40분만에 400억 도난 코인레일…해킹 열흘 전 손배조항 삭제

1000만원으로 회사 설립해 하루 3000억원 거래…잡코인 36억개 인출 '자작극' 의혹

최근 해킹 공격을 당해 400억원 가량의 가상통화(암호화폐)를 도난당한 것으로 알려진 가상통화 거래사이트 코인레일이 자작극을 벌이고 있다는 의혹이 제기됐다. 해킹사고 열흘 전에 약관에서 고객 손해배상 조항을 삭제하고 회사의 고의나 과실이 없으면 배상 책임이 없다는 내용을 새로 추가했기 때문이다. 해킹 공격으로 코인레일에서 수십억 개의 가상통화가 40여 분만에 인출됐는데 이는 내부 직원의 도움 없이는 사실상 불가능하다는 지적도 나온다.

코인레일은 해킹 사고 열흘 전인 지난달 31일 약관을 변경하면서 ‘제20조(손해배상 및 특약) 4항’의 내용을 변경했다. 원래 4항에는 ‘회원이 회사에 본 조에 의하여 손해의 배상을 청구할 경우 회사는 회원의 의사와 관계없이 회원이 최종적으로 보유한 것으로 확인되는 전자지갑 내 가상화폐 또는 KRW 포인트를 지급하는 방법으로 회원의 손해를 배상할 수 있다’고 명시돼 있었다.

코인레일은 약관을 변경하면서 이 내용을 빼고 ‘제3자가 불법적으로 회사의 서버에 접속하거나 서버를 이용함으로써 발생하는 손해는 회사의 고의 또는 과실로 인해 발생하는 것이 아니면 배상하지 않는다’는 내용을 새로 넣었다. 바뀐 약관에 따르면 이번 해킹 사고가 코인레일의 자작극이란 사실이 증명되지 않는 한 코인레일은 고객들의 피해를 보상하지 않아도 된다.

코인레일은 지난해 12월에 불과 1000만원의 자본금으로 설립됐다. 많게는 하루에 3000억원 가량이 거래된 국내 10위권의 거래사이트치고는 보잘 것 없는 규모다. 이 때문에 자본금을 20억원 이상 보유하도록 자율규제하고 있는 거래사이트 연합체인 한국블록체인협회에도 가입돼 있지 않다. 거래사이트들이 해킹에 대비해 가입하는 사이버종합보험에도 가입하지 않은 것으로 알려졌다. 약관이 변경되지 않았다 해도 고객들의 피해를 보상할 여력이 없는 상태다.

코인레일이 다른 거래사이트가 취급하지 않는 잡코인(군소 가상통화)으로 단기간에 성장한 뒤 설립 6개월도 안돼 거액의 해킹 사고를 당한 점도 의심스럽다. 가상통화업계에선 개당 수십원에 불과한 잡코인 약 36억개가 해킹으로 40분만에 인출됐는데 이는 내부 직원의 도움 없이는 불가능한 일이라는 지적이 제기되며 자작극 의혹에 힘을 싣고 있다. 이번 해킹으로 도난당한 가상통화는 △펀디엑스 △애스톤 △앤퍼 △트론 △지브렐 △트라도브 △카이버 △덴트 △스톰 등 9종으로 대부분 개당 수십원에 불과하다.

이에 대해 코인레일측은 “해커를 잡기 위해 수사기관에 최대한 협조하고 있다”며 “관련해 업데이트된 내용은 홈페이지를 통해 지속적으로 공지할 예정”이라는 입장만 밝힌 후 연락이 닿지 않고 있다.