국내 최대 암호화폐거래소 업비트 해킹 시도 54분 만에 암호화폐 1000억개가 넘게 외부 전송된 것으로 확인됐다. 두나무는 이번 해킹으로 445억원가량의 가상자산을 도둑맞았다. 가상자산 시장이 급성장하면서 해킹·보안 사고 시 대규모 피해 발생 가능성이 높아지고 있지만 현행법상 이를 직접 제재하거나 배상을 강제할 조항이 없어 '규제 공백' 우려가 커지고 있다.
7일 국회 정무위원회 소속 강민국 국민의힘 의원실이 금융감독원에서 제출받은 자료에 따르면 이번 해킹 시도는 지난달 27일 오전 4시42분부터 오전 5시36분까지 총 54분간 이뤄졌다.
한 시간도 채 안 되는 시간 동안 알 수 없는 외부 지갑으로 전송된 가상자산 규모는 솔라나 계열 24종 코인 140억6470만여개(약 445억원)에 달했다. 시가총액 6위인 솔라나와 7위 USD코인을 비롯해 오피셜트럼프, 펏지펭귄, 오르카, 메테오라, 레이디움 등 24개 암호화폐가 탈취당했다. 1초당 코인 약 3200만개(약 1370만원)을 빼간 셈이다.
피해 금액 기준으로는 '솔라나(SOL)'가 189억8822만원(42.7%)으로 가장 컸다. 피해 코인 개수 기준으로는 '봉크(BONK)'가 1031억2238만여개(99.1%·15억2621만원)로 가장 많았다.
이번 해킹이 발생한 27일은 업비트 운영사인 두나무와 네이버가 합병 방침을 공식 발표한 날이었다.
업비트는 해킹 시도를 인지한 지 18분 만인 오전 5시 긴급회의를 연 데 이어 오전 5시27분에 솔라나 네트워크 계열 디지털자산 입출금을 중단했다. 오전 8시55분에는 모든 디지털자산 입출금을 중단했다.
그러나 해킹 사실을 금감원에 처음 보고한 시점은 오전 10시58분으로, 해킹 사고 인지 이후 6시간이 넘게 흐른 후였다.
한국인터넷진흥원(KISA)에 보고한 시점은 오전 11시57분이고, 경찰에는 오후 1시16분, 금융위원회에는 오후 3시에 별도 보고했다. 홈페이지에 비정상 출금 행위가 이뤄졌다고 공지한 시간은 낮 12시33분이다.
모두 업비트 운영사인 두나무와 네이버파이낸셜 합병 행사가 끝난 오전 10시 50분 이후에 단행됐다.
이 때문에 행사 이후로 사고 공지와 신고를 의도적으로 미룬 게 아니냐는 의혹도 제기됐다.
업비트 관계자는 "피해자산은 모두 업비트가 충당해서 이용자에겐 피해가 없도록 조치했다"며 "비정상 출금 후 추가 출금을 막는데 집중했고, 비정상 출금이 침해사고라고 최종 확인된 즉시 당국에 보고했다"고 말했다.
그러나 현행법상 가상자산사업자의 해킹 사고와 관련해 제재나 배상을 물릴 수 있는 직접 조항은 없는 것으로 나타났다.
이 때문에 금감원이 현재 업비트를 현장 점검 중이지만 현실적으로 중징계로 이어지긴 어렵다는 관측에 무게가 실린다.
전자금융거래법은 전자금융업자에게 거래 안전성·신뢰성을 확보할 것을 의무로 규정하고, 불가피한 사고 위험에 대한 시스템 관리자로서 금융기관의 무과실 책임까지 인정한다. 그러나 가상자산 사업자는 전금법 적용 대상이 아니다. 이에 해킹이나 전산 사고가 발생하더라도 책임을 묻기 어려운 구조다.
작년 7월 시행된 '가상자산법'(1단계법)은 이용자 보호 중심으로 구성돼 있어 해킹·전산 사고에 제재 규정을 다루고 있지 않다.
이런 가운데 금융당국은 가상자산 2단계 입법 시 대규모 해킹·전산 사고를 막지 못했을 경우 배상 책임을 부과하는 방안을 검토하고 있다. 금융회사와 동일하게 사업자에게 '무과실 손해배상 책임'을 부과하는 방안이다.
이찬진 금감원장은 최근 취임 후 첫 기자간담회에서 업비트 해킹 사고와 관련해 "그냥 넘어갈 성격의 것은 아니다"라면서도 "제재 (권한) 부분에 상대적으로 한계가 있다"고 말하기도 했다.
이강일 더불어민주당 의원이 금융감독원에서 제출받은 자료에 따르면 2023년부터 2025년 9월까지 5대 원화거래소(업비트·빗썸·코인원·코빗·고팍스)에서는 총 20건의 전산 사고가 발생했다. 구체적으로는 업비트 6건(피해자 616명, 피해 금액 31억9967만원), 빗썸 4건(326명, 8억8308만원), 코인원 3건(47명, 4965만원)이다.
오정민 한경닷컴 기자 blooming@hankyung.com
관련뉴스
