본 기사의 저자: 아이리스, 바이친 변호사
최근 암호화폐 시장은 변동성이 심했습니다. MEME 시장은 얼마 전 격동했고, 많은 Web3 사용자가 큰 손실을 입었습니다. 최근 그 주인공은 유명한 가상 자산 거래소 Bybit이 되었습니다. 온체인 탐정 ZachXBT의 모니터링에 따르면, Bybit은 2월 21일 자정에 14억 6천만 달러 이상의 의심스러운 자본 유출을 경험했습니다. ZachXBT는 나중에 이 사건이 보안 사고였다는 것을 확인했습니다.
*이미지 출처: ZachXBT TG 채널
이처럼 엄청난 액수의 자금이 도난당한 만큼, 일부에서는 이 사건이 가상 자산 시장에 상당한 부정적 영향을 미칠 수 있다고 예측하고 있습니다. 하지만 CoinMarketCap 데이터에 따르면 전반적인 시장 심리 지수는 큰 변동을 경험하지 않았습니다.
이러한 현상은 다음과 같은 여러 측면의 지원에 기인합니다.
사건 이후, Bybit CEO는 도난당한 자금이 고객 자산의 보안에 영향을 미치지 않을 것이라고 여러 차례 성명을 발표했습니다. 또한, Bybit의 재무 감사 결과, Bybit은 사용자 자산을 충당할 만큼 충분한 준비금을 보유하고 있는 것으로 입증되었습니다. 동시에 Lookonchain은 CoinMarketCap 데이터에 따르면 Bybit은 해킹을 당하기 전에 162억 달러의 준비금을 보유하고 있었으며, 도난당한 자금은 약 8.64%에 불과하다고 트윗했습니다.
Bitget, MEXC 및 몇몇 고래를 포함하여 많은 기관과 개인이 Bybit이 현재의 어려움을 극복할 수 있도록 지원하기 위해 Bybit에 자금을 입금했습니다. SoSoValue의 통계와 온체인 보안 팀 TenArmor의 최신 모니터링 데이터에 따르면, 보안 사고가 발생한 지 12시간 만에 Bybit의 자본 유입액은 40억 달러를 초과하여 도난당한 자금으로 인한 손실을 모두 메웠습니다.
현재의 상황을 볼 때, 이 보안 사건은 긍정적인 방향으로 전개되고 있는 것으로 보입니다. 이와 관련하여, 맨큐 변호사는 자산 준비금과 가상 자산의 보관이 이 사건에서 분명 핵심적인 역할을 했다고 생각합니다. 이것이 EU MiCA법과 홍콩 SFC의 최신 가상자산 시장 규제 로드맵이 이에 대해 중요하고 명확한 규정을 제시한 이유입니다.
자본금 준비금의 핵심적 의미
실제로 전 세계 주요 국가 및 지역의 규제 기관이 가상자산 거래 플랫폼을 안내하고 감독하기 시작하면서 자산 준비금은 거래 플랫폼이 거래 서비스를 제공할 수 있는지 여부를 평가하는 주요 기준이 되었습니다. Bybit 해킹 사건은 플랫폼 안정성 보장, 비상 상황 대응 및 시장 신뢰 강화에 있어서 자산 준비금이 얼마나 중요한 역할을 하는지 업계와 규제 기관에 다시 한번 일깨워 주었습니다.
그렇다면 자본준비금이란 무엇이고 가상 자산 거래 플랫폼에서 어떤 핵심 역할을 할까요?
가상 자산 시장에서 현금 준비금은 거래 플랫폼이 시장 변동, 해커 공격 또는 유동성 위기에 직면했을 때 정상적인 운영을 유지할 수 있도록 하는 비상 자금 풀입니다. 핵심 기능은 플랫폼에 유동성을 보장하는 것뿐만 아니라, 플랫폼의 지불 능력을 보장하고 위기가 발생했을 때 사용자 자금이 적시에 보상되도록 보장하는 것입니다. 예를 들어, 이번 해킹 사건에서 Bybit 플랫폼은 충분한 자본 준비금을 통해 잠재적인 신뢰 위기에 대응했을 뿐만 아니라, 고객의 출금 요구를 계속 지원하여 대규모 시장 공황이나 사용자 폭주를 피할 수 있었습니다.
따라서 가상자산 거래플랫폼의 준비금 관리 부서는 위기 상황이 발생하더라도 정상적으로 운영을 계속할 수 있도록 업계 규정 준수 요구 사항을 준수해야 합니다.
일반적으로 가상자산 플랫폼의 준비금 규모는 플랫폼의 거래량, 고객 자산 규모, 잠재적 위험 평가에 따라 결정됩니다. 그러나 홍콩 증권선물위원회(SFC)와 EU MiCA법 등의 규제 프레임워크에 따르면, 가상 자산 거래 플랫폼은 충분한 자본 준비금을 유지하는 것 외에도 일련의 특정 규정 준수 기준을 충족해야 합니다.
