박근모
2019년 3월4일 07:00
이해되지 않는 일은 여기서 끝나지 않았다. 이 거래소의 암호화폐 지갑은 본부장의 동생이 대표로 있는 업체에서 관리하고 있었고, 어느 날 갑자기 거래소 지갑의 개인 키를 분실해 수십억원 규모의 암호화폐를 찾을 수 없게 됐다.
거래소는 이들을 횡령 및 배임 혐의로 형사고발했으며, 본부장 측은 단순 실수라며 법정 대응을 진행 중이다. 거래소는 연이은 손실로 결국 파산 절차에 들어갔다. 이 거래소의 투자자들은 황당함을 넘어 분노하고 있다.
이 모든 일이 불과 2년 사이에 국내 한 암호화폐 거래소에서 일어났다. '야피존'에서 '유빗'으로, 마지막으로 '코인빈'으로 이름을 바꾼 거래소의 이야기다.
야피존의 탄생과 1차 해킹
야피존은 2013년 7월 암호화폐 거래 서비스를 시작한 코빗에 이어 2014년 1월 문을 연 암호화폐 거래소다. 야피존은 부부 관계인 이진희 대표와 장 아무개 부대표가 운영했다. 큰 성장세를 보이진 못했지만, 국내 중소 규모의 암호화폐 거래소로 자리를 잡아갔다.
야피존이 처음 해킹을 당한 2017년도는 암호화폐에 대한 관심이 높아지며, 국내외 암호화폐 거래 시장이 빠르게 성장한 시기다. 그해 4월 야피존은 국내 첫 번째 해킹 사고가 발생한 암호화폐 거래소로 기록됐다. 당시 야피존은 "새벽 2~3시 사이에 해커의 공격으로 거래소의 핫월렛 4개가 탈취당하는 사건이 발생했다"고 밝혔다. 이 사고로 야피존은 당시 거래소 내 보유하고 있던 고객의 총자산의 37.08%인 3831 BTC(비트코인, 당시 약 55억원 상당)을 손실했다.
당시 야피존은 "법률 및 회계 자문과 검토를 거친 끝에 발생한 손실이 모든 회원에게 공평하게 적용돼야 한다"며 "37.08%에 대한 손실을 모든 회원의 보유 자산에서 차감한다"고 밝혔다. 거래소가 보안 관리를 제대로 하지 못한 탓에 해킹당했지만, 손실 피해는 모든 회원이 함께 해야 한다는 논리를 폈다. 당연히 회원들은 반발했다. 야피존은 회원들의 반발을 무마하기 위해 해킹당한 55억 원 상당의 피해액을 자체 코인인 '페이(Fei)'로 보상했다. 페이는 야피존에서만 거래가 이뤄지는 만큼 회원들은 울며 겨자 먹기로 야피존에 머물 수밖에 없게 됐다.
야피존에서 유빗으로 그리고 2차 해킹과 1차 파산
야피존은 해킹으로 얼룩진 이름을 버리고 2017년 10월 유빗으로 명칭을 변경했다. 또한 해킹 사고 발생 시 피해 보상을 위해 DB손해보험과 30억 원 규모의 사이버종합보험에 가입했다. 추가로 유빗은 거래소 내부 시스템과 암호화폐 키 관리를 위해 땡글과 유지보수 계약도 맺었다. 땡글은 국내 암호화폐 커뮤니티 중 가장 큰 규모를 자랑했고, 운영자인 이운희씨는 '블록체인 구조를 사용하는 암호화폐 거래방법'에 대한 특허를 비롯해, '비트코인 쉽게 배우기'라는 책을 출판하는 등 당시 국내 암호화폐 전문가로 활동했다.
코인빈에 따르면 이때 이운희씨가 유빗의 암호화폐 키 관리를 담당했다. 이운희씨는 이진희 대표의 친동생이다. 결국 당시 유빗은 부부인 이진희 대표와 장 아무개 부대표, 그리고 동생 이운희씨 등 사실상 한 가족이 좌지우지하는 거래소였다.
