김석환 위믹스 재단(WEMIX PTE. LTD) 대표가 17일 경기도 성남 분당구 판교 한컴타워에서 열린 위믹스 가상화폐 해킹 피해 관련 긴급 간담회에서 고개 숙여 사과하고 있다. [사진: 이호정 기자]

[디지털투데이 이호정 기자] 위메이드의 블록체인 자회사인 위믹스가 865만개 이상의 코인이 탈취된 해킹 사태 이후 재발 방지책과 피해 복구 계획을 발표했다.

<!-- -->

김석환 위믹스 재단 대표는 17일 기자간담회를 열고 "이번 해킹 사고에 대해 입이 열 개라도 드릴 말씀이 없다"며 공식 사과했다. 재단은 피해 복구와 시장 안정화를 위해 100억원 규모의 바이백을 진행 중이며, 오는 21일 전체 서비스 재개를 목표로 신속한 피해 복구와 보안 강화를 추진하고 있다고 밝혔다.

865만개 위믹스 탈취…"초기대응 미흡 반성, 피해복구 총력"

김 대표는 사고 당시 상황에 대해 "2025년 2월 28일 13시 47분경 내부 자산 모니터링 과정에서 재단 지갑에서 계획되지 않은 출금이 확인됐다"며 "이후 트랜잭션 추적을 통해 플레이 브릿지에서 약 850만개의 위믹스 코인이 대량 전송된 것을 확인했다"고 설명했다. 탈취된 위믹스 코인은 최종적으로 865만4860개다.

위믹스 재단은 해킹 확인 직후 긴급 대응 태스크포스(TF)를 구성하고 문제가 발생한 브리지와 서명 관련 서버를 즉각 셧다운했다. 사고 당일 14시부터 16시 사이에 탈취된 위믹스 코인의 흐름을 추적해 쿠코인, 후오비, 바이빗 등 해외 거래소로 이동되는 것을 확인하고, 해당 거래소에 동결 조치를 요청했다. 또한 같은 날 17시에서 19시 사이에 서울경찰청 사이버수사과에 고소장을 접수했다.

김 대표는 해킹 사실을 즉각 공지하지 않은 이유로 두 가지를 들었다. 침투 경로가 특정되지 않은 상황에서 추가 공격 가능성을 배제하기 어려웠다는 점과 탈취 자산으로 인한 시장 영향을 고려했다는 점이다. 위믹스 측은 2월 28일 사고 당일 18시 기준으로 탈취 자산의 55% 정도가 매도된 것으로 추정했고, 24시에는 약 89%가 매도된 것으로 판단했다. 김 대표는 "3.1절 연휴가 시작되는 상황에서 대량의 위믹스 코인이 탈취됐다는 공지를 했을 때 따라올 시장 불안감에 대한 우려가 컸다"고 밝혔다.

위믹스 재단은 3월 3일 피해 규모와 탈취 자산의 99.95%에 대한 자금 흐름을 파악하고, 3월 4일 새벽 2시경 공지를 발표했다. 김 대표는 "결과적으로 커뮤니케이션 시기에 대한 판단이 미흡했다는 지적에 대해 겸허히 받아들이고 사과드린다"며 "앞으로 커뮤니케이션 프로토콜을 재정비하겠다"고 말했다.

위믹스 해킹 사건 주요 타임라인 [표: 이호정 기자]

해킹 원인 '공용 저장소 유출' 유력…"내부자 가능성 낮아"

위믹스는 해킹 원인에 대해 "가장 유력한 원인은 서비스를 빠르게 개발하고 출시하기 위해 개발자가 2023년 7월 중순경 공용 저장소에 자료를 업로드한 사실"이라고 밝혔다. 안용운 위메이드 최고기술책임자(CTO)는 "포렌식 과정을 거치면서 내부자, 외부자 다 고려했지만, 현재는 내부자 가능성이 높지 않다라고 결론이 나왔다"고 말했다. 해당 개발자는 현재 회사에 재직하지 않고 있다고 덧붙였다.

공격 과정은 "신원 미상의 공격자가 NFT 플랫폼인 나일의 서비스 모니터링 시스템용 인증키를 탈취해 시스템에 침입한 후, 약 2개월 동안 치밀하게 공격 준비를 진행했다"고 설명했다. 공격자는 브리지의 자금 이동을 위한 VKS 서버를 조작해 13건의 트랜잭션으로 위믹스를 탈취했다.

위믹스는 오는 3월 21일 전체 서비스 재개를 목표로 다양한 기술적 대응을 진행 중이다. 의심되는 모든 침투 시나리오에 대응하기 위해 관련 로직과 인증 로직을 모두 교체했으며, 잠재적 위험 요소를 제거하기 위해 전체 인프라를 새로운 환경으로 이전하는 작업도 함께 진행하고 있다. 또한 향후 유사 사태 방지를 위해 서비스 모니터링 및 제어 범위를 확대 적용할 계획이라고 밝혔다.

안용운 CTO는 "모든 키를 교체했기 때문에 해커가 무엇을 들고 있다고 해도 동일한 이슈가 발생할 가능성이 적다"며 "소스 코드도 오염되지 않은 코드로 다시 빌드해 새로운 환경에 새로운 인프라를 구축했다"고 강조했다.

위믹스는 피해 복구를 위해 1차로 지난 13일 100억원 규모의 바이백을 발표했으며, 2차로 14일 2000만개의 위믹스 코인 시장 매수 계획을 발표했다. 바이백은 국내 거래소 중 위믹스가 원화 상장돼 있는 곳을 통해 진행 중이지만, 구체적인 방식은 차익 거래 방지와 법률적 리스크 검토 등의 이유로 공개하지 않고 있다.

위믹스타워 [사진: 이호정 기자]

"거래소급 보안 시스템 구축…지속 가능성에 집중"

간담회에서는 위믹스 달러의 디페깅(가치 불일치) 문제도 언급됐다. 김 대표는 체인링크의 CCIP를 사용해 USDC를 이더리움이나 레이어 2 체인에서 브리징을 통해 스테이블 코인을 가져와 문제를 해결할 계획이라고 밝혔다. 그는 "위믹스 달러의 디페깅 문제도 당연히 재단이 책임지고 해결하겠다"며 "빠른 시간 내에 순차적으로 정상화할 수 있을 것"이라고 약속했다.

안용운 CTO는 해킹 사고 방지를 위한 보안 강화 방안으로 "거래소 수준의 보안 시스템과 정책, 내부 통제 정책 구축"을 강조했다. 그는 빗썸 CTO 출신으로서의 전문성을 바탕으로 "서버 인프라 보안 시스템 강화, 엔드포인트 보안 투자, 24시간 자산 이동 모니터링, 의심 거래 추가 승인 시스템" 등을 구축할 계획이라고 밝혔다.

김석환 대표는 위믹스의 장기적 방향성에 대해 "2018년부터 2021년 여름까지는 생존 가능성, 2021년 8월부터 2024년 초까지는 확장 가능성, 그리고 현재는 지속 가능성을 가장 중요한 목표로 삼고 있다"고 설명했다.

그는 "글로벌 블록체인 시장이 좋지 않은 상황으로 흘러가고 있는 만큼, 시장에서 탈락하지 않고 지속할 수 있어야 새로운 기회가 왔을 때 도약할 수 있다"며 "불필요하거나 조정이 필요한 사업과 서비스는 과감하게 정리할 용의가 있다"고 강조했다.

△디지털투데이 텔레그램 뉴스채널 구독하기(클릭)