[한스경제=허지은 기자] 가상화폐 거래소 퓨어빗이 시가 37억원이 넘는 가상화폐 이더리움(ETH)을 모금한 뒤 잠적해 ‘먹튀’ 논란에 휩싸인 가운데 ‘제2의 퓨어빗’ 사태가 언제든 나올 수 있다는 지적이 나오고 있다. 신생 가상화폐 거래소가 우후죽순 생기고 있으나 제대로 된 팀 정보나 개발 능력 등이 검증되지 않은 채 투자금부터 모으고 있기 때문. 투자자들의 각별한 주의가 필요해 보인다.

◆ 퓨어빗 논란 일지 살펴보니…사전판매 일주일만에 ‘잠적’

14일 가상화폐 업계에 따르면 퓨어빗은 지난 5일부터 ‘퓨어빗 거래소 사전가입 이벤트’를 열고 자사가 발행한 퓨어코인(PURE) 상장 전 투자자 참여를 유도했다. 퓨어빗은 퓨어코인을 기반으로 한 3세대 마이닝(채굴형) 특화 거래소라는 문구로 직접 채굴하는 퓨어코인을 이용한 수수료 감면, 최대 90%에 이르는 이더리움 배당 등을 약속하며 투자금을 모았다.

퓨어빗은 이 같은 공약으로 약 1만6000개의 이더리움을 모금했다. 이날 현재 이더리움 가격(약 23만2000원)으로 환산하면 약 37억1200만원이 넘는 거액이다. 그러나 1차 사전판매 종료 일인 12일 퓨어빗은 거래소 출범 약속을 파기하고 홈페이지와 관련 SNS를 폐쇄한 뒤 잠적해 ‘먹튀’ 논란에 휩싸였다.

13일 오후 늦게 퓨어빗 측이 “돈에 눈이 멀어 돌이킬 수 없는 잘못을 저질렀다”며 사과문을 올리고 환불을 예고했으나 이마저도 개인정보 유출 논란을 낳고 있다. 보상을 받으려면 거래소 응용 프로그래밍 인터페이스(API)와 시크릿 키 정보를 제공해야 하는데 이들 정보는 가상화폐 출금과 직접 관련이 있는 민감 개인정보로 ‘함정’이라는 지적이 이어지고 있다.

◆ 퓨어빗, 사명·대표명·사업자등록번호도 모두 ‘거짓’

퓨어빗 사태를 돌이켜보면 석연찮은 점 몇 가지가 떠오른다. 먼저 퓨어빗이 거래소 출범 이전 자금을 모은 부분은 사실상 가상화폐공개(ICO·Initial Coin Offering) 형태를 띠고 있다. 우리 정부는 지난해부터 국내에서의 ICO를 전면 금지하고 있다. 때문에 ICO를 진행하는 가상화폐 프로젝트와 거래소들은 스위스나 싱가포르 등 해외 법인을 통해 우회 ICO를 진행해왔다.

그런데 퓨어빗은 해외 법인이 아닌 ‘㈜블록체인즈’라는 사명의 국내 사업자등록번호를 들고 버젓이 ICO를 진행했다. 투자금 모집 당시 퓨어빗이 공개한 사업자 등록번호는 220-88-91836이지만 이마저도 조작된 번호인 것으로 드러났다.

퓨어빗이 사명으로 내건 ‘㈜블록체인즈’ 역시 퓨어빗과 아무 연관이 없었다. 퓨어빗이 최고경영자(CEO) 이름으로 내건 ‘황정식’이라는 이름도 퓨어빗과 연관이 없는 ㈜블록체인즈의 대표명의였다. 퓨어빗은 결국 사명과 대표명의, 사업자등록번호 모두 실체가 없는 허구의 프로젝트였던 셈이다.

사명과 대표명의를 도용당한 ㈜블록체인즈는 홈페이지 공지를 통해 “블록체인즈는 퓨어빗과 아무 관계가 없고 잘못된 정보로 회사와 개인의 이미지를 실추시키는 공격과 관련하여 단호한 법적인 조치를 취할 것”이라고 밝혔다.

