54분 만에 1040억 개 코인 유출된 업비트…규제 공백도 드러나
7일 강민국 국민의힘 의원실이 금융감독원에서 제출받은 자료에 따르면 해커들은 업비트 보안망을 뚫고 지난달 27일 오전 4시 42분부터 5시 36분까지 솔라나 네트워크 계열 24종 1040억6470만여 개(약 445억원)에 달하는 암호화폐를 알 수 없는 지갑으로 빼돌렸다. 1초당 약 3200만 개로 1370만원어치가 전송됐다. 솔라나 계열 자산은 블록체인 플랫폼 ‘솔라나(Solana)’를 기반으로 발행ㆍ운영되는 각종 코인(토큰)을 의미한다.
업비트의 늑장 보고도 논란이 됐다. 업비트는 해킹 시도를 인지한 뒤 오전 5시 긴급회의를 열고, 5시 27분 솔라나 계열 자산의 입출금을 중단했다. 이후 오전 8시 55분엔 모든 디지털자산 입출금도 추가로 막았다. 하지만 정부에 해킹 사실을 보고한 시점은 금감원 오전 10시 58분, 한국인터넷진흥원(KISA) 오전 11시 57분, 경찰 오후 1시 16분, 금융위원회 오후 3시였다. 또 해킹 사실을 외부에 공지한 것은 오후 12시 33분이었다.
신고와 공지가 모두 두나무와 네이버파이낸셜 합병 발표가 끝난 오전 10시 50분 이후에 이뤄진 것이다. 이에 대해 업비트가 합병 발표 시점을 의식해 미룬 것 아니냐는 해석도 나온다. 강민국 의원은 ”업비트가 445억원 상당의 코인이 유출되었음에도 (금감원에) 6시간 늑장 신고한 것에 대한 관련법 위반 의무를 철저히 확인해야 할 것“이라고 말했다.
또 지난해 7월부터 시행된 ‘가상자산 이용자 보호 등에 관한 법률(가상자산법 1단계)’에도 해킹 관련 규정은 빠져있다. 정부는 2단계 입법안에 대규모 해킹ㆍ전산 사고를 막지 못했을 경우 배상 책임을 부과하는 방안을 검토하고 있다.
익명을 요구한 금감원 관계자는 ”해킹 사고 자체만으로 제재하긴 어렵다“면서도 ”현장점검에서 이용자 보호 관련 내부 통제가 미흡하거나 위반 사항이 확인되면 검사로 전환하고 제재할 수 있다”고 말했다.
이에 대해 업비트 측은 “피해 자산은 모두 업비트가 충당해서 이용자에겐 피해가 없도록 조치했다“라며 “비정상 출금 후 추가 출금을 막는데 집중했고, 비정상 출금이 침해 사고라고 최종 확인된 즉시 당국에 보고했다“고 설명했다.
염지현([email protected])