`암호화폐 30억 먹튀` 퓨어빗 사과문 논란...개인정보 추가 요구?

암호화폐 거래소 퓨어빗이 '먹튀' 의혹을 받는 가운데 퓨어빗 관계자로 추정되는 인물이 사과문을 게시했다. 먹튀에 대한 사과와 보상을 약속하고 있지만 투자 피해를 보상받으려면 거래소 사용 지갑의 정보를 달라고 요구해 또다른 해킹을 시도하려는 게 아니냐는 지적도 제기되고 있다.
퓨어빗은 채굴형 거래소를 만들겠다며 자체 발행 암호화폐 퓨어코인을 투자자에게 판매한 뒤 지난 9일 홈페이지와 채팅방을 갑자기 폐쇄했다. 퓨어빗이 폐쇄 이전까지 판매한 퓨어코인은 약 1만 6000ETH(한화 약 30억원) 규모로 파악되며 피해자는 수백 명에 달하는 것으로 전해졌다.
폐쇄 이후 암호화폐 커뮤니티와 관련 업계에서는 해당 코인의 추적에 나서 이더스캔을 통해 자금의 흐름을 상당부분 파악했다. 횡령금의 일부가 유입된 것으로 파악된 암호화폐 거래소 업비트에서는 해당 계좌를 동결한다고 밝혔으며 블록체인 보안 관련 업체들도 잇달아 관련 보고서를 내놓고 퓨어빗 관계자들의 실체를 파악하는 데 힘을 쏟고 있다.
이런 와중에 지난 13일 자정 피해금 중 가장 많은 규모인 약 1만 4000ETH가 전송된 이더리움 지갑 주소 내 코멘트 페이지에 사과문이 올라왔다. 작성자는 사과문을 통해 죄책감을 느끼고 있으며 투자 피해를 보상하겠다고 밝혔다. 다만 보상을 위한 확인 절차로 ▲암호화폐의 기록현황을 알 수 있는 트랜잭션 ID(TXID) ▲투자금 전송 당시거래내역의 지갑이 거래소 지갑인지에 대한 여부 ▲ 거래소 지갑일 경우 거래소에서 발급받은 API와 암호키(Secret Key)를 요구했다. API를 통해 암호키를 발급받을 때에는 조회 권한만 부여하고 3가지 정보를 제공하면 투자한 이더리움의 절반을 돌려주겠다고 적었다.
하지만 이번 사과문에 대해 암호화폐 커뮤니티에서는 의도가 의심스럽다는 반응을 보이고 있다. 바로 API 암호키를 요구한 것 때문이다. 암호화폐 거래소의 API 암호키는 암호화폐 지갑의 입출금을 쥐고 있는 만큼 쉽게 알려줘서는 안 된다는 설명이다. 오영택 해치랩스 개발자는 "사과문에서 말한 대로 '조회 권한' 기능만 선택해 제한된 상태로 API키를 넘길 수도 있겠지만 권한 설정 방법을 모르는 일반인들은 '거래 가능'과 '출금 가능'까지 다 열어서 넘길 수도 있다"고 말했다. 이어 "그걸 노리고 모든 기능이 선택된 투자자 지갑만 골라 자기 계좌로 암호화폐를 추가로 출금할 수도 있다"고 경고했다.
오 개발자는 이어 "투자 피해금을 입금할 것이라면 지갑 주소만 있어도 충분하다. 함부로 의도를 해석해선 안 되지만 API 키까지 요구한 것은 애초 보상의 목적보다 과한 것을 요구했다고 생각한다"며 "굳이 불필요한 것까지 얻으려 했다는 점에서 악용하려 했다는 의심을 충분히 살 수 있다"고 주장했다.
다른 보안 전문 업체 관계자도 "API키를 받아서 사과문대로 실행할지가 불확실한 상태에서 2차 피해가 우려된다"며 "사기 피해가 생기면 돌려줄 것을 이야기하기보다 고객에게 나서서 진심 어린 사과를 먼저 하는 게 상식"이라고 말했다.
이같은 지적에 대해 퓨어빗 관계자는 추가 입장을 내놓지 않고 있다. 퓨어빗 관계자의 사과문이 게재된 이더스캔 페이지에는 현재 투자금 반환을 요구하는 댓글들이 계속 게재되고 있다.
* 사과문을 게재하는 도중 특정인의 이름이 여과없이 노출되는 실수가 있었습니다. 본의 아니게 피해를 본 당사자에게 심심한 사과를 드립니다. <편집자 주>
[이지영 D.STREET(디스트리트) 기자][ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]