예를 들어, 홍콩 증권선물위원회(SFC)가 VATP에 신청할 때 다음 사항이 요구됩니다.
가상자산 거래 플랫폼은 최소 500만 홍콩달러의 납입자본을 유지해야 합니다.
플랫폼은 현금, 예금, 국고채권, 예금증서(가상자산 제외)와 같은 충분히 유동적인 자산을 보유해야 하며, 그 금액은 지속적으로 계산하여 12개월 동안 플랫폼 운영자의 실제 운영 비용과 동일하거나 그 이상이어야 합니다.
플랫폼은 또한 유동자산을 유지해야 하는데, 이는 일반적으로 현금 및 단기 예금과 같이 즉시 또는 비교적 단시간 내에 현금으로 전환할 수 있는 자산을 말합니다. 유동자산은 위기 발생 시 적시에 상환할 수 있도록 플랫폼의 총 부채 기준과 최소한 같아야 합니다.
자금 도난이나 분실이 발생한 경우에도 플랫폼이 고객에게 1:1 지원을 제공할 수 있도록 합니다.
동시에, 가상자산 거래 플랫폼은 독립적인 제3자 감사를 통해 자본준비금의 적정성을 보장하고, 정기적으로 규제기관에 재무 상태를 공개해야 합니다. 감사 보고서는 규제 요구 사항을 준수하고 있는지 확인하기 위해 준비금 규모, 유동성, 위험 관리 전략에 대한 내용을 다루어야 합니다. 또한, 플랫폼은 규제 기관과 시장 참여자가 플랫폼의 재무 건전성을 평가할 수 있도록 준비금 사용 내역을 투명하게 공개해야 합니다.
자산 보관에 필요한 규칙
자산 보관은 가상 자산 거래 플랫폼이 고객 자금의 안전을 보장하는 데 사용하는 중요한 메커니즘입니다. 이 플랫폼은 다중 서명, 콜드 월렛 스토리지, 자산 분리 전략과 같은 관리 및 기술적 수단을 활용해 고객 자금을 안전하게 보관하고 독립적으로 관리해 자금이 도난되거나 남용되는 것을 방지합니다. 동시에 자산 보관을 위해서는 플랫폼이 자금 보관 및 관리 과정을 투명하게 보여줄 수 있어야 하며, 이를 통해 투자자와 규제 당국이 플랫폼이 고객 자산을 어떻게 관리하는지 명확히 이해할 수 있어야 합니다.
Bybit 보안 사고로 돌아가서, 일부 분석가들은 Bybit의 자금 보관 방법이 업계 표준 보관 방법 중 하나인 다중 서명 및 콜드 월렛 스토리지를 사용한다고 지적했습니다. 하지만 왜 아직도 자산이 도난당하는 일이 일어나고 있을까? 유명 보안 회사 SlowMist의 기사에 따르면, 이 사건의 주요 원인은 해커가 프런트엔드 UI 취약성을 악용하고 사회 공학적 공격을 사용하여 서명자가 위조된 인터페이스에서 악성 거래에 서명하도록 유도했다는 것입니다. 동시에 SlowMist Technology의 최고정보보안책임자인 23pds는 두 대 이상의 macOS 또는 Windows 컴퓨터를 통제했을 수 있으며, 공격자는 한동안 인트라넷에 머물러 내부 채팅, 전송 시간 및 기타 정보를 모니터링할 수 있었을 것이라고 추측했습니다.
그러나 Bybit 역시 자산 보관을 위해 분산형 저장 전략을 사용하고 있으며 이 보안 사고에서 대부분의 자금을 효과적으로 고립시켜 더 큰 손실을 피했다는 것은 분명합니다. Bybit의 답변에서도 비슷한 설명이 있었습니다. 단 하나의 콜드 월렛에 있는 자금만 손실되었고, 다른 콜드 월렛에는 문제가 없었습니다.
자산 보관은 가상 자산 거래 플랫폼의 마지막 방어선으로 간주될 수 있습니다. 따라서 일부 국가와 지역의 규제 기관은 가장 기본적인 업계 표준 외에도 자산 보관에 대한 준수 표준을 수립했습니다.
홍콩 증권선물위원회(SFC)의 규제 프레임워크를 예로 들면 핵심 요구 사항은 다음과 같습니다.
보관 방법 측면에서, 가상자산 거래 플랫폼은 고객의 가상자산이 자체 자산과 완전히 분리되어 있는지 확인해야 합니다. 고객의 가상자산의 98%가 콜드 스토리지에 보관되는지 확인해야 합니다. 가상자산의 보관 및 접근 방법과 절차는 보안 요구 사항, 특히 키 관리와 암호화 기술 사용을 충족해야 합니다. 또한 에스크로 자금의 구체적인 관리 방법을 정기적으로 공개하고 정보를 충실히 공개해야 합니다.
