‘거래소 털렸다 VS 특정 사용자 해킹’ 코인원 해킹 진실공방

가상자산거래소 코인원이 최근 해킹 및 정보유출 의혹으로 진통을 겪는 가운데 28일 “점검 결과 정보유출은 사실무근”이라며 “해당 건은 특정 사용자의 본인 해킹으로 벌어진 사안”이라는 입장을 내놨다. 코인원 자체 시스템에는 전혀 결함이 없었다는 것이다. 이에 피해자들은 “개인이 해킹당해 일어난 문제라면 왜 다른 코인거래소는 멀쩡하고 유독 코인원만 말썽이냐”라며 맞선 상태다.

◆ 해킹 피해자 “해킹으로 1700만원 증발, 소송 준비 중”

30일 본지 취재에 따르면, 현재 코인원 해킹 피해를 주장하는 약 200여명의 코인원 이용자들은 복수의 카카오톡 단체 채팅방에 모여 피해 상황을 공유하며 대책을 논의 중이다.

코인원 해킹 피해를 주장하는 A 씨는 현재 30여명의 사람들과 코인원을 대상으로 집단 소송 준비 중에 있다.

A 씨는 지난 15일 목요일 밤 12시에서 새벽 1시 사이 국내에 거주하고 있음에도 LG유플러스로부터 ‘귀국을 환영한다’라는 내용의 메시지와, 질병관리본부의 감염병 예방을 위한 개인정보 수집 문자를 받았다.

무언가 이상함을 감지한 A 씨는 그 즉시 LG유플러스 고객센터에 전화해 자초지종을 물었다. A 씨는 “LG유플러스 고객상담원이 거주지가 바닷가 근처인지, 고층건물에 사는지 등 몇 가지를 물어보더니, 로밍문자가 오류일 수 있으니 신경 쓰지 말라”는 답변을 내놨다고 주장했다.

당시 LG유플러스 관계자와 통화하며 코인원 앱을 들여다보고 있던 A 씨는 자신도 모르는 새 1700여만원의 자산이 빠져나간 사실을 알게 됐다. LG유플러스로부터 로밍 문자를 받은 지 채 30분이 안 돼 해킹 피해를 입은 사실을 알아챈 것이다.

A 씨는 “LG유플러스와 통화를 하면서 코인원 앱을 들어가 보니 출금제한이 걸려있는 금액을 제외한 모든 자산이 빠져나가 있었다”라고 말했다.

A 씨처럼 코인원 해킹 피해를 호소하는 피해자들의 목소리가 커지자 코인원은 28일 공식입장을 내놨다.

◆ 코인원 “허위사실 유포 법적 대응 할 것”

코인원은 같은 날 홈페이지에 ‘일부 언론보도에 대한 코인원 입장 안내’라는 제목의 공지문을 통해 “코인원이 해킹을 당했다, 혹은 코인원에서 정보가 유출됐다는 것은 사실이 아니다”라고 밝혔다.

코인원은 “이번 사건과 관련해 코인원 내부보안과 외부 3자에서의 보안 등 다양한 부분에서 점검을 수행했다”라며 “관련된 흔적이나 접속은 확인되지 않았으며 해킹당한 사실이 없는 것을 확인했다”라고 말했다.

이어 “사용자가 해킹을 당했을 경우 사용자 자신이 이를 파악하기는 매우 어렵다”라며 ▲사용자의 ID·비밀번호 관리 ▲OTP 복구코드 관리 ▲PC·핸드폰 권한이 탈취 여부 등 다양한 경로로 해킹 피해가 발생할 수 있음을 설명했다. 즉 논란이 된 해킹 피해가 코인원 내부 시스템 결함 문제가 아님을 강조한 것이다.

이밖에 코인원 측에서는 “코인원에서는 해킹과 같은 신고접수 시 코인원 내 자체적인 조사와 별도로 개인사용자에게 수사기관에 빠르게 접수할 수 있는 정보를 양식화해 전달하고 있다”라며 “이번 입장발표를 통해 잘못된 내용이 더 이상 퍼지지 않기를 바란다”라며 향후 법적대응 또한 진행할 예정임을 밝혔다.

◆ 해킹 피해자 “코인원 고객센터 연결 안 돼, 피해 신고 시 필요 서류 본사에 직접 가서 받아”

코인원의 공식입장 발표에도 불구 피해자들의 코인원을 향한 원망 섞인 목소리는 좀처럼 가라앉지 않고 있다. 특히 피해자들은 코인원의 미흡한 초기대응을 질타했다.

실제로 A 씨는 해킹 피해를 인지한 직후 코인원 고객센터에 수차례 연결을 시도했지만, 연락이 닿질 않았다고 토로했다. A 씨는 “경찰서에서 아이피 내용이나 코인원 접속 내용을 가져와야 신고할 수 있다고 해서 관련 자료를 요청했는데 고객센터와 연결이 되지 않았다”라고 말했다. 지방에 거주하는 A 씨는 결국 같은 카카오톡 단체 채팅방에 속해있던 서울 거주 해킹 피해자들이 코인원 본사에서 직접 찾아가 대신 자료를 받아준 끝에 경찰에 신고 접수를 할 수 있었다.

A 씨는 해킹 논란이 언론 보도가 되기 시작한 이후 코인원 관계자로부터 연락을 받았다. A 씨는 “코인원 관계자가 초기에는 본사가 너무 바빠서 연락을 제때 못했다면서 이제부터 최대한 협조하겠다고 말했다”라며 “조금 어이가 없었다”라고 말했다.

이밖에 이번 해킹 사태를 거래소 해킹 문제가 아닌 개인 해킹문제로 보는 코인원의 입장에 대해서도 피해자들은 납득하고 있지 못하다.

