업비트, 54분만에 코인 1천억개 털려…해킹 제재 받을까?

2025-12-07 11:01:04 | 류준현 기자 | jhryu@mediapen.com

페이스북 트위터 카카오톡

프린트 가 + 가 -

금융당국 늑장 신고, 보안예산 주먹구구식 운영 도마 올라

[미디어펜=류준현 기자] 국내 가상자산거래소 1위 업체인 '업비트'가 북한 정찰총국 산하 해킹그룹인 '라자루스그룹'으로부터 해킹사고를 당한 것으로 추정되는 가운데, 실제 해킹사고 당시 약 50여분만에 외부 전송된 코인 수가 1040억개를 넘어선 것으로 나타났다. 예상 피해액만 약 445억원에 달하는데, 업비트는 금융당국에 사고 발생 약 6시간 이후 늑장신고를 한 것으로 알려져 논란이 예상된다. 다만 현행법상 당국이 가상자산거래소를 직접 제재하거나 배상을 강제할 조항이 없어 규제 공백 우려가 커지는 모습이다.


▲ 국내 가상자산거래소 1위 업체인 '업비트'가 북한 정찰총국 산하 해킹그룹인 '라자루스그룹'으로부터 해킹사고를 당한 것으로 추정되는 가운데, 실제 해킹사고 당시 약 50여분만에 외부 전송된 코인 수가 1040억개를 넘어선 것으로 나타났다. 예상 피해액만 약 445억원에 달하는데, 업비트는 금융당국에 사고 발생 약 6시간 이후 늑장신고를 한 것으로 알려져 논란이 예상된다. 다만 현행법상 당국이 가상자산거래소를 직접 제재하거나 배상을 강제할 조항이 없어 규제 공백 우려가 커지는 모습이다./사진=미디어펜 김상문 기자

7일 국회 정무위원회 소속 강민국 국민의힘 의원실이 금융감독원으로부터 확보한 '업비트 가상자산 비정상 출금사고 현황'에 따르면 해킹 출금사고 발생시점은 지난달 27일 오전 4시 42분이며, 해킹 실행 완료시간은 오전 5시 36분이었다. 해킹을 통한 가상자산 외부 전송시간이 총 54분에 그친 셈이다.

해킹으로 털린 가상자산은 솔라나 계열 24종 코인 약 1041억개로, 피해액은 총 445억원에 달한다. 이는 1초당 약 3212만개(1373만원)가 빠져나간 셈이다. 피해 코인 개수 기준으로는 '봉크(BONK)'가 1031억 2238만여개(99.1%·15억원)로 가장 많았고, 피해 금액 기준으로는 '솔라나(SOL)'가 189억 8822만원(42.7%)으로 가장 컸다. 이 중 업비트 회원의 피해 자산은 약 386억원인데, 회사 측은 약 23억원을 동결했다. 회사 피해 자산은 약 59억원으로 추정된다.

문제는 업비트가 천문학적 해킹 피해 사실을 금융당국에 늑장 신고 하였다는 것이다. 업비트 지갑실에서 솔라나 네트워크 계열 자산 일부가 내부에서 지정하지 않은 지갑 주소로 전송된 정황을 최초 확인한 시간은 지난달 27일 오전 4시 42분께였다.

하지만 이를 금감원에 유선 보고한 시점은 약 6시간 이후인 오전 10시 58분이었으며, 시스템을 통해 문서로 공식 보고한 시점은 11시 45분이었다. 이는 업비트 운영사인 두나무와 네이버파이낸셜 합병 행사가 끝난 오전 10시 50분 이후였던 셈이다.

뒤이어 한국인터넷진흥원(KISA)에 보고한 시점은 오전 11시 57분, 홈페이지 공지시간은 오후 12시 33분이었다. 이어 경찰에는 오후 1시 16분, 금융위에는 오후 3시에 각각 별도 보고했다.

'가상자산이용자 보호 등에 관한 법률' 제12조에 따르면, 가상자산사업자는 이상 거래가 의심될 경우 지체 없이 금융위원회 및 금융감독원장에게 통보하도록 돼 있다. 업비트가 이 같은 준법 준수 의무를 위반했다는 게 강 의원의 지적이다.

업비트도 그동안 보안강화에 집중해왔다. 앞서 업비트는 지난 2019년 해킹으로 대대적인 외주용역과 IT 보안컨설팅 등을 진행한 바 있다. 실제 2019년부터 올해 11월까지 약 7년여 간 '업비트 보안컨설팅 수행 내역'에 따르면, 업비트는 총 33건 보안컨설팅 수행에 170억원 이상의 예산을 집행했다. 보안컨설팅은 주로 △취약점검 컨설팅 △침투테스트 수행 △악성 이메일 모의 훈련 등 해킹에 대비한 각종 보안 컨설팅이었다. 이와 함께 업비트는 11건의 '해킹 등 IT 보안 외주 계약'을 진행하면서 약 28억원의 예산을 투입했다.

이처럼 업비트는 정보보안 예산을 대거 투입했는데, 정작 관련 예산을 별도 예산 계정도 없이 주먹구구식으로 운영한 것으로 나타났다.

강 의원은 "금융당국은 국내 가상자산거래소 1위 기업인 업비트가 해킹으로 445억원 상당의 1000억개 이상 코인이 유출됐음에도 6시간 늑장 신고한 것에 대한 관련법 위반 의무를 철저히 확인해야 할 것"이라며 "이번 업비트 해킹에서 솔라나 계열 코인만 전량 유출된 것이 솔라나 플랫폼 자체의 구조적 문제인지 아니면 아니면 업비트 결제 계정 방식 문제인지에 대한 조사가 확실하게 있어야 한다"고 지적했다.

다만 강 의원의 지적과 달리 현행법상 가상자산사업자의 해킹 사고와 관련해 제재나 배상을 물릴 수 있는 직접 조항은 없는 것으로 나타났다. 이로 인해 금감원이 현재 업비트를 현장 점검 중이지만 실제 중징계로 이어지는 데 한계가 있을 것이라는 의견이 많다.

이찬진 금감원장은 업비트 해킹 사고에 대해 "그냥 넘어갈 성격의 것은 아니다"라면서도 "제재 (권한) 부분에 상대적으로 한계가 있다"고 말한 바 있다.

한편 업비트 측은 피해자산을 모두 자체 충당함으로써 이용자에게 피해가 없도록 조치를 취했다며 해명에 나섰다. 업비트 관계자는 "피해자산은 모두 업비트가 충당해서 이용자에겐 피해가 없도록 조치했다"며 "비정상 출금 후 추가 출금을 막는데 집중했고, 비정상 출금이 침해사고라고 최종 확인된 즉시 당국에 보고했다"고 전했다.

[미디어펜=류준현 기자] ▶다른기사보기