최근 암호화폐 관련 뉴스들을 보다보면 “디파이가 해킹당했다”는 소식을 종종 만난다. 지난 달에도 ‘그림파이낸스’라는 디파이가 해킹돼 3000만 달러 상당의 디파이가 탈취됐다는 소식이 전해 진 바 있다.

이를 두고 암호화폐 회의론자들은 “거봐라, 암호화폐 경제시스템은 실현 불가능한 허상”이라고 힐난하고 옹호론자들은 “작은 시행착오일 뿐”이라고 반박한다.

디파이가 무엇이길래 이런 갑론을박을 벌이는 것일까.

디파이는 탈중화금융(Decentralized Finance)의 약자로, 암호화폐 경제 시스템 내의 금융 서비스다. 은행과 같은 중개자를 거치지 않고 개개인이 자유롭게 거래하는 것이 특징이다. 금융거래 중개자가 없이 안전한 금융거래를 할 수 있다면, 저축은행 사태처럼 중개자가 망할 걱정을 할 필요도 없고, 수수료 등 비용을 내지 않아도 된다는 점에서 이상적인 접근이다. 블록체인 기술과 암호화폐를 이용해 이같은 시스템을 만들자는 접근이 디파이다.

디파이 희망편

디파이 시장은 작년 한 해 크게 확장했다. 디파이 정보를 취급하는 플랫폼인 디파이라마에 따르면 2021년 1월 디파이 플랫폼에 예치된 총 자산은 180억 달러 수준이었는데,  12월말 예치금 규모는 약 2540억 달러로 늘어났다. 1년도 안 된 기간에 약 4배가 된 것이다.

디파이 거래는 중개인이 없는 대신 스마트 컨트랙트라는 방법으로 개개인끼리 이루어진다. 스마트 컨트랙트란 사전에 협의된 거래조건이 충족되면 때 해당 계약을 성사되는 디지털 계약서다. 예를 들어 음료 자판기 안에 정해진 돈을 넣으면, 자동으로 음료수가 나오는 것과 비슷한 개념이다.

디파이는 앞서 말했듯이 금융 서비스다. 은행처럼 블록체인 안에서 사람들에게 돈을 빌리기도 하고 빌려주기도 한다. 물론 여기서 빌리고 빌려주는 건 법정화폐가 아니라 암호화폐다. 예를 들어 스테이블 코인인 테더를 빌려주고 연 이자를 받을 수 있다. 거래는 오로지 컴퓨터 코드를 통한 스마트 컨트랙트로 가능하다. 중앙 거래소의 통제를 받지 않고도 가능한 일이다.

스테이블 코인은 기존의 화폐 또는 실물자산과 연동해 가격 안정성을 보장하는 암호화폐다. 예를 들어  1달러를 주면 1스테이블 코인을 받는다. 테더(USDT), 서클(USDC)이 대표적인 스테이블 코인이다.


코인 보유자는 이자농사로 수익을 낼 수 있다. 이자농사란 토큰을 디파이에 넣어 유동성을 공급한 대가로 이자를 받는 개념이다. 과거에는 연이율이 100%넘는 경우도 있었다. 이제는 유동성 공급이 과거보다 늘어 연이율이 10~15%로 많이 낮아졌다. 하지만 시중은행의 정기예금 이자 보다는 매우 높다.

디파이는 오로지 블록체인 지갑으로만 거래한다. 블록체인 지갑은 개인정보가 필요 없기 번거롭게 계좌나 연락처를 적을 필요가 없다. 어느 주체의 통제로부터 벗어난다는 탈중앙화의 가치와 맞닿는 점이다. 거래에 참여하는 중개기관이 없기 때문에 금융 서비스를 이용하는데 발생한 수수료를 개인이 상당 부분 가져갈 수 있다는 점도 매력적이다.

디파이 절망편

그러나 세상 일은 이론대로만 흘러가지 않는다. 이 기사의 서두에 언급한 해킹을 비롯해서 다양한 문제가 발생한다.

