보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

한국 비트코인 거래소 ‘야피존’ 해킹!...55억 규모 탈취

입력 : 2017-04-26 14:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
야피존, 손실분 37.08% 피해를 회원에게 적용
거래수익 Fei가 생기면 지급 약속했지만...


[보안뉴스 원병철 기자] 우리나라의 비트코인 거래소 ‘야피존’이 지난 4월 22일 해킹돼 3831 비트코인, 한화 약 55억 원을 탈취당했다고 밝혀 충격을 주고 있다. 야피존은 공지를 통해 2017년 4월 22일 토요일 새벽 02시~03시 사이에 해커의 공격으로, 거래소의 Hot-Wallet(인터넷망에 연결된 코인지갑) 4개가 탈취당했다고 알렸다. 총 피해규모는 3831비트코인이며, 이는 야피존이 보유하고 있는 회원의 총자산의 37.08%에 해당하는 규모다.

▲ 야피존 홈페이지의 해킹공지[출처: 야피존 홈페이지 캡처]


문제는 이번에 발생한 손실을 모든 회원이 공평하게 적용받아야 한다는 결론을 내렸다는 사실이다. 야피존은 청산 과정에서 발생하게 되는 가장 보편적인 방법이라면서, 야피존이 보유한 회원들의 KRW, BTC, ETH, LTC, Fei에 대해 사건 직후인 4월 22일 03시 잔고보유현황을 기준으로 37.08%에 달하는 차감이 이뤄졌다고 밝혔다.

신용 및 10x 거래의 경우 반대청산이 이루어진 후 최종 잔액에 대해 차감이 이루어지며, 다만 ‘안전금고 서비스’는 은행의 ‘대여금고’처럼 야피존에서 ‘시스템 제공 서비스’만 할 뿐이지 야피존의 관리 아래에 있는 대상이 아니기 때문에 ‘차감’에서 제외된다고 밝혔다. 그리고 이러한 회계상 자산 Re-Balancing 작업으로 2~3일간 야피존의 모든 입출금 및 거래가 전면 제한된다고 밝혔다.

다만, 야피존은 회원들의 손실을 최소화하기 위해 두 가지 전제를 마련했다면서 △회원들의 손실은 최소화되어야 하고, 최종적으로 0이 되어야 한다 △그러기 위해서는 회사 및 경영진이 회원님들의 손실을 최대한 끌어안아야 한다고 말했다.

이를 위해 야피존의 대표이사를 포함한 경영진 및 이사들은 자신들의 회사에 대한 재산권을 이번 사건을 해결하기 위해 최대한 포기하기로 했고, 그 방법은 회사의 수익권인 ‘Fei’를 회원들의 손실분만큼 무상으로 지급하기로 했다고 강조했다.

문제는 이번 해킹으로 회원들이 실질적인 손해를 입었다는 사실이며, 야피존에서 Fei를 지급한다고는 하지만, 거래를 통해 Fei가 발생을 해야 받을 수 있다는 점이다. 게다가 Q&A를 보면, 회원들이 비트코인을 인출해가면 야피존은 수익권인 Fei가 발생하지 않기 때문에 피해분을 제공할 수 없다고 말하고 있다. 즉 해킹을 당했음에도 불구하고 피해액을 받으려면 계속 비트코인을 야피존에 맡기라는 얘기다. 이에 해킹으로 인해 이미 피해를 본 회원들은 울며겨자먹기로 계속 야피존에 비트코인을 맡겨야 한다.

이하는 야피존에서 공지한 이번 해킹사건과 해결방법에 대한 Q&A다.

Q 1. 회원들에게는 얼마만큼의 피해가 발생하나요?
A 1. 37.08% 의 일률적인 회계상 자산 Re-Balancing 으로 4월 22일 새벽 03시의 회원님의 자산 기준으로, 37.08% 의 손실이 회원님의 계정에 1차로 발생하게 됩니다.

Q 2. 이 손실은 회복될 수 없는 것인가요?
A 2. 아닙니다. 회원님들의 손실을 회사 및 경영진에서 끌어안기 위한 모든 방안을 강구중이며, 일단 정해진 프로세스에 의하여 ‘Fei’ 순차적으로 회원님들께 지급하여, 우선적인 회원님들의 손실을 줄인 뒤, 최종적으로 회원님들의 손실이 0% 로 되게 하는 것이 목표입니다.

Q 3. ‘Fei’ 가 무엇인가요?
A 3. ‘Fei’ 란 야피존에서 발행하여 2014년부터 현재까지 야피존에서 거래되고 있는 서비스 상품입니다. 그 내용은 ‘1%의 ‘Fei’를 보유한 분에게 야피존에서 발생한 거래소 수수료 수익의 1%를 날마다 지급한다’입니다. 어느 회원님이 1%의 ‘Fei’를 보유하고 계시고, 야피존의 하루 거래수수료 수익이 300만원이라 가정하면, 3만원에 해당하는 비트코인을 해당 회원님의 잔고로 ‘잠부(Jambu)’라는 이름으로 하루에 한 번 분배해 드리는 것입니다.

