최근 국내외에서 디파이(DeFi, 탈중앙금융)를 겨냥한 가상자산 범죄가 기승을 부리고 있어 각별한 주의가 필요해 보인다. 디파이는 블록체인 기반의 가상자산을 이용한 탈중앙화 금융 서비스를 의미한다. 디파이는 디지털 시대에 중개 기관 없이 자유롭게 다양한 금융 서비스를 제공할 수 있다는 편리성과 함께 주목받으며 급속도로 성장하고 있다.

하지만 문제는 시장의 성장과 함께 관련 범죄도 계속 늘고 있다는 점이다. 디파이 통계 사이트 디파이 펄스에 따르면, 2021년 3월을 기준으로 전 세계의 디파이 예치 금액은 418억 달러(약 52조 8802억 원)로 1년 만에 75배 이상 증가했다.

 

 

낮은 보안성, 해커의 먹잇감으로 전락한 디파이

데이터 플랫폼 기업 체이널리시스가 발표한 ‘2022 가상자산 범죄 보고서’에 따르면, 2021년에 발생한 가상자산 범죄 피해액은 140억 달러(약 17조 9704억 원)로 집계됐다. 이는 전년 대비 78억 달러(약 10조 원)가 증가한 수치로 역대 최고치를 기록했다.

눈여겨볼 점은 지난해 발생한 가상자산 범죄 중에서 자금 도난 사건이 급격히 늘고 있다는 것이다. 2021년 가상자산 도난 자금은 2020년에 비해 그 액수가 516%가 증가해 32억 달러(약 4조 원)에 달하는데, 이 도난 자금 중 72%는 디파이 플랫폼에서 발생한 것으로 알려졌다. 또한 그중 자금 세탁에 해당하는 건수는 1964% 증가해 9억 달러(약 1조 976억 원)에 이른다.

올해 1월에는 디파이 플랫폼을 연결하는 토큰 브릿지 서비스 웜홀에서 해킹 사고가 일어나 약 3억 200만 달러(약 3616억 원)의 손실이 발생했다. 해커가 웜홀 프로토콜의 결함을 악용, 솔라나 블록체인에서 12만 개의 이더 토큰을 훔친 뒤 3750개의 이더리움으로 바꿔 판매한 것이다.

3월에는 북 연계 해커 조직 라자루스가 디파이 플랫폼 ‘로닌 네트워크’에서 6억 2000만 달러(약7700억 원)의 이더리움을 탈취했다. 라자루스는 로닌 네트워크의 보안 취약점을 이용해 해킹을 감행한 것으로 알려졌다. 라자루스는 로닌 네트워크의 보안 취약점을 이용해 해킹을 감행한 것으로 알려졌다.

4월에는 디파이 플랫폼 라리 캐피털에서 약 8000만 달러(1012억 원)의 가상자산이 해킹됐다. 해커는 라리 캐피털의 퓨즈 대출 서비스에서 버그를 사용해 해킹을 감행했는데, 현재까지 이들이 디파이 플랫폼에서 훔친 금액은 약 15억 7000만 달러(약 1조 9855억 원)에 달하는 것으로 파악됐다. 이 외에도 디파이 플랫폼에서는 2020년에 17건, 2021년에는 8건 이상으로 1억 달러(약 1289억 원)가 넘는 금액이 손실된 해킹 사건이 발생했다.

한국자본시장연구원이 2021년 12월을 기준으로 디파이 플랫폼에서 발생한 10대 보안 사고(피해액 기준)를 조사한 결과, 디파이를 겨냥한 해킹은 주로 서비스 프로그래밍 코드상의 보안 취약점을 공격하거나 관리자의 계정을 탈취하는 방식으로 이뤄지고 있다.

이런 이유로 전문가들은 디파이가 현재 디지털 범죄의 새로운 온상지가 돼 가고 있다며, 디파이 를 통한 투자나 서비스 이용 시 각별한 주의를 기울여야 한다고 경고한다. 디파이는 중개 기관 없이 다양한 금융 거래를 할 수 있다는 장점이 있지만, 기반 기술인 블록체인의 결함 및 보안 문제, 규제 불확실성 등으로 위험 요소가 상당히 높기 때문이다.

 

 

피해 책임 소재 불분명, 손실 보증 어려워 ‘러그풀’도 심각 

디파이는 투자와 관련된 문제가 발생할 시, 책임의 소재가 불분명하고 법적 보호 장치도 없다는 치명적인 결함도 가지고 있다. 고로 최근에는 디파이를 겨냥한 ‘러그풀’도 심각한 문제로 떠오르고 있다.

러그풀은 개발자가 자금 모집-투자 기회 제공 등 새로운 가상자산 프로젝트를 진행하다가 중도에 이를 포기하거나 토큰을 팔아버린 후 잠적하는 형태의 신종 사기 수법이다.

문제는 러그풀로 인한 피해가 발생해도 디파이는 대다수가 ▲환수 규정 부재 ▲법적 인프라 미비 ▲블록체인 네트워크 익명성 등의 특성을 가지고 있어 손실을 되돌리는 것이 불가능하다는 점이다.

올해 1월에는 카카오 블록체인 클레이튼 기반의 디파이 프로젝트에서 다수의 러그풀 사건이 연 이어 발생했다.

1월 23일 클레이튼 기반 밈 코인 떡볶이 코인 운영진이 투자자들에게 아무 설명도 없이 프로젝트를 중단하고 자금을 챙긴 채 잠적했다. 이전에 이들은 투자자들을 안심시키기 위해 코인을 홍보하면서 디파이 플랫폼 클레이스왑에 코인을 등록하기도 했다.