작년 8월 10일에는 디파이 플랫폼인 폴리 네트워크에서 6억 달러 규모의 해킹 사건이 발생했다. 디파이 역사상 가장 많은 금액이다. 흥미로운 점은 해킹이 발생한 다음 날인 12일 피해자들은 대부분의 암호화폐를 돌려받았는 것. 해커는 “해킹은 단순 재미였고, 해킹은 암호화폐를 훔칠 목적이 아닌 보안 취약점을 알려주기 위해서”라고 해킹 배경을 설명했다.

바이낸스가 운영하는 바이낸스 스마트 체인인 BSC를 사용하는 디파이 서비스도 여러 차례 해킹 당했다. 블록체인 보안 전문기업인 베오신은 작년 12월에만 8건의 디파이 관련 보안사고가 일어났다고 발표했다.

블록체인은 안전하다던데 거래소도 없는 디파이에서 왜 해킹이 일어나는 걸까?

보안업체인 펙실드는 앞서 말한 그림파이낸스 사례는 해커의 재진입공격(reentrancy) 시도였다고 분석했다. 재진입공격이란 블록체인의 거래에 일정 간격의 시간이 필요한 점을 이용한 해킹이다. 컴퓨터가 거래가 끝나는 걸 인식하기 전에 다시 새로운 거래를 시도해서 N번의 거래를 하는 것이다. 만약  ATM 기기에서 10만원을 인출했는데 기계가 통장에서 10만원 빠져나간 것을 인지하는 시간이 오래 걸린다면, 인지하기 전에 또 10만원을 뽑을 수 있을 것이다.

플래시 론(flash loan) 공격이라는 것도 있다. 암호화폐를 빌릴 때는 담보를 설정하는데, 컴퓨터가 거래를 인식하기전, 일시적으로 담보의 가치를 바꿔 담보보다 높은 가치의 대출을 받는 해킹이다. 스마트 컨트랙트의 허점을 이용해 가치를 조작하고 시세차익을 얻는 방법이다.

시중은행이 해킹돼서 고객의 예금 수백, 수천억 원이 사라졌다고 하면 어떤 일이 벌어질까. 아마 난리가 날 것이다. 그런 일이 디파이 업계에서는 종종 벌어진다.


명목화폐에 기반하는 스테이블 코인은 변동성이 매우 낮다. 그래서 예치나 대출 서비스 등 은행에서 하는 기능을 디파이에서 더 안전하게 사용한다. 디파이와 스테이블 코인을 따로 놓고 볼 수 없는 이유다. 하지만 스테이블 코인은 위험성이나 불안요소도 존재한다.

디파이와 떼어 생각할 수 없는 스테이블 코인의 위험성과 불안요소도 있다. 우선 스테이블 코인 발행사의 지급 능력에 문제가 생길 가능성이 있다. 스테이블 코인 발행사는 발행한 코인만큼 현금을 보관하고 있지 않다. 만약 암호화폐 시장 전망이 어둬워져서 뱅크런과 같은 코인런이 일어난다면 코인을 법정화폐로 바꿔줄 수 없을 것이다.

스테이블 코인을 바라보는 정부의 태도도 불안 요소다. 코인이 법정화폐와 가치가 연동되기 때문에 디지털 화폐(CBDC)를 발행하려는 중앙은행의 견제 대상이 될 확률이 높다. 페이스북도 한때 스테이블 코인인 ‘리브라’를 발행하려고 했지만, 당시 미 하원 금융위원회에서 금융 시스템에 끼칠 영향을 우려하고 개발을 중단해야 한다고 반대 의사를 밝히기도 했다. 작년에는 바이든 행정부가 스테이블 코인에 일정한 규제가 필요하다고 주장하기도 했다. 탈중앙화는 매력적인 단어로 들리지만, 경제 시스템을 통제해야 하는 각국의 정부에는 위협적인 존재가 될 수도 있다.

글. 바이라인네트워크
<윤희성 기자>heecastle@byline.network