가상자산 거래소 업비트는 지난 11월 27일 오전 4시 42분부터 54분간 이어진 해킹 시도로 1천억 개가 넘는 코인이 외부로 전송되는 대규모 피해를 입었다.
가상자산 시장이 급속도로 확대되면서 해킹과 보안 사고 시 피해 규모가 커질 가능성이 높아지고 있으나, 현행법상 가상자산사업자에 대한 직접적인 제재나 배상 강제 조항이 없어 '규제 공백'에 대한 우려가 커지고 있다고 7일 국회 정무위원회 소속 강민국 의원실은 금융감독원에서 제출받은 자료를 통해 밝혔다.
해킹 시도는 불과 54분 만에 완료됐으며, 이 짧은 시간 동안 알 수 없는 외부 지갑으로 전송된 가상자산은 솔라나(SOL) 계열 24종 코인 1천40억6천4백70만여 개에 달하는 약 445억 원 규모다.
초당 코인 약 3천2백만 개(약 1천370만 원)가 유출된 것으로 분석됐다.
피해 코인 개수 기준으로 가장 많은 것은 '봉크(BONK)'로 1천31억2천2백3십8만여 개(99.1%), 금액으로는 약 15억2천6백2십일만 원이다.
피해 금액 기준으로는 '솔라나(SOL)'가 189억8천8백2십이만 원(42.7%)으로 가장 컸다.
이 외 '펏지펭귄' 38억5천1백6십이만 원(8.7%), '오피셜트럼프' 29억1천7백6십삼만 원(6.6%) 등이 뒤를 이었다.
업비트는 해킹 시도를 인지한 지 18분 만인 오전 5시에 긴급회의를 개최했으며, 오전 5시 27분에는 솔라나(SOL) 네트워크 계열 디지털자산의 입출금을 중단했다.
오전 8시 55분에는 모든 디지털자산 입출금을 중단 조치했다. 그러나 금융감독원에는 해킹 사실을 오전 10시 58분에 처음 보고하여 사고 인지 이후 6시간이 넘게 흐른 뒤였다.
한국인터넷진흥원(KISA, Korea Internet & Security Agency)에는 오전 11시 57분, 경찰에는 오후 1시 16분, 금융위원회에는 오후 3시에 별도 보고가 이루어졌다.
또한 비정상 출금 행위를 홈페이지에 공지한 시간은 낮 12시 33분으로 확인됐다.
이 모든 조치와 보고는 업비트 운영사인 두나무와 네이버파이낸셜 합병 행사가 끝난 오전 10시 50분 이후에 이루어져, 행사 이후로 사고 공지와 신고를 의도적으로 미룬 것이 아니냐는 의혹이 제기됐다.
강민국 의원은 "국내 가상자산거래소 1위 기업인 업비트가 해킹으로 1천억 개 이상의 코인이 유출됐음에도 6시간 넘게 늑장 신고했다"면서 "(유출 대상이 된) 솔라나(SOL) 플랫폼 자체의 구조적 문제인지, 업비트 결제 계정 방식 문제인지에 대한 조사도 확실하게 있어야 한다"고 지적했다.
그럼에도 현행법상 가상자산사업자의 해킹 사고와 관련하여 제재나 배상을 부과할 수 있는 직접적인 조항은 없는 것으로 나타났다.
이로 인해 금융감독원이 현재 업비트를 현장 점검 중이지만 현실적으로 중징계로 이어지기는 어렵다는 관측이 지배적이다.
이찬진 금감원장은 업비트 해킹 사고와 관련해 "그냥 넘어갈 성격의 것은 아니다"라고 했으나 "제재 권한 부분에 상대적으로 한계가 있다"라고 밝혔다.
출입기자단 간담회하는 이찬진 금감원장
이찬진 금융감독원장이 1일 서울 여의도 금감원에서 출입기자단 간담회를 하고 있다.사진=연합뉴스
전자금융거래법은 전자금융업자에게 거래 안전성과 신뢰성을 확보할 의무를 규정하며, 불가피한 사고 위험에 대한 시스템 관리자로서 금융기관의 무과실 책임까지 인정한다.
그러나 적용 대상에 가상자산사업자는 포함되지 않는다.
지난해 7월 시행된 '가상자산법'(1단계법)은 이용자 보호 중심으로 구성되어 있어 해킹이나 전산 사고에 대한 제재 규정을 다루고 있지 않다.
금융당국 관계자는 "해킹 사고만 있었다고 할 경우 가상자산사업자에 어떤 조치를 할 수 있는 근거는 없다"면서 "(1단계 법에 불공정거래 등 이상거래 감시 의무는 있지만) 해킹 사고 시 보고 의무 조항은 없어 보고 지연 여부를 논하기도 어렵다"고 말했다.
이러한 상황 속에서 금융당국은 가상자산 2단계 입법 시 대규모 해킹이나 전산 사고를 막지 못했을 경우 배상 책임을 부과하는 방안을 검토하고 있다.
또 다른 관계자는 "가상자산 1단계 법에서도 고객이 맡긴 가상자산의 80 퍼센트(%) 이상을 인터넷과 연결되지 않은 '콜드월렛'에 보관하도록 정해놨기 때문에 업비트가 해당 조치를 제대로 했는지는 살펴볼 수 있다"고 설명했다.
이어 "보안 침해에 대해서는 제재 한계가 있는 것이 사실"이라며 "2단계 입법에 전반적인 정보기술(IT, Information Technology) 안전성 확보 의무를 부여하고 제재 근거도 마련하게 될 것"이라고 덧붙였다.