2017년 12월19일 유빗은 또 한 번 해킹을 당했다. 1차 해킹과 마찬가지로 핫월렛에 보관 중이던 약 270억 원(전체 보유 자산 중 17%) 상당의 암호화폐가 탈취됐다. 경찰과 한국인터넷진흥원(KISA)은 조사 결과 피해액 중 100억 원 규모의 암호화폐는 한 노트북에 보관돼 있었다고 밝혔다. 코인빈은 이 노트북이 유빗의 암호화폐 키를 관리했던 이진희 대표와 이운희씨가 사용해온 것이라고 설명했다.
유빗은 "피해액은 전체 보유 자산의 약 17% 규모"라며 "회원들의 자산을 75%로 감자하고 추후 보상안을 마련하겠다"고 발표했다. 유빗은 이번에도 해킹으로 인한 손실을 회원들에게 그대로 전가했다. 또 한번 당한 회원들은 유빗 측이 강조하던 DB손해보험의 사이버종합보험으로 손실 일부를 보상받을 수 있다고 기대했다. 하지만 DB손해보험은 유빗이 보험 계약 이전에 해킹이나 보안상의 문제점을 알려야 하는 고지의무를 위반했다고 주장하며 보험금 지급을 거부했다. 이진희씨는 지금도 DB손해보험과 보험금 지급 소송을 이어가고 있다.
유빗은 이렇게 2번의 연이은 해킹으로 인해 파산 절차에 들어가게 된다. 하지만 유빗은 이렇게 끝나지 않았다.
유빗에서 코인빈으로 다시 시작
연이은 해킹으로 약 325억 원 상당의 손실이 발생해 파산을 선언한 유빗은 해결사로 등장한 한 명의 VVIP 회원으로 인해 구사일생한다.
코인빈의 현 대표인 박찬규 씨에 따르면 그동안 야피존과 유빗을 통해 암호화폐 거래를 해온 홍 아무개 회장이라는 인물이 유빗을 인수해 해킹으로 인한 손실을 해결하겠다고 나섰다. 박찬규 대표는 "홍 회장은 1차 해킹 때 10억 원, 2차 해킹 때 20억 원 등 막대한 손실이 발생했지만, 이를 해결하겠다고 직접 나선 것"이라고 설명했다.
코인빈에 따르면 홍 회장은 2017년 10월 유빗에 클럽코인(CLUBcoin)이라는 암호화폐 상장을 도왔으며, 클럽코인 소유자들을 유빗에 가입시키는 등 유빗 거래소의 핵심 고객이다. 홍 회장이 상장을 주도했다는 클럽코인은 '자신들이 전 세계 10대 비트코인 채굴업체 중 하나라고 주장'하는 비트클럽이 발행한 암호화폐다.
클럽코인은 현재 전 세계에서 단 2곳의 거래소(요빗, 트레이드사토시)에 상장돼 있으며, 거래는 거의 이뤄지지 않고 있다.(원래는 코인빈, 요빗, 트레이드사토시 등 3곳에 상장했으나 코인빈이 또 한 번 파산 절차에 들어가며 모든 거래가 중단됐다.) 코인빈은 클럽코인이 홍 회장 때문에 상장이 이뤄진 것이 아니라 면밀한 내부 상장평가 후 상장된 것이라고 주장했다.
아무튼 홍 회장의 투자로 다시 한번 살아남게 된 유빗은 현재의 모습인 코인빈으로 이름을 바꿨다.
두 번의 해킹사고를 내고, 거래소를 파산에 이르게 한 이진희 대표와 그의 아내는 어떻게 됐을까? 그들 역시 코인빈에서 살아남았다. 이번에는 본부장과 경영실장이라는 직책이었다. 그리고 동생인 이운희씨는 코인빈 사무실의 아래층에 있는 블록체인 개발 업체 제너크립토(현 제미니스)의 대표가 됐다.
