가상자산 신뢰도 저하

서울 한 지하철역에 설치된 업비트 광고. 연합뉴스

업비트가 해킹 시도 54분 만에 코인 1000억 개가 넘게 외부 전송된 것으로 확인됐다. 가상자산 시장이 급속도로 확대되면서 해킹·보안사고 시 대규모 피해로 이어질 가능성이 높다는 우려다 커지고 있다.

7일 국회 정무위원회 소속 강민국 의원실이 금융감독원에서 제출받은 자료에 따르면 이번 해킹 시도는 지난달 27일 오전 4시 42분부터 오전 5시 36분까지 총 54분간 이뤄졌다. 한 시간도 채 안 되는 시간 동안 알 수 없는 외부지갑으로 전송된 가상자산 규모는 솔라나 계열 24종 코인 1040억 6470만 여개(약 445억 원)에 달했다.

1초당 코인 약 3200만 개(약 1370만 원)가 빠져나간 것이다. 피해 코인 개수 기준으로는 ‘봉크(BONK)’가 1031억 2238만 여개(99.1%·15억 2621만 원)로 가장 많았다. 피해금액 기준으로는 ‘솔라나(SOL)’가 189억 8822만 원(42.7%)으로 가장 컸다.

업비트는 해킹 시도를 인지한 지 18분 만인 오전 5시 긴급회의를 연 데 이어 오전 5시 27분에 솔라나 네트워크 계열 디지털 자산 입출금을 중단했다. 오전 8시 55분에는 모든 디지털자산 입출금을 중단했다. 그러나 해킹 사실을 금감원에 처음 보고한 시점은 오전 10시 58분으로, 해킹 사고 인지 이후 6시간이 넘게 흐른 뒤였다. 한국인터넷진흥원(KISA)에 보고한 시점은 오전 11시 57분이고, 경찰에는 오후 1시 16분, 금융위원회에는 오후 3시에 별도 보고를 했다.

비정상 출금 행위가 이뤄졌음을 홈페이지에 공지한 시간은 낮 12시 33분이다. 모두 업비트 운영사인 두나무와 네이버파이낸셜 합병 행사가 끝난 오전 10시 50분 이후에 이뤄졌다. 이 때문에 행사 이후로 사고 공지와 신고를 의도적으로 미룬 게 아니냐는 의혹도 제기됐다.

강민국 의원은 “국내 가상자산거래소 1위 기업인 업비트가 해킹으로 1000억 개 이상 코인이 유출됐음에도 6시간 넘게 늑장 신고했다”며 “(유출 대상이 된) 솔라나 플랫폼 자체의 구조적 문제인지, 업비트 결제 계정 방식 문제인지에 대한 조사도 확실하게 있어야 한다”고 지적했다.

그러나 현행법상 가상자산사업자의 해킹 사고와 관련해 제재나 배상을 물릴 수 있는 직접 조항은 없는 것으로 나타났다. 이 때문에 금감원이 현재 업비트를 현장 점검 중이지만 현실적으로 중징계로 이어지긴 어렵다는 관측이 많다. 이찬진 금감원장은 업비트 해킹 사고와 관련해 “그냥 넘어갈 성격의 것은 아니다”라면서도 “제재 (권한) 부분에 상대적으로 한계가 있다”고 언급했다.

전자금융거래법은 전자금융업자에게 거래 안전성·신뢰성을 확보할 것을 의무로 규정하고, 불가피한 사고 위험에 대한 시스템 관리자로서 금융기관의 무과실 책임까지 인정한다. 그러나 적용 대상에 가상자산사업자는 포함되지 않는다. 한편 금융당국은 가상자산 2단계 입법 시 대규모 해킹·전산사고를 막지 못했을 경우 배상 책임을 부과하는 방안을 검토하고 있다.

김진호 기자 rplkim@busan.com