앞서 올린 공지문에서 코인원은 “타거래소들의 사례와 비교하면 통상적으로 서비스, 특히 거래소가 해킹을 당했다면 이미 특정한 권한 등이 획득 당했기에 수십이나 수백 단위가 아닌 수만 이상 단위의 계정에서 사건이 발생하게 마련이다”라고 적시한 바 있다.

이에 대해 A 씨는 “계속 이번 해킹의 원인으로 핸드폰 해킹을 지목하는데 핸드폰은 문제 없다”라며 “핸드폰 문제라면 코인원 뿐만 아닌 다른 가상자산거래소 계정까지 피해를 입어야 하는 게 맞는데 왜 코인원만 해킹 피해를 당했겠느냐”며 목소리를 높였다.

실제로 A 씨는 코인원과 함께 다른 가상자산거래소를 동시에 이용 중이었으나, 코인원에서만 해킹 피해를 입었다. A 씨는 “코인원은 OTP인증을 하게 돼 있지만 OTP인증을 안 해도 되는 B거래소는 현재 해킹 피해 없이 잘 사용 중”이라며 이번 해킹 사태가 개인이 아닌 거래소 해킹 문제라는 데 힘을 실었다.

◆ 코인원 관계자 “해킹 피해 축소 위해 수사기관 적극 협조 중”

코인원 관계자는 본지 기자와의 통화에서 “코인원 자체 시스템 결함 문제가 아니다”라는 기존의 입장을 다시금 명확히 강조했다.

‘이번 해킹이 개인에게 발생한 문제라면, 복수의 가상자산거래소를 이용하고 있음에도 불구, 왜 하필 코인원에서만 해킹 피해가 다수 발생했는가’에 대한 피해자들의 주장에 대해 코인원 관계자는 다음과 같은 입장을 밝혔다.

그는 “해당 의견을 여러 피해자로부터 많이 들었다”라며 “이 같은 주장은 예컨대 도둑에게 왜 이 집만 털었느냐, 집 앞에 있는 자동차는 왜 안 가져갔느냐 이렇게 묻는 것과 똑같다”라고 말했다.

이어 “만약 해킹 피해가 해커에 의해 발생한 것이라면 해커가 왜 하필 여기(코인원)만 털었는지는 회사가 알 수가 없는 것”이라며 “피해자가 주장하는 부분이 사실인지도 회사는 확인할 수 없는 부분이다”라고 말했다.

한편, 코인원 관계자는 "코인원이 설립된 지 7년 가까이 됐지만, 이제껏 보안 사고가 난 적 없다"라며 이번 해킹 논란과 코인원은 무관하다는 입장을 분명히 했다.

그러나 이는 사실이 아니다. 코인원은 2019년 해킹에 따른 암호화폐 손실을 거래소가 직접 이용자에게 배상해야 한다는 최초 판결의 관계 당사자이기도 하다.

서울남부지방법원은 2019년 9월 코인원 이용자 김 씨가 코인원을 상대로 해킹 피해를 배상하라며 제기한 손해배상청구소송에서 코인원이 김 씨에게 2500만원을 배상하라고 선고한 바 있다.

해당 사실을 관계자에게 질문하자 그는 “그때 당시 재직 중이지 않아 해당 사실을 몰랐다”라며 말을 정정했다.

이밖에 코인원 측은 기존에 사용자들의 해킹 피해를 막기 위해 ‘개인 계정 잠금’ 시스템을 이용 중에 있다고 밝혔다.

코인원 관계자는 “계정 해킹 또는 개인정보 유출이 의심될 시 사용자들의 피해를 막기 위해 개인 계정 잠금 시스템이라는 것을 운영 중에 있다”라며 “개인 계정 잠금 시스템에 대한 공지는 홈페이지 하단에도 있고 평소에도 이 부분을 유의하라고 사용자들에게 고지하고 있는데 모든 투자자들이 확인하진 못한 것 같다”라고 말했다.

또한, 초기 대처가 미흡했다는 지적에 대해서 코인원 관계자는 “공지문에도 나와 있듯 초기에는 대응에 일정 부분 지연이 있었으나 지금은 오프라인 고객센터를 다시 오픈해 적극적으로 실시간 응대에 나서고 있다”라며 “수사기관의 협조 요청에도 적극적으로 대처를 하고 있는 상황”이라고 말했다.

◆ 법률전문가 “가상자산거래소, 해킹 등 사고 방지할 의무 부담 당연히 부담해야 해”

법률전문가는 가상자산거래소 이용자가 사측을 상대로 소송을 제기할 시 증거수집 과정에 어려움이 있을 것이라고 내다봤다.

정수호 법무법인 르네상스 대표변호사는 “가상자산거래소는 전자금융거래업자는 아니어서 해당 법상의 의무를 부담하진 않지만, 해킹 등 사고를 방지할 의무를 부담해야 하는 것은 당연하다”라며 “실제 가상자산거래소가 그와 같은 의무를 위반해 해킹 등 사고가 발생하고 그로 인해 이용자들에게 손해가 발생하는 경우 그 손해를 배상해야 할 것”이라고 말했다.

다만, 정 변호사는 “주요 가상자산거래업자들의 경우 로그인 시 OTP 등을 통한 2단계 인증 등 엄격한 보안조치를 요구하는 경우가 많아 그 과실이 인정되기는 쉽지 않다”라며 “이용자가 변호사 등 법률전문가의 도움 없이 거래소 측의 과실을 입증하기 위한 증거 등을 수집하는 것도 매우 어려운 상황”이라고 짚었다.

파이낸셜투데이 조윤화 기자