4일 공지했다. 피해 규모는 약 87억5000만원으로 드러났다. 플레이 브릿지는 위믹스를 다른 블록체인 네트워크로 전송하는 시스템으로, 플레이 브릿지 볼트는 이 과정에서 가상자산을 보관하는 지갑을 말한다.

당시 위믹스 재단은 해킹 피해를 인지한 지 4일이 지나 공지했다. 이에 일각에서는 사고를 은폐하려고 한 것이 아니냐는 의혹이 제기됐다. 이에 김 대표는 “해킹은 은폐하려는 생각이나 시도는 추호도 없었다”라고 강조하며 공지가 늦어진 이유에 대해 밝혔다.

김 대표는 해킹 피해를 인지한 후, 문제가 발생한 서버를 바로 셧다운하였으며 15차례에 걸쳐 해외 가상화폐 거래소에 자산 동결 조치를 요청했다. 또한 당일 서울경찰청 사이버수사과에 고소장을 제출했다고 밝혔다. 그는 침투 방법이 특정되지 않은 상황에서 섣부르게 공지하게 된다면 추가 공격에 노출될 수 있어 즉각적인 공지를 하지 않았다고 말했다. 또한 지난 3일 탈취 자산의 99.5%가 이미 시장에서 매도된 걸 확인했고, 급격한 패닉셀(공포에 의한 매도)이 나올 일은 없겠다고 판단해 4일 새벽 공지를 냈다고 덧붙였다.

이날 재단은 투자자 보호와 재발 방지를 위한 향후 계획에 대해서도 언급했다. 앞서 재단은 1년 이내에 100억원 규모의 바이백(자사 코인 매입)을 실시하고, 별도로 2000만 규모의 위믹스(약 160억원어치) 장내 매수 계획을 밝힌 바 있다. 김 대표는 “추가 침투 시나리오에 대비하기 위해 모든 인증 절차를 교체했고, 혹시 모를 시스템 오염 상황에 대비해 블록체인 인프라를 새로운 환경으로 이전하고 있다”라며 “아무리 작은 자산 이동이라도 24시간 모니터링하도록 하고 의심 거래는 추가 승인 과정을 거치게 시스템을 재정비해 오는 21일 차질 없이 전체 서비스를 재개하겠다”라고 강조했다.

원인 규명 진행 중... “공용 저장소에서 유출되었을 가능성 있어”

그러나 일각에서는 아직 공격자가 특정되지 않은 상황에서 오는 21일 서비스를 완전히 재개하는 것에 대한 우려도 있다. 이에 안용운 위메이드 최고기술책임자(CTO)는 “NFT 브릿지의 모든 키를 교체했고, 해커가 무엇을 들고 있더라도 동일한 침해가 발생할 가능성은 극히 낮다”라고 설명했다. 이어 “해킹 이슈는 가상자산 업계에 끊임없이 발생하는 이슈로 거래소 보안과 내부 정책이 제대로 구축되면 충분히 재발 방지가 가능하다”라고 덧붙였다.

김 대표는 “전문적인 해커의 소행 같다”라고 밝히며 북한의 국제적인 해커 조직인 ‘라자루스’의 연루 가능성에 대해서 “내·외부 보안 전문가의 의견으로는 라자루스일 가능성에는 무게를 두고 있지 않다”라고 말했다.

위닉스 재단에 따르면, 신원 미상의 공격자가 대체불가토큰 플랫폼 ‘나일’의 서비스 모니터링 인증키를 탈취했다. 이후 비정상 거래를 생성해 15차례 인출을 시도했다. 그 결과 15차례 중 13번의 공격이 성공했고, 위믹스를 탈취해 쿠코인, 비트마트 등 7개의 해외 거래소로 입금한 뒤 대부분 매도한 것으로 추정했다.

이날 위닉스 재단은 모든 가능성을 열어두고 사고 원인을 파악하고 있다고 밝혔다. 현재까지 위메이드는 가장 유력한 원인으로 2023년 7월 한 개발자가 공용 저장소에 업로드한 자료가 유출되었을 가능성을 지목했다. 김 대표는 “100% 확신할 순 없지만 가장 가능성이 높은 최초 유출 경로이자 사고 원인으로 파악하고 있다”라고 설명했다.

원인 미상의 해킹이 발생한 가상자산은 상장 불가... 위믹스 ‘2차 상폐’ 위기

한편, 국내 가상화폐 거래소 간 협의체인 디지털자산거래소 공동협의체(DAXA, 닥사)는 위믹스 재단이 해킹 피해를 공지한 당일 위믹스 코인을 거래 유의 종목으로 지정하고 입금을 중지시켰다. 닥사는 21일까지 위믹스의 상장 재심사를 진행할 예정이다. 닥사는 위믹스의 거래 유의 종목 지정을 연장·해제하거나 거래지원을 종료(상장폐지)할 수 있다. 특히 닥사는 지난해 7월 상장 가이드라인에 ‘원인이 밝혀지지 않은 해킹 등 보안 사고가 발생한 가상자산을 상장하지 않는다’는 내용을 명시한 바 있다. 실제로 해킹 사건을 겪은 썸씽, 플레이댑 등이 상장폐지 됐다.

만일 위믹스가 또다시 상장폐지가 될 경우, 국내 최초로 2회 이상 상장폐지를 경험하는 가상자산이 된다. 지난 2022년 12월 위믹스는 각 거래소에 제출한 유통량 계획 정보와 실제 유통량 간의 차이가 있다는 점이 문제가 되어 국내 5대 가상자산 거래소에서 퇴출당한 바 있다. 이후 시정조치를 했고, 2023년 12월 업비트를 제외한 4개 가상자산 거래소에서 가까스로 재상장하는 데 성공했다.

김 대표는 “소명 과정에 대해 구체적으로 이야기하기 어렵지만, 최선을 다해 닥사에 소명하겠다”라고 밝히며 “지금은 서비스 정상화가 최우선이지만, 혹시 거래지원 종료 결정이 내려진다면 그에 대해서는 차후 말씀드리겠다”라고 말했다. 이어 “위믹스가 걸어갈 길은 해킹이 마지막이 아니다”라며 “이번 사태를 계기로 위믹스가 성공적인 블록체인 생태계와 플랫폼이 될 수 있게끔 최선을 다하겠다”라고 피력했다.

이에 업계에서는 닥사의 상장 가이드라인에 따라 위믹스가 또다시 상장폐지 될 가능성에 무게를 두고 있는 가운데, 위믹스가 지금의 해킹 피해와 상장폐지 위기를 극복하고 다시 투자자들의 신뢰를 회복할 수 있을지 주목된다.