최근 ‘믹서(Mixer)’ 기술이 탈중앙화 금융(DeFi·디파이) 해킹 과정에서 자금 세탁 수단으로 활용되며 국제적 공조를 통해 관련 규정을 보다 정교하게 마련해야 한다는 의견이 나온다.
28일 업계에 따르면 보안에 취약한 디파이 기업들이 해킹의 표적에 쉽게 오른다. 디파이 시장의 대다수를 차지하는 신생기업들은 서비스를 신속하게 개발하기 위해 오픈소스 코드를 적극 활용한다. 오픈소스 코드는 일정한 조건만 충족하면 누구나 사용할 수 있어 사업 모델을 빠르게 구현할 수 있지만 보안에 취약하다. 임종인 고려대학교 정보보호대학원 교수는 “오픈소스 코드가 보안이 취약하다는 점은 공공 와이파이를 사용하지 말라는 것과 비슷한 결”이라며 “코드가 공개될수록 제로데이 공격에 취약하다”고 말했다. 제로데이 공격은 해커가 공개된 코드를 분석해 개발자가 생각 못 한 취약점을 공략하는 행위로 개발자 입장에선 속수무책으로 당할 수밖에 없다.
디파이 해킹에서 가장 논란이 되는 건 믹서다. 믹서는 가상자산을 쪼개고 섞어 재분배하는 기술로 거래자에 대한 정보와 거래 내역을 파악하기 어렵다. 믹서는 현금과 자산을 대거 보유한 이들의 프라이버시를 보장하고 거래 내역을 보호하기 위해 개발됐다. 채상미 이화여자대학교 교수는 “프라이버시가 확보되지 않으면 사람들은 코인을 이용하기 꺼려 할 것”이라며 “중앙은행 디지털화폐(CBDC)도 거래 내역 추적 여부가 중요한 쟁점인 만큼 프라이버시는 디파이에 어느 정도 필요하다”고 말했다.
문제는 프라이버시를 보호하기 위해 개발된 믹서가 자금 세탁 수단으로 활용되고 있다는 점이다. 업계 전문가는 믹서의 본래 취지를 되찾기 위해 기술적 보완보다 제도적인 편입이 먼저 필요하다고 내다봤다. 믹서를 통한 자금 세탁을 기술적으로 완벽하게 막을 방법이 현재로선 존재하지 않기 때문이다. 일부 데이터 분석 업체가 믹서의 자금을 추적하려고 시도 중이지만 완벽한 추적은 아직 불가능하다. 채 교수는 “기술·서비스보다 제도적인 측면에서 접근해야 한다”며 “고객확인절차(KYC) 등 신원 확인을 받은 이들만 디파이·믹서에 참여하도록 해야한다”고 강조했다. 신원이 확실하지 않은 이에게 은행 계좌를 섣불리 발급하지 않는 것과 비슷하다. 임 교수도 “KYC와 트래블룰 등 자금 세탁 관련 부분을 보다 정교하게 수립해야 한다”며 “특히 해킹과 자금 세탁을 막기 위한 국제적인 공조가 가장 중요하다”고 덧붙였다.
/최재헌 chsn12@decenter.kr