암호화폐 2조 훔쳐갔는데 투자자 책임?…디파이 서비스 논란

탈중앙화라는데 보안은 누가?
사진=연합뉴스
‘디파이(DeFi·탈중앙화 금융) 서비스’에서 지난해 도난당한 암호화폐의 가치가 전세계적으로 2조원을 웃도는 것으로 나타났다. 디파이서비스는 블록체인 업체들이 만든 스마트 컨트랙트에 의해 코인을 거래하고, 예금 넣듯 코인을 맡기거나 대출을 받는 서비스다. 국내에서도 디파이 규모가 1조원을 넘어설 정도로 커지는 가운데 최근 들어 해킹 사고가 잦아지고 있다.

도난사고 증가하는데 법적책임은 없어

9일 블록체인 데이터 기업인 체이널리시스에 따르면 지난해 암호화폐 도난금액 32억달러 중 72%에 달하는 22억달러가 디파이에서 도난된 것으로 집계됐다. 2020년 대비 1330% 증가한 금액이다. 블록체인 데이터 사이트인 디파이펄스에 따르면 현재 디파이에 보관된 암호화폐 가치는 820억달러로 추정된다. 디파이에 맡긴 전체 코인 가운데 2.7% 가량이 도난당한 셈이다. 지난 6일 디파이인 웜홀에서 3억2200만달러(약 3900억원)어치의 코인이 해킹을 당했고, 작년 8월에도 폴리네트워크가 6억1000만달러(약 7200억원)를 도난당하는 사고가 벌어지기도 했다. 국내도 이런 디파이 도난사고를 피해가기 어렵다. 지난 3일 7845억원의 자산이 예치된 디파이서비스 클레이스왑에서 22억원의 코인이 도난당했다. 클레이스왑 사용자가 요구한 예치·인출이 해커가 지정한 지갑으로 코인이 전송된 것이다.

문제는 디파이 업체들이 갖춘 약관 상당수가 투자자에게 불리하게 작성돼 있다는 것이다. 한 서비스 업체의 약관에는 “서비스 이용 과정에서 발생할 수 있는 모든 금전적 손실에 대한 책임은 100% 이용자 본인에게 있다”고 적어놨다. 투자 규모가 5500억원에 달하는 한 디파이 서비스는 홈페이지에 약관이 없는 상태다. 해킹이나 코드 결함으로 발생할 수 있는 문제 조차 업체가 자발적으로 보상하지 않는 한 투자자들이 부담해야한다는 것이다.

최우영 법무법인 광장 변호사는 “피해자가 디파이 업체의 과실로 해킹 등의 피해가 발생했다는 것을 입증하기가 어렵다”며 “불공정약관에 대한 공정위의 해석과 디파이 소비자 보호를 위한 법령 제정이 추후 진행될 필요가 있을 것”이라고 말했다. 김형중 고려대 정보보호대학원 교수는 “디파이를 이해하지 못하고 투자하는 투자자가 대부분”이라며 “현재 디파이라고 하는 서비스 상당수도 운영하는 업체가 분명히 존재하기 때문에 디파이라고 부르기 어렵다”고 말했다. 금융당국이 디파이 업체들이 가상자산사업자에 해당하는지 기준을 마련하고 투자자 보호장치를 마련해야한다는 지적이다.

자금세탁창구로 활용되기도

디파이가 범죄자금 세탁 창구로 활용되는 경우도 적지 않은 것으로 나타났다. 체이널리시스에 따르면 북한은 작년 3억9500만달러(약 4680억원) 규모의 암호화폐를 해킹해 디파이에서 세탁한 것으로 알려졌다. 경제협력개발기구(OECD)는 지난달 보고서에서 “대부분의 디파이는 고객확인과 자금세탁방지 프로그램을 갖추고 있지 않아 사용자의 신원이나 자금출처를 확인할 수 없다”며 “이로 인해 자금세탁과 테러자금 조달 등의 문제를 발생시키고 있다”고 지적했다.

박진우 기자 jwp@hankyung.com