업비트, 445억 원 해킹 피해…보고 지연에 '투자자 보호' 구멍

국내 최대 가상자산 거래소인 업비트가 지난달 해킹 시도로 1천억 개가 넘는 가상자산을 외부로 유출당한 사실이 드러났다. 그러나 사고 발생 이후 6시간 넘게 당국에 보고되지 않아, 투자자 보호 체계에 대한 근본적인 의문이 제기되고 있다.

국회 정무위원회 소속 강민국 의원실이 금융감독원으로부터 제출받은 자료에 따르면, 해킹 시도는 2025년 11월 27일 오전 4시 42분부터 약 54분간 계속됐으며, 이 시간 동안 솔라나(Solana) 계열 디지털 자산 1천40억 개 이상이 외부 지갑으로 전송됐다. 이는 우리 돈으로 약 445억 원에 달하는 규모다. 특히, 가상자산 ‘봉크’는 전체 유출 물량의 99.1%에 해당해 피해 규모가 컸고, 솔라나 자체는 금액 기준으로 가장 큰 손실을 기록했다.

업비트 측은 해킹 이상 징후를 인지한 뒤 오전 5시에 긴급회의를 열고 약 30분 후인 오전 5시 27분엔 솔라나 계열 자산의 입출금을 중단했다. 이후 오전 8시 55분에는 전체 디지털 자산의 입출금을 막았지만, 금융감독원에 사고를 처음 알린 시간은 오전 10시 58분으로, 해킹을 인지한 시점보다 6시간 이상 지난 뒤였다. 한국인터넷진흥원, 경찰, 금융위원회 등 유관 기관에 대한 공식 보고도 그 이후 순차적으로 이뤄졌다.

그런데 이 같은 보고 지연에 대해 의혹도 제기되고 있다. 두나무와 네이버파이낸셜의 합병 관련 행사가 이날 오전 10시 50분경 종료됐고, 업비트 측의 공지 및 기관 보고는 모두 그 이후에 이뤄졌기 때문이다. 강민국 의원은 이에 대해 “솔라나 플랫폼의 보안 구조 문제인지, 업비트 자체의 결제 시스템 방식 문제인지 면밀히 조사할 필요가 있다”며 기업 책임을 강조했다.

문제는 이런 보안사고에 대해 현행법상 직접적인 제재나 배상 책임을 부과할 수 있는 조항이 없다는 점이다. 전자금융거래법은 전자금융업자에게 보안 책임을 부과하고 있으나, 가상자산사업자는 적용 대상에서 제외된다. 지난해 7월 시행된 이른바 ‘가상자산 1단계법’ 또한 이용자 보호를 중점에 두고 있어, 해킹 등 시스템 사고에 대한 보고 의무조차 명시하고 있지 않다. 이에 따라 금융감독원이 현재 업비트를 현장 점검 중이지만, 실제 징계로 이어지긴 어려울 것이란 전망이 많다.

이에 정부는 가상자산 관련 규제를 보완하기 위한 ‘2단계 입법’을 추진하고 있다. 이 법안에서는 해킹·전산 사고 발생 시 사업자에게 일정 수준의 배상 책임을 부과하는 방안이 검토되고 있으며, IT 보안 안정성 확보를 의무화하는 조항도 도입될 예정이다. 당국은 현재 1단계 법에 따라 고객 자산의 80% 이상을 인터넷과 분리된 콜드월렛(Cold Wallet)에 보관하도록 규정한 바 있어, 업비트가 이를 제대로 이행했는지에 대해서는 들여다보고 있다.

이 같은 보안사고와 보고 지연 사태는 제도적 개선의 필요성을 강하게 시사한다. 해킹 피해가 급속히 확산될 수 있는 가상자산 특성상, 신속한 대응 체계와 법적 책임 규정이 마련되지 않으면 향후 더 큰 금융 혼란을 불러올 수 있다는 경고가 나오고 있다. 가상자산 시장의 성장에 걸맞은 규범 정비가 필요한 시점이다.