◆ 37억원 투자금 안전장치 없어…홈페이지도 ‘카피본’ 불과

퓨어빗이 ‘3세대 마이닝 특화 거래소’라고 내건 홈페이지 역시 문제가 많았다. 블록체인 기반 솔루션 회사인 센티넬 프로토콜의 분석에 따르면 퓨어빗 홈페이지는 ‘젬크립토코인(Gem-cryptocoin)’ 홈페이지를 그대로 붙여 넣은 카피본에 불과하다. 센티넬 프로토콜 관계자는 “얼핏 보기에 퓨어빗이 웹사이트 개발에 많은 공을 들였다고 생각할 지 모르겠으나 실제로는 다른 웹사이트를 카피했을 뿐”이라고 지적했다.

30억원이 넘는 투자금에 대한 안전장치가 없었다는 점도 아쉬운 대목이다. 퓨어빗 홈페이지가 폐쇄된 12일 이후 퓨어빗의 거래소 지갑에서의 이더리움 흐름을 추적한 결과 퓨어빗 자금은 캐쉬레스트(Cashierest) 거래소를 거쳐 영국 케이맨군도에 위치한 탈중앙화 거래소 블록트레이즈(BlockTrades) 거래소로 흘러들어간 것으로 나타났다.

센티넬 프로토콜은 “일각에서 퓨어빗 자금이 미국 폴로닉스(Poloniex) 거래소 지갑으로 이동했다고 밝히고 있으나 “0x007174732705604bbbf77038332dc52fd5a5000c”의 주소를 가진 지갑은 블록트레이즈 지갑으로 확신한다”고 분석했다. 이어 “블록트레이즈는 이더리움을 다른 가상화폐로 환전하는 과정에서 특별한 KYC 요구사항이 없다”며 “보유 이더리움을 유동량이 충분한 모네로(XMR), 대시(DASH) 등 다양한 코인으로 세탁할 방법도 있다”고 지적했다.

◆ ‘제2의 퓨어빗’ 막으려면...”투자자 스스로 경계해야”

전문가들은 퓨어빗 사태는 예견된 사고였다고 지적한다. 퓨어빗처럼 허점투성이인 가상화폐 거래소 프로젝트를 큰 의심없이 투자했다는 점에서 투자자들 스스로의 경계가 필요하다는 목소리도 나온다. 다만 일반인들이 전문 정보를 캐치하기 어렵다는 점에서 거래소가 API 등의 보안 솔루션을 이용하고 있는지 여부를 확인할 필요가 있다는 게 전문가들의 제언이다.

센티넬 프로토콜이 지난 8월 출시한 ICF API(Interactive cooperation framework API)는 가상화폐 거래소와 같은 가상화폐 서비스 제공업체가 화이트리스트와 블랙리스트를 실시간을 확인할 수 있는 솔루션을 제공한다. ICF API를 통해 초기에 검사를 수행하면서 사전에 위협 요소를 체크할 수 있을 뿐만 아니라 해킹이 일어난 사후에도 도난당한 자금을 추적해 해커를 잡을 수 있는 솔루션이다.

센티넬 프로토콜 관계자는 “신생 가상화폐 거래소 프로젝트에 투자하거나 개설된 지 얼마 되지 않은 가상화폐 거래소에서 거래를 시작할 때는 해당 거래소가 API 등 보안 요소를 잘 갖췄는지를 확인할 필요가 있다”며 “머신러닝을 통해 실시간 위협을 분석하고 특정 지갑 주소에 대한 비정상행위를 거래소가 선제적으로 분석할 수 있는 지 여부를 확인하는 것이 좋다”고 조언했다.

국내 가상화폐 거래소의 한 관계자는 "퓨어빗을 비롯한 신생 가상화폐 거래소 문제가 반복될수록 가상화폐 자체에 대한 신뢰도도 훼손될 수밖에 없다"며 "가뜩이나 가상화폐 시장 침체기가 길어지는 상황에서 이같은 문제가 반복돼서는 안 될 것"이라고 지적했다. 

허지은 기자 hur@sporbiz.co.kr