Q 4. 기존에 ‘Fei’를 보유한 회원들에게 실제 수익은 얼마나 발생했나요?
A 4. 올해 1월1일부터 3월 3일까지 1개의 ‘Fei’를 보유하신 분께 발생한 ‘잠부(Jambu)’ 수익은 0.00177768btc 와 0.01493159ltc입니다. 현재 각각 145만원과 17,000원인 라이트코인의 시세를 적용하면 2831.6원으로, 이는 91,000원인 ‘Fei’의 시세를 고려하면 연 12.44% 의 수익률에 해당합니다. 수익률이 높아 올해 17만원까지 ‘Fei’ 의 시세가 오르기도 했습니다.
(91,000원인 현 시세도 2014년 7월 최초 발행가 8,900원 대비 1,000%이상 오른 시세입니다. 이는 가상화폐 산업의 성장 가능성과 성장 속도를 보여줍니다.)

Q 5. ‘Fei’는 즉시 피해금 전액만큼 지급이 되나요?
A 5. ‘Fei’의 수익인 ‘잠부(Jambu)’가 회원님들께 지급되기 위하여서는 거래소에 거래수수료 수익이 발생하여야만 합니다. IMF 사태와 같은 긴급상황시에 뱅크런(회원들의 집중적인 예금 인출)이 발생하면 다른 사람들에게 빌려준 대출채권이 많은 은행조차도 망하는 것처럼, 회원님들께서 한 번에 야피존에 자산의 출금을 요청하시면, 야피존의 생존기반이 취약해지면서 장기적인 ‘잠부(Jambu)’의 지급에도 문제가 생길 수밖에 없으며, 이는 결코 회원님들께 긍정적인 영향을 미치지 못하기 때문에 계획에 따른 순차적인 지급이 행해집니다.

Q 6. 그럼 ‘Fei’는 어떻게 지급이 되나요?
A 6. ‘Fei’의 지급은 회원님들의 손실 91,000원당 1개로 환산되어, 다음과 같은 계획대로 진행이 될 예정입니다(91,000원 이하의 회원님의 손실에 대하여는 차후 추가적인 대책을 강구하도록 하겠습니다).

① 37.08%에 대한 손실의 10%에 해당하는 ‘Fei’를 즉시 회원님들께 최초 지급합니다.
② 야피존 운영을 재개하여 1주일이 경과한 시점에 야피존에 보유하신 기간평균잔고가 10% 이내로 감소하신 회원님들께 37.08%에 대한 손실의 20%에 해당하는 ‘Fei’를 2차로 지급합니다.
③ 야피존 운영을 재개하여 1개월이 경과한 시점에 야피존에 보유하신 기간 평균잔고가 20% 이내로 감소하신 회원님들께 37.08%에 대한 손실의 20%에 해당하는 ‘Fei’를 3차로 지급합니다.
④ 야피존 운영을 재개하여 6개월이 경과한 시점에 야피존에 보유하신 기간평균잔고가 50% 이내로 감소하신 회원님들께 37.08%에 대한 손실의 30%에 해당하는 ‘Fei’를 최종 지급합니다.
⑤ 야피존을 믿어주시고, 거래소의 정상화에 도움을 주시는 회원님들께는 최종적으로 회원님의 피해에 대한 전액의 ‘Fei’가 6개월 이내로 지급될 것입니다.

Q 7. 야피존이 다시 정상화 될 수 있나요?
A 7. 그렇습니다. 이미 선례가 있습니다. 이더리움 투자펀드인 ‘DAO’의 경우 360만 이더리움을 해킹당했으나 이후 회생했고, 홍콩에 있는 ‘Bitfinex’라는 영어권 세계 최대의 비트코인 거래회사 또한 2016년 8월에 해킹당해 12만 비트코인(약 220억 상당)의 피해를 입었으나, 전체 회원들에게 약 36%에 달하는 자산 감액을 단행한 뒤 피해금액에 상당하는 쿠폰을 임시로 회원들에게 발행한 뒤, 지금은 더욱 큰 회사가 되어 달마다 회원들에게 쿠폰을 재매입하여 손실을 제거하고 있습니다.

Q 8. 야피존에는 현재 얼마만큼의 수익이 발생하고, 앞으로 있나요?
A 8. 올해 1~3월간 야피존에서는 약 3.7억 원의 수익을 발생시켰으며, 내부적으로 올해 15~20억 정도의 수익을 예상하고 있습니다. 회원님들이 믿어만 주신다면, 그리 길지 않은 시일 안에 최종적으로 이번 사건으로 인한 회원님들의 모든 손실을 제거할 수 있을 것이라 생각됩니다.

Q 9. ‘Fei’ 의 재매입을 통한 회원손실 제거 일정은 어떻게 되나요?
A 9. 거래소에서 발생하는 수익으로 지속적으로 ‘Fei’를 재매입해 나갈 예정입니다. 일단 5월중 2억의 금액을 ‘Fei’의 재매입에 우선 투자하여 회원님들의 손실을 줄이고, 이후 회사에서 발생한 수익을 지속적으로 투입하여, 한 달 간격으로 ‘Fei’의 재매입 현황을 공지하도록 하겠습니다.

