올해 3분기까지 해킹에 의한 가상자산 탈취 규모가 약 4조원에 이르는 것으로 나타났다. 그 가운데 97%가 탈중앙화금융(디파이) 플랫폼에서 발생한 것으로 파악되는 등 주의와 대응이 요구된다.

블록체인 데이터 분석 기업 체이널리시스에 따르면 올해 3분기까지 해킹에 위해 탈취된 가상자산은 총 30억1000만달러(약 3조8130억원)인 것으로 집계됐다. 지난해 같은 기간 22억달러(2조7889억원) 대비 36.4% 증가했다.

이 가운데 97%인 29억2000만달러가 디파이 플랫폼에서 탈취, 가상자산 해킹 공격이 대부분 디파이 중심으로 이뤄지고 있는 것으로 나타났다.

디파이는 업비트나 빗썸 같은 중앙화 거래소(CEX) 없이 개인간거래(P2P) 방식으로 금융서비스를 제공한다.

거래자가 블록체인 상에서 직접 P2P거래 시장을 개설해 독립적으로 가상자산을 저장하고 운용할 수 있다. 거래 수수료 등 비용이 절감되고, 신기술을 접목한 새로운 금융서비스를 쉽게 개발할 수 있어 주목받고 있다.

디파이 서비스 총예치자산금액(TVL)은 2019년 2억달러(2538억원), 2020년 초 7억달러(8882억원)에서 지난 3월 2000억달러(254조원)까지 늘어났다. 최근 거래소 파산 등으로 중앙화 거래 시스템에 불신이 커지고 코인 시장이 연쇄 붕괴 조짐을 보이면서 디파이 시장으로 자산이 유입됐다.

반면에 규제가 미흡하고 취약점 점검이 제대로 이뤄지지 않아 해킹의 온상이 됐다.

디파이 서비스는 전통 금융시스템과 궤를 달리하고 있어 각국이 규제를 내놓지 못하고 있다. 이 때문에 중앙화 거래소와 달리 고객 신원 확인이 어렵고 추적이 어려운 다크코인이 거래된다. 다수의 디파이 서비스가 오픈 프로젝트로 개발·운영되고 있어 보안 취약점의 존재 가능성도 짙다.

디파이는 블록체인 상 스마트 계약으로 구동된다. 스마트 계약은 블록체인 네트워크에서 계약 내용·실행 조건을 코드로 사전 설정한 후 해당 조건이 충족되면 계약을 자동 성사시키는 기능이다. 스마트 계약은 코드로 이뤄지기 때문에 사이버 공격의 표적이 됐다.

해킹에 의해 코드에 오류가 발생하면 보관된 가상자산을 탈취하고 운영체계를 무용화할 수 있다. 무엇보다 사고가 발생해도 책임 소재가 불분명하고 보상을 받기가 쉽지 않다는 점이 디파이의 가장 큰 문제다.

이로 말미암아 가상자산 탈취 사고에서 디파이 비중은 지속 상승하고 있다. 2017년 6%에 불과했지만 2020년 25%를 넘어선 뒤 지난해 71%로 급증했다. 올해는 지난 8월 미국 크로스체인 브리지 업체 노마드가 사용자 지갑에 보관된 1억9000만달러(2411억원)어치의 이더리움과 USDC(USD코인)를 도난당하는 등 대형 탈취 사고가 연이어 발생했다. 국내에서도 2월에 국내 최대 규모의 디파이 서비스 클레이스왑이 22억원을 털렸다.

국가정보원, 과학기술정보통신부, 정보보호 산업계는 새해 가상자산 관련 사이버 범죄 주요 대상으로 디파이 서비스를 지목하고 대응을 주문했다. 특히 북한의 탈취 기술이 가장 앞서 있어 각별한 주의를 당부했다.

국정원은 “해커는 보안대책이 수립되면 기회비용이 크게 증가하기 때문에 새로운 산업군, 플랫폼을 노리기 시작한다”며 “최고의 공격 효과를 얻기 위해 디파이를 비롯한 NFT, 메타버스 등 소위 웹3.0 관련 플랫폼을 노릴 것”이라고 내다봤다.

백용기 체이널리시스 한국지사장은 “스마트 계약의 감사, 보안을 강화하고 소비자가 신뢰할 수 있는 기관의 인증을 통해 안전한 디파이 거래 방식을 수립해야 한다”면서 “보안 취약점을 악용한 활동이 감지되면 즉시 투자자에게 경고할 수 있는 대응 체계가 필요하다”고 강조했다.

최호기자 snoop@etnews.com