보안 측면에서는 실시간 거래 모니터링과 제3자 독립 감사를 통해 보관의 투명성과 보안성을 강화하는 것이 좋습니다. 또한 플랫폼은 자산 손실이나 오용을 방지하기 위한 충분한 보호 장치를 제공해야 합니다. 또한, 하드웨어 보안 모듈(HSM)과 같은 기술을 채택하여 키를 관리하고 보호할 수 있습니다. 열쇠를 보관하고, 사용하고, 파기하는 절차는 투명해야 하며 업계 표준을 따라야 합니다.
동시에, 가상자산 거래 플랫폼은 고객 가상자산의 보안을 정기적으로 모니터링하고 감사해야 하며, 특히 고객 자금의 이체 및 거래 시 보안을 강화해야 하며, 플랫폼은 규정 준수 요구 사항을 준수하고 있음을 입증할 수 있어야 합니다. 또한 플랫폼은 고객의 가상 자산 손실에 대한 적절한 보호를 제공할 수 있도록 보험 및 보상 조치를 수립해야 합니다.
가상 자산 거래 플랫폼은 자체 자산 보관 외에도 보관을 위해 제3자 보관인과 협력합니다. 이를 위해 SFC는 독립성 및 규정 준수, 자산 격리 및 보호, 해당 보안 감사, 기술 표준, 정보 공개 및 기타 요구 사항과 같은 특정 규제 요구 사항도 가지고 있습니다.
변호사 맨큐의 요약
해커 공격에 대비해 충분한 준비금을 확보해 플랫폼의 안정성을 보장하고, 완벽한 보관 메커니즘을 통해 고객 자금의 위험을 줄여줍니다.
그러나 이 사건은 플랫폼의 프런트엔드 보안과 내부 위험 관리 측면에서의 단점을 드러냈으며, 호스팅에만 의존하는 것은 공격을 완전히 방지하기에 충분하지 않다는 것을 보여줍니다. 그리고 이것은 고립된 사례가 아닙니다. 2024년에 WazirX, Radiant Capital, DMM도 이 방법으로 인해 수천만 달러 또는 수억 달러를 잃었습니다.
따라서 Mankiw는 가상 자산 거래 플랫폼이 다음과 같은 측면에서 보안을 강화해야 한다고 생각합니다.
플랫폼은 특히 자금 이체와 관련된 서명 작업 인터페이스에서 프런트엔드 시스템에 대한 보안 감사와 취약성 수리를 정기적으로 수행하여 모든 서명 요청이 엄격하게 검증되고 악의적인 거래 위조가 방지되도록 해야 합니다.
해커가 인트라넷을 통해 침투하여 공격하는 것을 방지합니다. 가상 자산 거래 플랫폼은 엔드포인트 보호 소프트웨어 설치, VPN 및 2단계 인증 사용 등 직원의 장치를 엄격하게 관리하여 회사 네트워크 보안을 보장할 수 있습니다.
가상 자산 거래 플랫폼은 고객 자산을 플랫폼 자체 자금으로부터 분리하는 것 외에도 단일 콜드 월렛의 도난 위험을 줄이기 위해 분산형 저장 전략을 채택해야 하며, 하드웨어 보안 모듈(HSM)과 고급 암호화 기술을 결합하여 키 관리를 강화해야 합니다.
규제 기관의 경우 보안 사고가 계속 발생함에 따라 향후 규제 프레임워크와 표준을 보다 집중적으로 개선할 수 있습니다.
가상자산 플랫폼의 보관 요건, 특히 콜드 스토리지 비중, 키 관리에 대한 기술 기준, 플랫폼의 현금흐름 및 준비금 공개 의무 등을 더욱 명확히 합니다. 또한, 투자자 보호를 강화하기 위한 보험 메커니즘의 도입이 필요합니다.
플랫폼에서는 허가받은 제3자 보관 기관과 협력하고 규제 프레임워크 내에서 기관 간 정보 공유를 강화하여 플랫폼의 보안 상태를 시기적절하게 모니터링하고 유사한 사고가 발생하지 않도록 하는 것이 좋습니다.
보안 사고 발생 시, 가상자산 거래플랫폼의 보안 사고 처리 능력을 향상시키기 위해 보안 사고에 대한 최단 공개 시간, 자산 회수 계획, 정기적 공개 등의 비상 대응 기준을 구현할 수 있습니다.
해커 자금 회수 성공률을 높이기 위해 법 집행 기관 간 협력 메커니즘을 구축하고 관할권 간 자산 동결 및 회수 조정 절차를 수립합니다.
자금 준비금과 보관의 보안은 플랫폼의 안정적인 운영과 관련이 있을 뿐만 아니라, 전체 산업의 신뢰와 건전한 발전과도 관련이 있습니다. 따라서 가상 자산 거래 플랫폼과 글로벌 규제 기관은 규정 준수 기준을 높이고 보안 조치를 강화하여 시장에 보다 투명하고 안전한 환경을 제공하기 위해 함께 노력해야 합니다.
