"54분간 코인 1000억개 털렸다"…업비트, ‘늑장신고’ 의혹까지

국힘 강민국 의원, 업비트 해킹 사고 당시 현황 공개

[파이낸셜뉴스] 국내 가상자산거래소 1위 '업비트'가 지난달 해킹 당시 1시간도 채 안 돼 1000억개의 코인을 탈취당한 것으로 나타났다.

업비트 회원 피해 자산 386억원

7일 국회 정무위원회 소속인 국민의힘 강민국 의원이 금융감독원으로부터 제출받아 공개한 '업비트 가상자산 비정상 출금사고 현황'에 따르면 지난달 27일 발생한 해킹은 새벽 4시42분부터 5시36분까지 단 54분간 이뤄졌다.

해킹으로 털린 가상자산은 솔라나 계열 24종 코인 1040억 6470만개로, 피해액은 444억8059만원에 달한다.

이중 업비트 회원 피해 자산은 약 386억원이며 이중 약 23억원이 동결됐고, 업비트 피해 자산은 약 59억원이다.

초당 약 3212만개(1373만원)의 코인이 빠져나간 셈이다. 피해코인 액수는 솔라나(SOL)가 189억8822만원(42.7%·8만8317개)으로 가장 많았고 펏지펭귄(38억5163만원), 오피셜트럼프(29억1764만원)가 뒤를 이었다.

피해코인 개수는 봉크(BONK)가 1031억 2239만개(99.1%·15억 2621만원)로 가장 많았다. 뒤를 이어 캣인어독스월드(MEW) 3억 7906만개(0.4%·6억 8989만원, 펏지펭귄(PENGU) 2억2524만개(0.2%·38억5163 만원) 순으로 나타났다.

"해킹 피해 발생한 지 6시간 뒤 금감원에 유선 보고"

강 의원은 업비트가 해킹 피해 사실을 금융 당국에 늑장 신고했다고 지적했다. 업비트 지갑실이 사고 정황을 최초 확인한 시간은 지난달 27일 새벽 4시42분이었는데, 이를 금감원에 유선 보고한 시점은 약 6시간이 지난 오전 10시58분이었고 시스템을 통해 문서로 공식 보고한 시점은 오전 11시45분이었다는 것이다.

강민국 의원은 "금융당국은 국내 가상자산거래소 1위 기업인 업비트가 해킹으로 445억원 상당의 100억개 이상 코인이 유출됐음에도 6시간 늑장 신고했다"며 "관련법 위반 의무를 철저히 확인해야 할 것"이라고 지적했다.

또 "당국은 이번 해킹에서 솔라나 계열 코인만 전량 유출된 것이 솔라나 플랫폼 자체의 구조적 문제인지 아니면 업비트 결제 계정 방식 문제인지 확실히 조사해야 할 것"이라고 했다. 가상자산 이용자 보호법 등에 따르면 가상자산사업자는 이상 거래가 의심되는 경우 지체 없이 금융위와 금감원에 통보해야 한다.

현행법상 제재·배상 관련 조항 없어 중징계 어려울 듯

그러나 현행법상 가상자산사업자의 해킹 사고와 관련해 제재나 배상을 물릴 수 있는 직접 조항은 없는 것으로 나타났다. 전자금융거래법은 전자금융업자에게 거래 안전성·신뢰성을 확보할 것을 의무로 규정하고, 불가피한 사고 위험에 대한 시스템 관리자로서 금융기관의 무과실 책임까지 인정하지만 적용 대상에 가상자산사업자는 포함되지 않기 때문이다.

또한 작년 7월 시행된 '가상자산법'(1단계법)은 이용자 보호 중심으로 구성돼 있어 해킹·전산 사고에 제재 규정을 다루고 있지 않다. 이 때문에 금감원이 현재 업비트를 현장 점검 중이지만 현실적으로 중징계로 이어지긴 어렵다는 관측이 많다.

한편 업비트 관계자는 "피해자산은 모두 업비트가 충당해서 이용자에게 피해가 없도록 조치했다"라며 "비정상 출금 후 추가 출금을 막는데 집중했고, 비정상 출금이 침해사고라고 최종 확인된 즉시 당국에 보고했다"고 말했다.

bng@fnnews.com 김희선 기자