최근 국내외에서 디파이(DeFi, 탈중앙금융)를 겨냥한 가상자산 범죄가 기승을 부리고 있어 각별한 주의가 필요해 보인다. 디파이는 블록체인 기반의 가상자산을 이용한 탈중앙화 금융 서비스를 의미한다. 디파이는 디지털 시대에 중개 기관 없이 자유롭게 다양한 금융 서비스를 제공할 수 있다는 편리성과 함께 주목받으며 급속도로 성장하고 있다.

하지만 문제는 시장의 성장과 함께 관련 범죄도 계속 늘고 있다는 점이다. 디파이 통계 사이트 디파이 펄스에 따르면, 2021년 3월을 기준으로 전 세계의 디파이 예치 금액은 418억 달러(약 52조 8802억 원)로 1년 만에 75배 이상 증가했다.

낮은 보안성, 해커의 먹잇감으로 전락한 디파이

데이터 플랫폼 기업 체이널리시스가 발표한 ‘2022 가상자산 범죄 보고서’에 따르면, 2021년에 발생한 가상자산 범죄 피해액은 140억 달러(약 17조 9704억 원)로 집계됐다. 이는 전년 대비 78억 달러(약 10조 원)가 증가한 수치로 역대 최고치를 기록했다.

눈여겨볼 점은 지난해 발생한 가상자산 범죄 중에서 자금 도난 사건이 급격히 늘고 있다는 것이다. 2021년 가상자산 도난 자금은 2020년에 비해 그 액수가 516%가 증가해 32억 달러(약 4조 원)에 달하는데, 이 도난 자금 중 72%는 디파이 플랫폼에서 발생한 것으로 알려졌다. 또한 그중 자금 세탁에 해당하는 건수는 1964% 증가해 9억 달러(약 1조 976억 원)에 이른다.

올해 1월에는 디파이 플랫폼을 연결하는 토큰 브릿지 서비스 웜홀에서 해킹 사고가 일어나 약 3억 200만 달러(약 3616억 원)의 손실이 발생했다. 해커가 웜홀 프로토콜의 결함을 악용, 솔라나 블록체인에서 12만 개의 이더 토큰을 훔친 뒤 3750개의 이더리움으로 바꿔 판매한 것이다.

3월에는 북 연계 해커 조직 라자루스가 디파이 플랫폼 ‘로닌 네트워크’에서 6억 2000만 달러(약7700억 원)의 이더리움을 탈취했다. 라자루스는 로닌 네트워크의 보안 취약점을 이용해 해킹을 감행한 것으로 알려졌다. 라자루스는 로닌 네트워크의 보안 취약점을 이용해 해킹을 감행한 것으로 알려졌다.

4월에는 디파이 플랫폼 라리 캐피털에서 약 8000만 달러(1012억 원)의 가상자산이 해킹됐다. 해커는 라리 캐피털의 퓨즈 대출 서비스에서 버그를 사용해 해킹을 감행했는데, 현재까지 이들이 디파이 플랫폼에서 훔친 금액은 약 15억 7000만 달러(약 1조 9855억 원)에 달하는 것으로 파악됐다. 이 외에도 디파이 플랫폼에서는 2020년에 17건, 2021년에는 8건 이상으로 1억 달러(약 1289억 원)가 넘는 금액이 손실된 해킹 사건이 발생했다.

한국자본시장연구원이 2021년 12월을 기준으로 디파이 플랫폼에서 발생한 10대 보안 사고(피해액 기준)를 조사한 결과, 디파이를 겨냥한 해킹은 주로 서비스 프로그래밍 코드상의 보안 취약점을 공격하거나 관리자의 계정을 탈취하는 방식으로 이뤄지고 있다.

이런 이유로 전문가들은 디파이가 현재 디지털 범죄의 새로운 온상지가 돼 가고 있다며, 디파이 를 통한 투자나 서비스 이용 시 각별한 주의를 기울여야 한다고 경고한다. 디파이는 중개 기관 없이 다양한 금융 거래를 할 수 있다는 장점이 있지만, 기반 기술인 블록체인의 결함 및 보안 문제, 규제 불확실성 등으로 위험 요소가 상당히 높기 때문이다.

피해 책임 소재 불분명, 손실 보증 어려워 ‘러그풀’도 심각