해커에게 '10% 보상'... 암호화폐 업계의 새로운 협상법

해킹당한 회사가 범인에게 돈을 주겠다고 제안한다면? 블록체인 프로젝트 IoTeX가 바로 그런 일을 했다. 440만 달러 규모의 해킹 사건 후, 해커에게 10% 보상금(44만 달러)을 제안하며 48시간 내 자금 반환을 요구했다.

범죄자와의 거래, 과연 현실적일까

지난 2월 21일, IoTeX의 크로스체인 브리지 'ioTube'에서 검증자의 개인키가 탈취되면서 440만 달러가 사라졌다. 회사 측은 즉시 온체인 메시지를 통해 해커에게 제안했다: "나머지 자금을 반환하면 10% 보상금을 주고, 법적 조치도 취하지 않겠다."

이런 '화이트햇 바운티' 제안은 암호화폐 업계에서 점점 흔해지고 있다. 하지만 과연 효과가 있을까? 보안업체 PeckShield에 따르면 해커는 이미 훔친 자금을 이더리움으로 교환한 뒤 THORChain을 통해 비트코인으로 옮기기 시작했다.

"자산이 THORChain을 통해 라우팅되면 회수가 극도로 어려워진다"고 ORQO Group CEO 닉 모츠가 경고했다. 실제로 IoTeX는 66.6 BTC(약 430만 달러 상당)를 보유한 4개 비트코인 주소를 식별했지만, 이미 교환소를 통해 세탁된 자산의 회수 가능성은 희박하다.

브리지 해킹, 암호화폐의 '아킬레스건'

이번 사건은 크로스체인 브리지의 구조적 취약성을 다시 한번 드러냈다. 브리지 해킹으로 인한 누적 손실은 32억 달러를 넘어섰으며, 고도화된 해커들의 주요 표적이 되고 있다.

특히 이번 IoTeX 해킹은 스마트 컨트랙트 버그가 아닌 '운영 보안 실패'라는 점에서 주목할 만하다. 개인키 관리의 허술함이 직접적인 원인이었던 것이다.

"개인키를 보유한 사람이 그것을 보호할 책임이 있다"고 human.tech 공동창립자 나낙 니할 칼사는 지적했다. "그것이 합리적인 책임인지는 논란의 여지가 있지만, 현재 업계가 작동하는 방식이다."

IOTX 토큰은 해킹 발생 후 22% 급락했다가 부분적으로 회복했지만, 투자자들의 신뢰 회복에는 시간이 걸릴 전망이다.