# 지난 3일 카카오의 블록체인 자회사 크러스트가 주관하는 디파이(DeFi) 서비스 ‘클레이스왑’에서 총 22억 원 규모의 암호화폐가 도난당하는 사고가 발생했다. 클레이스왑에서 암호화폐를 전송할 때 의도했던 정상 주소가 아닌 해커의 지갑 주소로 암호화폐가 흘러들어간 것이다. 클레이스왑 측은 피해 보상을 약속했지만 사고 시점에 스왑·예치·출금 등의 서비스를 이용하던 300여 명의 사용자들은 바로 눈앞에서 자신의 암호화폐가 사라지는 ‘아찔한’ 경험을 해야만 했다.
국내에서 가장 많은 이용자(10만 명)를 보유한 디파이 서비스인 클레이스왑에서 최근 해킹 사고가 일어나면서 디파이 서비스의 보안을 우려하는 목소리가 커지고 있다. 디파이 서비스는 중앙화된 기관의 개입이 없어 수수료가 발생하지 않기 때문에 이용자들에게 10~20%대의 높은 이자율을 보장하면서 급성장해왔다. 하지만 일정 조건이 충족되면 자동으로 거래가 되는 디파이의 ‘스마트 콘트랙트’ 기능은 이전부터 해킹에 취약할 수 있다는 우려가 제기돼왔다.
‘탈중앙화’를 지향하는 만큼 개발 코드를 오픈 소스로 공개하는 경우가 많아 디파이 서비스들의 코드를 잘 알고 있는 해커들의 공격 대상이 될 수 있다는 것이다. 더 큰 문제는 디파이 서비스에서 해킹 피해를 입더라도 관련 규제가 전무한 탓에 모든 책임을 투자자가 떠안아야 한다는 점이다.
디파이는 탈중앙화금융(decentralized finance)의 약어로 가상자산을 활용한 금융 서비스를 의미한다. 암호화폐를 담보로 또 다른 암호화폐를 대출받거나 암호화폐를 예치해 이자를 받는 서비스 등이 여기에 해당한다. 중앙화된 기관의 통제를 받지 않기 때문에 수수료가 없는 대신 고객들에게 높은 이자율을 제공한다.
디파이 시장은 지난해부터 폭발적으로 성장했다. 블록체인 데이터 제공 업체 디파이펄스에 따르면 현재 디파이 서비스에 예치된 가상자산 규모는 870억 달러(약 103조 원)로 추정된다. 지난해 2월 510억 달러(약 60조 원)였던 것과 비교해 1년 만에 70% 이상 늘어났다. 특히 최근에는 비트코인을 비롯한 주요 암호화폐가 조정세를 보이자 시세 차익 대신 이자 수익을 노리려는 투자자들이 증가하면서 디파이 서비스로 몰리는 자금이 더욱 늘어난 모습이다.
하지만 디파이 서비스의 몸집이 커지면서 관련 해킹 사고도 급증했다. 시장 자체가 급속도로 커지고 있는 데다 해킹에 성공하는 즉시 암호화폐를 가로챌 수 있어 디파이 서비스를 먹잇감으로 삼는 해커들이 많아졌기 때문이다. 실제 블록체인 데이터 기업 체이널리시스에 따르면 지난해 도난당한 암호화폐 32억 달러(약 3조 8227억 원) 중 72%가 디파이에서 발생한 것으로 나타났다. 전년 대비 1330% 증가한 규모다.
이처럼 디파이 서비스에서 해킹이 빈번하게 일어나는 데는 오픈 소스가 주요 원인으로 꼽힌다. 대부분의 디파이 서비스는 탈중앙화를 지향하는 만큼 서비스 개발에 사용된 소스 코드를 투명하게 공개한다. 이 때문에 공개된 코드를 활용해 누구나 새로운 디파이 서비스를 만들어낼 수 있다. 그러나 기존의 소스 코드를 가져오는 과정에서 보안상 취약점이 생길 수 있다. 이미 보안성이 검증된 코드라 하더라도 다른 코드와 결합하는 과정에서 얼마든지 새로운 오류가 발생할 수 있기 때문이다.
22억 원 상당의 해킹 피해를 입은 클레이스왑은 해커가 심어놓은 악성 코드에 감염돼 사고가 난 것으로 파악됐다. 클레이스왑의 개발사 오지스는 사고 보고서에서 “외부 네트워크망의 공격으로 인해 악성 코드에 감염된 것이 사고의 원인”이라며 “클레이스왑의 프런트 엔드나 스마트 콘트랙트상 자체 결함은 아니다”라고 밝혔다. 해커가 클레이스왑 사이트의 카카오 SDK를 변경함으로써 기존 코드 대신 자신의 코드대로 실행되도록 악성 코드를 제작했다는 것이 오지스 측의 설명이다.
문제는 디파이가 사실상 규제 사각지대에 놓여 있어 해킹 등의 문제가 발생하더라도 투자자 보호가 이뤄지기 어렵다는 점이다. 앞서 클레이스왑의 경우 운영사 측에서 투자자들에게 선제적 피해 보상을 약속했다. 하지만 이마저도 도의적 차원에 그칠 뿐 명확한 규제가 없어 플랫폼 측에서 책임을 회피하더라도 법적으로 제재할 방법이 없다. 디파이 서비스를 사용하면서 발생하는 모든 리스크는 오롯이 투자자 개인이 짊어질 수밖에 없다는 얘기다.
일각에서는 탈중앙화를 표방하는 디파이의 특성상 규제 도입이 구조적으로 불가능하다는 지적도 나온다. 디파이 서비스 자체가 국경을 넘나드는 데다 익명성을 기반으로 하기 때문에 법의 테두리로 들여오기가 어렵다는 것이다.
하지만 전문가들은 블록체인 산업의 특성을 고려하되 고객 보호를 위한 최소한의 장치는 갖춰야 한다고 조언했다. 박성준 동국대 블록체인연구센터장은 “블록체인 자체가 탈중앙화를 기반으로 하는 것은 맞지만 현실적으로 디파이 서비스를 구현하려면 균형적인 규제가 마련돼야 한다”며 “디파이를 비롯한 가상자산 업계를 하나의 시장으로 인정하고 시장의 건전성을 어떻게 확보할지에 대한 사회적 합의가 이뤄져야 한다”고 말했다.