길고양이 구조를 내세워 투자자들을 현혹한 사건도 있었다. 길고양이 집사를 자청한 ksh 밈 코인 운영자는 투자금이 일정 금액 모이자 관련 커뮤니티를 모두 없애고 투자금을 전량 매각한 후 잠적했다. 디파이 업계에 따르면, 당시 피해액만 약 2억 5000만 원에 달하는 것으로 파악됐다.

이러한 러그풀 사건은 해외에서도 발생하고 있다. 2021년 3월에는 가상자산 거래소 바이낸스가 운영하는 디파이 플랫폼 BSC 기반 프로젝트에서 사건이 발생했다. 터틀덱스라는 프로젝트 운영진이 예치된 투자금 200만 달러(약 22억 원)을 들고 사라진 것이다. 피해자들은 바이낸스 측에 계좌 동결과 출금 제한 등의 조치를 요구했지만, 디파이의 특성상 이미 일어난 손실을 막을 수는 없었다. 이 외에도 DeFi100 프로젝트, BSC 기반 월스트리트 스왑-허니 스왑 등 디파이와 관련된 해킹, 러그풀 등 관련 범죄가 끊이지 않고 있다.

디파이는 ▲낮은 보안성으로 인한 피해 ▲운영 주체 식별의 어려움 ▲금융 규제 적용의 어려움 ▲규제 위반에 대한 책임 소재 불분명 ▲국가 간 유동성으로 인한 규제 적용의 한계 등으로 현재 큰 위협에 봉착하고 있다.

 

 

디파이 범죄 예방을 위해 우리가 해야 할 일

이런 점들을 봤을 때 개인들은 디파이 이용 시 신중한 고민 후에 투자에 임해야 하며, 금융당국은 피해 규모와 양상을 고려해 사회의 요구에 맞는 규제 정책을 수립할 필요가 있어 보인다.

먼저 개인 투자자들은 이용하는 디파이에서 언제든지 보안 사고가 발생할 수 있다는 점을 고려해야 한다. KISA의 ‘블록체인 기반 혁신 금융 생태계 연구 보고서(2021)’에 따르면, 디파이에는 개발의 주체는 있지만 네트워크의 안전성을 보장하는 관리자는 없다. 이는 누구나 적은 비용으로 쉽게 서비스를 개발할 수는 있지만 정작 보안 장치는 갖춰져 있지 않다는 말이다.

이는 디파이에서 발생하는 사고에 대한 책임과도 직결된다. 따라서 이용자들은 꼭 해당 서비스를 개발한 주체가 누구인지, 믿을 만한 대상인지 확인해야 한다. 만약 이를 간과해 피해가 발생할 경우, 책임을 지고 보증해 주는 법적 장치도 없기 때문에 피해의 책임은 고스란히 개인의 몫이 된다.

미국의 연방준비제도(FRB) 연구에 따르면, 디파이는 다른 프로토콜이나 외부 데이터에 대한 의존도가 높아, 여러 스마트 계약이 중첩될 경우 오류 가능성이 높다. 블록체인에 의존해 작동하는 특성상, 거래량 증가에 따라 거래 처리 속도가 느려지는 등 시스템의 오류가 발생할 수밖에 없다.

이러한 결함들로 디파이 규제에 대한 금융당국의 고민은 점점 깊어지고 있다. 디파이는 법정 화폐가 개입된 거래소를 거치지 않는다는 특성 때문에, 거래 과정에서 규제 기관이 개입할 수 있는 여지가 많지 않기 때문이다. 
 
현재 디파이에 대한 규제는 고객 신원 확인(KYC)을 한 거래소에서 주고받은 주소를 통해 개인들을 특정하고 이를 토대로 거래 내역과 거래 주체를 추적하는 정도다. 하지만 이는 이미 거래가 이뤄진 후에 일이지, 개인 간의 거래를 차단하거나 거래 전에 미리 제어하는 것은 불가능하다.

게다가 최근에는 거래의 연결만 지원하는 플랫폼이나 지갑 업체는 규제 대상 사업자에서 제외됨에 따라, 디파이가 특정금융정보법의 규제 대상에 포함되지 않을 가능성은 더 커졌다.

 

 

KISA와 금융위원회 등은 디파이가 아직 초기 시장이고 아직은 규제 방향을 잡을 수 있을 만한 수준으로 서비스 모델이 충분히 개발되거나 정착되지 않았기에, 디파이와 관련된 여러 경험들과 장단점들을 겪어 봐야 실효성 있는 규제에 대한 논의가 가능해질 것으로 보고 있다.

디파이는 탈중앙화의 형태로 이를 중앙에서 규제하거나 제어하는 것은 분명 쉽지 않다. 하지만 각종 해킹, 러그풀 등 관련 범죄가 계속 발생하는 시점에서 마냥 손을 놓고 있을 수도 없다. 따라서 규제에 있어 보다 현명한 접근이 필요하다.

따라서 금융당국은 디파이 서비스를 선별해서 이용자들이 사기 혹은 실패할 가능성이 큰 서비스에 접근하지 않도록 정보를 제공하거나, 기술적으로 철저한 검증을 통해 시스템 상의 보안 침해나 오류 발생 가능성, 해킹 가능성을 최대한 사전에 걸러낼 수 있도록 이용에 길라잡이를 해주는 역할을 계속해 나가야 할 것으로 보인다.