거래소 지갑 분실과 횡령 고소
고객의 자산을 관리하는 회사가 해킹을 당해 수백억 규모의 자산 손실이 발생했다면, 그 대표는 어떻게 될까? 고의로 인한 것이라면 해고는 당연하고, 법적 처벌까지 받게 된다. 만약 천재지변과 같은 불가피한 상황으로 인한 것이라면 법적 처벌은 받지 않겠지만, 회사를 책임지는 대표였던 만큼 도의적인 책임을 지고 물러나는 게 일반적일 것이다.
야피존-유빗-코인빈에서는 이 같은 상식이 무너졌다.
두 번의 해킹으로 인해 325억 원 상당의 고객 자산을 잃어버렸다. 하지만 당사자들은 본부장, 경영실장이라는 이름으로 여전히 거래소를 좌지우지했다. 유빗을 살리기 위해 개인자금까지 투입했다던 홍 회장과 박찬규 코인빈 대표는 원활한 거래소 운영을 위한 것이라며 이진희 전 대표를 거래소 시스템 운영관리 본부장, 장 아무개 부대표는 경영실장에 앉혔다. 그리고 또 한 번 역사는 반복됐다.
코인빈에 따르면 2018년 10월 21일 거래소 시스템 운영관리와 코인 입출금 관리를 책임지는 이진희 본부장이 코인빈이 보유하고 있던 암호화폐 개인 키를 삭제해 520 BTC(약 22억 원)와 101.26 ETH(이더리움, 약 1억5000만 원) 등 총 23억 5000만 원 상당의 암호화폐를 찾을 수 없게 됐다.
블록체인에서 개인 키는 비밀번호 역할을 한다. 개인 키를 분실했을 경우 해당 지갑에 있는 암호화폐 이체가 불가능하다. 일반적으로 개인 키 유출과 분실을 막기 위해서 암호화폐 거래소는 온라인 접속이 연결되지 않은 콜드월렛이나 하드월렛 방식의 렛저(ledger), 물리적인 종이월렛 등에 보관한다. 또한 개인 키가 분실될 경우 찾을 수 없다는 점을 보완하기 위해 2차, 3차 백업 등 만약의 경우를 대비한다.
박 대표는 "이진희 전 본부장은 암호화폐 전문가로 평소에 암호화폐 지갑 관리의 중요성을 말하고 다녔다"며 "별도의 백업 없이 개인 키를 삭제한 것은 실수가 아닌 고의 또는 횡령의 목적으로 이뤄진 범죄 행위"라며 이 전 본부장을 배임·횡령 등의 혐의로 고소할 방침이라고 밝혔다.
반면 이 전 본부장은 경위서를 통해 "본인은 코인빈에서 본부장의 직책으로 지갑간 코인 이체시 이체수량, 이체주소, 패스워드 입력을 책임져 왔다. 하지만 지갑 서버로의 접근 및 지갑 데이터 파일의 백업 관리는 다른 직원이 담당해, 암호화폐 입출금 후 개인 키를 백업해야 한다는 사실을 몰랐다"며 고의가 아닌 실수라고 항변했다.
박찬규 코인빈 대표는 지난 20일 코인빈 사무실에서 기자회견을 열고 개인 키 분실로 인해 추가 손실이 발생해 파산 절차를 밟는다고 밝혔다. 또한 "이 전 본부장의 거래소 개인 키 삭제로 인해 발생한 손실에 대해서는 민형사상 책임을 끝까지 물을 방침"이라고 강조했다.
그러나 이 전 본부장은 "이미 국세청 세무조사와 2번의 검·경 압수수색 등을 통해 코인빈의 주장에 대해서 혐의가 없음이 밝혀진 상황"이라며 "거래소 운영이 어려워지자 개인 키 분실을 이유로 코인빈이 나를 방패막이로 세우는 것"이라고 주장했다.
코인빈은 이렇게 불과 2년 사이에 약 348억 5000만 원 상당의 고객 자산 손실을 입었다. 이 와중에 이 전 본부장 측과 박찬규 코인빈 대표 측은 서로 아무 잘못이 없다며, 상대측이 책임져야 한다고 주장하고 있다. 결국 이 모든 손실은 그동안 코인빈을 이용해 온 투자자들의 몫으로 돌아갔다.
제보, 보도자료는 contact@coindeskkorea.com