Q 10. 야피존은 추가적인 성장 가능성이 있나요?
A 10. 전 세계적으로 인공지능이나 VR(가상현실) 사업 등이 빠른 속도로 성장하고 있는 것처럼, 가상화폐와 관련한 사업 또한 빠른 속도로 커지고 있습니다. 현재 야피존은 이더리움 거래를 포함한 신규앱과 보다 편하게 야피존에 접근하실 수 있는 웹거래소 오픈을 눈앞에 두고 있습니다. 또한, 현재 수수료 0%인 이더리움 및 모네로, Zcash 등 추가적인 사업영역 확장, 블록체인(Blochchain) 체인 기술을 통한 데이터 무결점 증명 등 각종 분야에 투자 및 개발을 진행하고 있습니다. 이를 통하여 야피존이 더욱 성장할 수 있도록 야피존 팀 일동은 최선을 다하고 있습니다.

Q 11. 회원 개인정보가 유출된 것은 없나요?
A 11. 회원님들의 아이디, 로그인 비밀번호, 연락처, 이메일, 거래비밀번호, 보안카드 번호 등 회원님들의 모든 개인정보 데이터는 암호화되어 별도로 보관되어 있으며, 현재까지 유출된 흔적은 나오지 않고 있습니다.

Q 12. 또다른 해킹의 가능성은 없나요?
A 12. 어느 분야에서도 100% 해킹이 없을 것이라 장담할 수는 없습니다. 하지만 이번 사건을 계기로 모든 시스템을 전면 재구축 중에 있으며, 차후에는 해킹으로 인한 피해가 발생하더라도 회사 영업이익 1~2달분 이내에서 회사가 모든 손실을 여유 있게 감당할 수 있도록 인터넷 망에 연결된 자산 배치를 최소화해 운영할 수 있는 시스템을 구축하고 있습니다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

빌게이츠처럼자선하기 2017.04.28 10:53

잠깐 해킹 당한 야피존 들어가보니 html 소스코드에 wordpress 사용하는 것같은 주석처리가 있네요. wordpress 취약점을 통한 해킹이 아닌지 조심스레 guess해 봅니다. 물론 수사중이니, 어디서 뚫고 들어왔는지, 혹여 내부자 소행인지는 밝혀지겠지요. ㅎㅎㅎ


빌게이츠처럼자선하기 2017.04.28 10:52

해킹 수사하면 다 나옵니다. 그리고 보안관리 잘했는지 안했는지도 감사하면 나오겠지요. 피해를 고객한테 돌린다고 그게 정당화되지는 않을거라 생각합니다. 이 문제는 피해자 모두 집단소송이 한 방법일 수 있습니다.


weca**** 2017.04.28 09:04

"전혀 펀드형태가 아니라 일반 증귄거래소에 현금을 예치했다가 거래필요시 수시로 고객이 맘대로 주식을 사고파는 것처럼 비트코인을 사고파는 형태로서 펀드와는 전혀 다릅니다...
그런데도 전적으로 거래소의 책임을 불법적으로 선량한 고객계좌에 예치되어 있는 코인이나 현금(한화)을 강탈해서 피해를 만회한다는 막가파식 행태인 것입니다"


pp 2017.04.27 15:48

"펀드형태로 고객의 계좌를 갖고있는건지, 예금형태로 갖고있는건지에 따라...
고객에게 같이 전가하는거면 펀드형태 아닐까요?"


Hildolfr Choi 2017.04.27 10:16

"저도 그부분을 보고 어이가 없어서 헛웃음이 나왔는데
보안관리를 철저히 안한 야피존이 다 떠안아야할 책임을 엉뚱한 곳으로 전가시키네요"


weca**** 2017.04.26 23:15

"해킹을 당한 거래소인 야피존이나 해당 고객의 보안관리 잘못으로 금전이 탈취당했으면 마땅히 그 해킹책임이 거래소에 있는지 아니면 해당 고객에 있는지 가려서 법적 책임을 부담하면 되는게 당연한거 아닌가?

그런데 엉뚱하게도 보안관리를 철저히 하고 있는 해킹을 당하지 않은 선량한 고객들 예금을 강제로 빼돌려서 피해를 보전하겠다고?

그랬다가는 엄벌을 받을 것이요. 아무리 나라가 어수선 하더라도 할짓을 해야죠"


  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
<보안뉴스>의 보안전문 기자들이 선정한 2024년 주요 보안 키워드 가운데 가장 파급력이 클 것으로 보는 이슈는?
점점 더 지능화되는 AI 보안 위협
선거의 해 맞은 핵티비즘 공격
더욱 강력해진 랜섬웨어 생태계
점점 더 다양해지는 신종 피싱 공격
사회기반시설 공격과 OT 보안 위협
더욱 심해지는 보안인력 부족 문제
제로트러스트와 공급망 보안
가속화되는 클라우드로의 전환과 이에 따른 보안위협
모바일 활용한 보인인증 활성화와 인증보안 이슈
AI CCTV의 역할 확대