[더파워 최병수 기자] 국내 1위 가상자산거래소 업비트에서 54분 동안 1000억개가 넘는 코인이 외부로 빠져나간 사실이 드러나면서, 대규모 해킹 사고에도 사업자를 직접 제재하거나 배상을 강제할 수 없는 법·제도 공백 논란이 커지고 있다.
국회 정무위원회 소속 강민국 의원실은 7일 금융감독원에서 제출받은 자료를 통해 지난달 27일 업비트에서 발생한 해킹 시도 경위와 피해 규모를 확인했다고 밝혔다.
자료에 따르면 이번 해킹 시도는 지난달 27일 오전 4시42분부터 오전 5시36분까지 54분 동안 이뤄졌다. 이 시간 동안 업비트에서 알 수 없는 외부 지갑으로 전송된 가상자산은 솔라나(SOL) 계열 24종 코인 1040억6470만여개, 약 445억원 규모로 집계됐다. 초당 약 3200만개(약 1370만원 상당)의 코인이 빠져나간 셈이다.
피해 코인 개수 기준으로는 솔라나 생태계 밈 코인인 ‘봉크(BONK)’가 1031억2238만여개(비중 99.1%, 약 15억2621만원)로 대부분을 차지했다. 피해 금액으로는 ‘솔라나(SOL)’가 189억8822만원(42.7%)으로 가장 컸고, ‘펏지펭귄’, ‘오피셜트럼프’ 등이 각각 38억5162만원(8.7%), 29억1763만원(6.6%) 규모 피해가 난 것으로 파악됐다.
업비트는 비정상 출금 정황을 인지한 지 18분 만인 오전 5시에 긴급회의를 열고, 오전 5시27분 솔라나 계열 디지털자산 입출금을 우선 중단했다. 이어 오전 8시55분에는 모든 디지털자산 입출금을 전면 중단하는 조치를 취했다. 반면 감독·수사기관에 대한 공식 보고는 그보다 한참 뒤에야 이뤄졌다.
금감원에 첫 해킹 사실을 보고한 시점은 오전 10시58분으로, 사고 인지 이후 6시간이 넘게 지난 뒤였다. 한국인터넷진흥원(KISA)에는 오전 11시57분, 경찰에는 오후 1시16분, 금융위원회에는 오후 3시에 각각 보고가 이뤄졌다. 홈페이지에 ‘비정상 출금 발생’ 공지가 올라간 시각은 낮 12시33분이었다. 이들 보고와 공지는 모두 업비트 운영사 두나무와 네이버파이낸셜 합병 행사가 끝난 오전 10시50분 이후에 이뤄져, 회사 측이 행사 진행을 마칠 때까지 공지와 신고를 미룬 것 아니냐는 의혹도 제기됐다.
강민국 의원은 “국내 가상자산거래소 1위 기업인 업비트에서 1000억개가 넘는 코인이 유출됐는데도 6시간 넘게 늑장 신고를 했다”며 “유출 대상이 된 솔라나 플랫폼의 구조적 문제인지, 업비트 결제 계정 방식의 문제인지에 대한 정확한 조사가 이뤄져야 한다”고 지적했다.
그러나 현행법 체계에서는 이번과 같은 해킹·보안 사고에 대해 가상자산사업자에게 직접적인 제재나 배상을 물릴 수 있는 조항이 없다. 전자금융거래법은 전자금융업자에게 거래 안전성과 신뢰성 확보 의무를 부과하고 불가피한 사고에 대해서도 무과실 책임을 인정하지만, 가상자산거래소 등 가상자산사업자는 적용 대상에서 빠져 있다. 지난해 7월 시행된 ‘가상자산 이용자 보호법’(1단계법) 역시 이용자 예치금 분리 보관과 시장질서, 불공정거래 규제를 중심으로 설계돼 해킹·전산 사고에 대한 제재 규정은 담지 않았다.
이 때문에 금융감독원이 현재 업비트를 상대로 현장 점검에 나섰지만, 사고 규모와 별개로 중징계로 이어지기는 어렵다는 관측이 우세하다. 금융당국 관계자는 “해킹 사고만 있었다는 이유만으로 가상자산사업자에게 어떤 조치를 할 수 있는 근거는 없다”며 “1단계 법에 불공정거래 등 이상거래 감시 의무는 있지만, 해킹 사고 시 보고 의무 조항이 없어 보고 지연 여부를 문제 삼기도 쉽지 않다”고 말했다.
당국은 현재 마련 중인 ‘가상자산법 2단계 입법’에서 대규모 해킹·전산 사고를 막지 못했을 경우 가상자산사업자에게 배상 책임과 IT 안전성 확보 의무를 부과하는 방안을 검토하고 있다. 또 이미 1단계 법에서 규정한 ‘고객 가상자산의 80% 이상을 콜드월렛(오프라인 지갑)에 보관’ 의무를 기준으로, 업비트가 해당 요구사항을 제대로 이행했는지 여부도 점검한다는 방침이다.
이찬진 금융감독원장은 업비트 해킹 사고와 관련해 “그냥 넘어갈 성격의 것은 아니다”면서도 “제재 권한 부분에 상대적으로 한계가 있다”고 언급했다. 업비트 측은 “비정상 출금된 자산은 모두 회사가 충당해 이용자 피해가 발생하지 않도록 조치했다”며 “비정상 출금 발생 직후 추가 유출 차단에 집중했고, 침해사고로 최종 확인된 즉시 관계 기관에 보고했다”고 설명했다.
최병수 더파워 기자 news@thepowernews.co.kr
이미지 확대보기
