블록인프레스

블록체인·암호화폐 업계는 올해 새로운 키워드 찾기에 나섰다. 암호화폐 거래시장과 암호화폐 공개(ICO)가 침체하면서 업계 시선이 돌아선 곳은 특정 자산에 기반을 둔 증권형 토큰(Security Token· 이하 ST)이다. ST는 자금을 모으는 방식에서 ICO와 유사하지만, 자본시장법에 따라 ‘증권’임을 표방한다는 점에서 규제 안에 있기 때문이다.

ST는 올해 암호화폐 시장에 생기를 불어넣어 줄 수 있을까. ST 매매를 직접 경험해보기 위해 에스토니아발 코인 거래소 ‘DX‘를 찾았다. DX는 나스닥 상장사에 대응되는 ‘토큰형 주식’을 매매하는 플랫폼이다.

지난 8일부터 15일까지 일주일간 DX에서 체험한 결과는 ‘ST는 아직 멀었다’는 것이다. 사용자 수가 적어 매매가 활발하게 이뤄지지 않았다. 나스닥 상장 종목을 직접 매매할 수 있는 다양한 플랫폼이 있는데 굳이 이곳에서 토큰형 주식을 살 필요를 찾기가 어려운 탓이다. 또 기자가 매매하는 짧은 기간에도 보안 문제가 불거졌다. 업계 일각에서 ‘유동성이 적은 상품에는 그만한 이유가 있다’는 목소리가 커지고 있는 원인을 확인할 수 있는 체험이었다.

◆ 하루가 지나도 팔리지 않는 테슬라 토큰…거래 성사 ‘답답’

DX에서는 투자회사 MPS 마켓플레이스 시큐리티스(MPS MarketPlace Securities)가 매수한 나스닥 상장 주식을 기반으로 이더리움 토큰(ERC20)을 생성한다. 해당 토큰은 투자자 간에 거래되며 또 다른 시장이 형성된다.

이 시장에 뛰어들기 위한 첫 번째 과정은 DX 가입이다. 가입 과정은 복잡했다. 신분증은 물론 6개월 이내 발급받은 청구서나 주민등록등본 사본을 요구했다. 8일 이메일로 등본을 제출하자 14일 계정 승인이 이뤄졌다는 안내 메일이 왔다.

토큰 거래는 안내 메일을 받기 전부터 가능했다. 10일 신용카드 연동을 마친 후 오후 3시께 애플 토큰 0.15개(24.75달러)를 사들였다. 주식을 쪼개서 살 수 있기 때문에 기존 금융 서비스에서 나스닥 상장사 주식을 사는 것보다 더 적은 금액으로 거래에 참여할 수 있었다.

그러나 기대보다 거래금액은 미미했다. 같은 날 330달러인 테슬라 토큰 0.07개(23.10달러)를 매입한다는 주문을 넣었다. 거래 범위 내에서 매매가로 나왔던 329.63달러에 근접하는 호가였다. 거래가 바로 이뤄질 것이라는 예상과 달리 다음 날인 11일까지도 테슬라 토큰 거래는 성사되지 않았다.

실제 이러한 상황은 증권형 토큰 거래에 대한 회의적인 시선과 맞닿는다. 한 업계 관계자는 “아무리 불편하더라도 나스닥에 상장된 주식은 나스닥에서 거래해도 무방하다”면서 “이미 모바일 금융 서비스인 토스(toss)는 신한금융투자를 통해 해외 주식을 앱으로 편하게 구매하는 기능을 제공한다”고 말했다. 제도권에서 안전하게 구매할 수 있는 투자상품을 증권형 토큰으로 거래할 유인이 적다는 의미이다.

암호화폐 연구소 코인원리서치센터도 지난 14일 보고서를 통해 “기존 금융권에서 유동성이 최소화한 상품에는 그에 합당한 이유가 있다”며 “자산 유동성에 치우친 STO은 고위험군에 속하는 투자상품에 과한 유동성을 부여해 자칫 2007년 서브프라임 모기지 사태와 유사한 폐단을 낳을 수 있다”고 꼬집은 바 있다.

◆ 그 와중에 보안 문제까지…별도 안내 없는 거래소

DX에서 매매하는 사이 보안 이슈가 발생하기도 했다. 더 심각한 문제는 기자가 해당 거래소의 개인정보 보호와 관련된 문제를 뒤늦게 언론 보도를 통해 접했다는 것이다. DX 거래소 고객들에게는 별도의 안내조차 없었다.   

지난 10일(현지시간) 암호화폐 전문 매체 코인텔레그래프는 기술 전문 매체 아르스 테크니카(Ars Technica)의 보도를 인용, DX 거래소에 개인정보가 유출될 수 있는 ‘보안 구멍’이 있다고 보도했다. DX 거래소의 보안 상태를 분석하는 익명의 제보자는 “DX 사이트에서 약 100개의 사용자 (인증) 토큰과 비밀번호 재설정 링크가 포함된 데이터를 발견할 수 있었다”고 전했다. 해당 인증 토큰은 암호화된 거래소 사용자의 이름과 전자메일 주소를 쉽게 해독할 수 있는 것으로 알려졌다. 아르스 테크니카는 “유출된 로그인 데이터 중 일부가 DX 직원의 것”이라며 “관리 권한을 가진 계정에 무단 액세스가 가능했다면 해커가 전체 데이터베이스를 내려받아 사용자 계정에서 자금을 이전할 수도 있었다”고 지적했다.

가입 과정에서 제출했던 주민등록등본에는 기자뿐 아니라 가족의 신상정보도 적혀있었다. 비대면 인증이 불가피하다는 생각으로 등본을 보냈던 것이 후회됐다. 개인정보와 고객자산이 제대로 보호를 받았는지 듣고 싶었지만, 유출 소식과 마찬가지로 별도 고지는 없었다.

DX에 신용카드를 연동하는 과정에서 실수로 보안코드(CVV)를 잘못 입력한 적이 있다. 이때 곧바로 전화를 걸어와 이상 거래 여부를 알렸던 시중은행의 금융거래탐지시스템(FDS)과 대조를 이루는 대목이다.

‘보안 취약점을 성공적으로 해결했다’는 DX의 트위터 게시물 아래에 DX를 칭찬하는 댓글이 달렸다. 현 상황을 빠르고 투명하게 공개했다는 내용이 주를 이뤘다. 암호화폐 거래 서비스가 아닌 기존 금융 서비스에서 이런 이슈가 발생했다면 어떤 반응이 이어질지 떠올려보게 했다.

암호화폐 업계에는 ‘코인거래소에 들어가면 돈도, 정보도 내 것이 아니다’라는 우스갯소리가 있다. 규제 공백 상태에서 암호화폐 거래소를 이용하는 고객은 플랫폼이 ‘상도덕’을 지키길 기도하는 것 이외에 할 수 있는 일이 많지 않다는 뜻이다. 글로벌 거래 플랫폼을 표방하는 DX가 정작 ‘개인정보 보호’라는 기본적인 대응에 허술하다는 점이 씁쓸해지는 이유다.