54분만에 코인 1000억개 털린 업비트…금융당국 "현행법상 제재 못해"

업비트 해킹 시도 54분 만에 1000억 개 넘는 코인이 외부로 전송된 것으로 확인됐다. 암호화폐 시장이 급속도로 커지면서 해킹·보안 사고 시 대규모 피해로 이어질 가능성이 제기되지만, 현행법상 이를 직접 제재하거나 배상을 강제할 조항이 없어 ‘규제 공백’ 우려가 커지고 있다.

7일 국회 정무위원회 소속 강민국 의원이 금융감독원으로부터 받은 자료에 따르면 이번 해킹 시도는 지난달 27일 오전 4시42분부터 오전 5시36분까지 총 54분간 이뤄졌다. 한 시간도 채 안 되는 시간 동안 알 수 없는 외부 지갑으로 전송된 암호화폐 규모는 솔라나 계열 24종 코인 1040억6470만여 개(약 445억원)에 달했다.

업비트는 해킹 시도를 인지한 지 18분 만인 오전 5시 긴급회의를 연 데 이어 오전 5시27분 솔라나 네트워크 계열 디지털자산 입출금을 중단했다. 오전 8시55분에는 모든 디지털자산 입출금을 중단했다. 그러나 해킹 사실을 금감원에 처음 보고한 시점은 오전 10시58분으로, 해킹 사고 인지 이후 6시간이 넘게 흐른 뒤였다. 이 때문에 사고 공지와 신고를 의도적으로 미룬 게 아니냐는 의혹도 제기됐다.

문제는 현행법상 가상자산 사업자의 해킹 사고와 관련해 제재 및 배상을 강제할 수 있는 직접 조항이 없다는 점이다. 금감원이 업비트를 현장 검사 중이지만 현실적으로 중징계로 이어지긴 어렵다는 관측이 많다. 전자금융거래법은 전자금융업자에게 거래 안전성·신뢰성을 확보할 것을 의무로 규정하고, 불가피한 사고 위험에 대한 시스템 관리자로서 금융기관의 무과실 책임까지 인정한다. 그러나 적용 대상에 가상자산사업자는 포함되지 않는다. 작년 7월 시행된 가상자산법(1단계법)은 이용자 보호 중심으로 구성돼 있어 해킹·전산 사고에 제재 규정을 다루고 있지 않다.

금융당국은 가상자산 2단계 입법 시 대규모 해킹·전산 사고를 막지 못했을 경우 배상 책임을 부과하는 방안을 검토하고 있다. 금융당국 관계자는 “이미 가상자산 1단계법에 손해배상 보험이나 준비금 적립 형태로 보안 사고에 대비하게 돼 있긴 하다”면서도 “2단계 입법에선 안전성 확보 의무를 부여하고 제재 근거 등도 마련하는 방안을 검토할 것”이라고 말했다.

한편 금융당국은 가상자산업계로부터 초국경 범죄와 관련된 계좌 정보 및 거래 정보가 담긴 ‘의심거래보고서’를 받기로 했다. ‘범죄의심계좌 정지제도’를 도입하는 등 자금세탁방지 규제도 강화할 방침이다.

신연수/장현주 기자 sys@hankyung.com