신뢰는 재무제표에 기록되지 않는다: 해킹 사태가 남긴 '진짜 손실'
단 54분이었다. 국내 1위 가상자산 거래소 업비트의 철옹성이 뚫리고, 1,000억 개의 코인이 디지털 공간의 심연으로 사라지는 데 걸린 시간이다. 금액으로 환산하면 약 445억 원. 일반인에게는 평생 만져보기도 힘든 거금이, 누군가에게는 점심시간도 채 되지 않는 짧은 순간에 탈취 가능한 데이터 조각에 불과했다.
이번 사건은 단순한 보안 사고가 아니다. 블록체인 생태계의 허점, 중앙화된 거래소의 역설, 그리고 보이지 않는 적에 대한 공포를 동시에 드러낸 상징적인 사건이다. 2025년 12월, 차가운 겨울바람보다 더 시리게 다가온 이번 사태를 깊이 들여다본다.
보이지 않는 손, 범인은 누구인가
해킹 소식이 전해지자마자 업계의 시선은 본능적으로 북한을 향했다. 과거 수많은 거래소 해킹의 배후로 지목되었던 라자루스(Lazarus) 그룹의 그림자가 이번에도 어른거린다. 북한 정찰총국 산하의 이 해커 조직은 이미 전 세계적으로 수조 원대의 암호화폐를 탈취해 핵무기 개발 자금으로 전용한 혐의를 받고 있다.
이번 공격의 패턴, 즉 믹서(Mixer)를 통한 자금 세탁 시도와 탈취 속도는 고도로 훈련된 APT(지능형 지속 위협) 그룹의 소행임을 방증한다. 그러나 섣부른 단정은 금물이다. 내부자의 공모 가능성, 혹은 제3의 신흥 해커 조직의 등장일 수도 있다.
사이버 보안의 대가 브루스 슈나이어는 보안은 산출물이 아니라 과정이다라고 말했다. 범인이 누구이든 간에, 그들은 업비트라는 거대 기업의 보안 프로세스에 구멍이 있음을 증명했다. 18분 만에 인지하고, 5시 27분에 입출금을 중단했지만, 그사이 이미 1,000억 개의 코인은 국경 없는 디지털 고속도로를 타고 빠져나갔다. 범인을 특정하는 것보다 중요한 것은, 왜 뚫렸는가에 대한 처절한 복기다.
무엇을 잃었나: 재무적 손실과 그 너머
두나무 측의 대응은 빨랐다. 고객 자산 386억 원을 전액 보전하겠다고 밝혔다. 두나무의 막대한 잉여 현금 흐름을 고려할 때, 445억 원이라는 재무적 손실은 경영에 치명상을 입힐 정도는 아니다. 오히려 26억 원을 동결하고 회수 절차에 돌입했다는 점은 불행 중 다행이다.
하지만 진짜 손실은 재무제표에 기록되지 않는다. 바로 신뢰라는 무형 자산의 붕괴다. 업비트는 그동안 국내 1위라는 타이틀과 함께 압도적인 보안 기술력을 마케팅 포인트로 삼아왔다. 그러나 이번 사고로 그 자부심에 금이 갔다. 투자자들은 묻는다. 내 돈은 은행보다 안전한가?
비재무적 손실은 경영진의 리스크로 전이된다. 이석우 대표를 비롯한 경영진은 이번 사태에 대해 단순한 기술적 오류가 아닌, 내부 통제 시스템의 실패로 받아들여야 한다. 특금법 이후 제도권으로 진입하려던 가상자산 업계 전체에 찬물을 끼얹은 책임은 결코 가볍지 않다. 보안은 99번 잘해도 1번 뚫리면 0점이 되는 잔인한 게임이다.
디지털 바벨탑의 그림자
이번 사건을 보며 니체의 말을 떠올리지 않을 수 없다. 나를 죽이지 못하는 고통은 나를 더 강하게 만든다. 두나무는 이번 해킹으로 망하지 않을 것이다. 오히려 보상안을 통해 자금력을 과시했고, 위기 관리 능력을 보여주기도 했다.
그러나 투자자로서, 그리고 이 시대를 살아가는 관찰자로서 우리는 근본적인 질문을 던져야 한다. 탈중앙화를 외치는 블록체인 혁명 속에서, 우리는 왜 가장 중앙화된 거대 거래소에 우리의 모든 자산을 의탁하고 있는가?
Not your keys, not your coins. (네 키가 아니면, 네 코인이 아니다.)
크립토 업계의 오래된 격언이 다시금 뼈아프게 다가온다. 업비트라는 거대한 성벽이 54분 만에 뚫리는 것을 목격하며, 우리는 편의성이라는 달콤한 사탕 대신, 자기 주권이라는 쓴 약을 삼켜야 할 때인지도 모른다.
기술은 완벽하지 않다. 그리고 그 기술을 다루는 인간은 더욱 불완전하다. 445억 원은 메워질 수 있지만, 흔들린 믿음을 다시 세우는 데는 54분이 아닌 54개월, 아니 그 이상의 시간이 걸릴지도 모른다. 지금은 코인의 가격을 볼 때가 아니라, 우리가 발 딛고 있는 거래소라는 지반의 단단함을 의심하고 사유해야 할 때다.
댓글 없음:
댓글 쓰기