위믹스, 90억 해킹 피해 나흘 침묵···"추가 공격·시장 패닉 우려"

위메이드의 블록체인 자회사 위믹스 재단이 해킹으로 90억원가량의 디지털 자산(암호화폐) 탈취 피해 사실을 숨기고자 늑장 보고한 게 아니냐는 지적에 "그럴 생각은 추호도 없었다"고 해명했다.

김석환 위믹스재단 대표는 17일 경기도 성남시 한컴타워에서 열린 기자간담회에서 "위믹스 팀은 (해킹) 사태에 대한 반성을 토대로 빠른 피해 회복을 통한 생태계 정상화 그리고 철저한 조사 및 보완을 통한 재발 방지에 최선을 다하겠다"라면서 이렇게 강조했다.
앞서 위믹스 재단은 지난 4일 "2월 28일 '플레이 브릿지 볼트'에 대한 악의적인 외부 공격으로 약 865만4860개(87억5000만원 상당)의 코인이 비정상 출금됐다"고 공지했다. 플레이 브릿지는 위믹스를 다른 블록체인 네트워크로 전송하는 시스템으로, 플레이 브릿지 볼트는 이 과정에서 가상자산을 보관하는 지갑이다.

문제는 위믹스 재단의 공지 시점이다. 위믹스 홀더들은 재단이 해킹 피해를 인지한 지 나흘 뒤에야 공지한 점을 두고 은폐하려던 게 아니겠느냐고 의심한다. 국내 디지털자산 거래소 공동협의체(DAXA‧닥사)도 이 부분을 문제 삼아 위믹스를 투자 유의 종목으로 설정하고 상장폐지 심사에 돌입했다.

김 대표는 "2월 29일 13시48분경 최초 인지 후 긴급 대응 TF 등을 꾸려 문제가 발생한 서버를 곧바로 셧다운하는 등 초도 대응에 나섰다"며 "당일 서울 경찰청 사이버 수사과에 고소장을 접수했고 현재, 국가수사본부에서 수사를 진행 중"이라고 설명했다.

대응이 늦어진 점에 대해서는 "추가 공격 가능성이 상존한다고 봤고, 탈취 자산에 대한 시장 영향을 우려했다"고 해명했다. 사건이 발생한 시점이 공휴일과 겹쳐 수사 협조를 구하기 어려웠다는 점도 근거로 들었다. 그는 "2월28일이 3·1절 연휴가 시작되는 날인데, 현실적으로 원하는 협조를 얻어 신속하게 대응하는 것이 쉽지 않은 상황"이었다고 해명했다.

또 "침투 방법이 특정되지 않은 상황에서 섣부르게 공지하게 되면 추가 공격에 노출될 수 있어 즉각적인 공지를 하지 않았다"며 "탈취 자산이 대부분 매도돼 시장 영향은 이미 발생했고, 추가 위험이 없다고 장담하기 어려운 상황에서 즉각 이를 알릴 경우 시장에 패닉이 발생할 우려가 있었다"고 덧붙였다.

사고 원인에 대해 김 대표는 "서비스 작업자가 업무 편의를 위해 2023년 7월 중순경 공용 저장소에 자료를 업로드한 사실을 발견했고, 회사에서는 해당 자료의 유출이 가장 가능성 높은 최초 유출 경로이자 사고 원인으로 파악하고 있다"고 짚었다.

투자자 보호 및 재발 방지책도 공유했다. 김 대표는 "1차로 지난 13일 100억원 규모의 바이백(시장 매수) 계획을 발표했고 그다음 날 2000만 개 규모의 시장 매수 계획을 발표했다"며 "의심되는 침투 시나리오를 모두 점검하고, 블록체인 관련 인프라를 새로운 환경으로 모두 이전해 오는 21일 서비스 완전 재개를 목표로 작업하고 있다"고 밝혔다.

위믹스는 지난 13일 탈취된 위믹스 물량 865만4860개(약 87억5000만원)에 추가 자금 12억5000만원을 더해 총 100억원 규모의 코인 바이백을 진행하겠다고 발표했다. 이어 14일 위믹스 코인 2000만개를 추가 매수하겠다는 계획도 밝혔다. 매수 방식은 ▲시간 가중 평균 방식(Time Weighted Average Price Order) ▲거래량 가중 평균 방식 (Volume Weighted Average Price Order) 두 가지로 최대 1년 이내 완료하겠다는 방침이다.

김 대표는 "내부자, 외부자 상관없이 공격자(해커)를 끝까지 추격해, 응당한 조치를 취하고 투명하게 처리할 것"이라며 "이번 일을 계기로 전반적인 서비스 보안뿐만 아니라 커뮤니케이션을 포함한 위기 대응 프로토콜을 재점검하고 개선할 것"이라고 강조했다.