(서울=뉴스1) 박현영 블록체인전문기자 = 국내 최대 가상자산(디지털자산) 거래소 업비트가 최근 해킹으로 445억원 규모의 가상자산을 탈취당한 가운데, 공격 당시 54분 만에 약 1000억 개의 코인이 외부 지갑으로 유출된 것으로 확인됐다.
솔라나·펏지펭귄 제일 많이 탈취…1000억개가 54분 만에 증발
7일 강민국 국민의힘 의원실이 금융감독원으로부터 받은 자료에 따르면 업비트 해킹은 지난달 27일 오전 4시 42분에 발생했다. 해킹으로 자금이 빠져나간 '해킹 실행 완료' 시간은 5시 36분으로, 자산 탈취에 54분밖에 걸리지 않았다.
54분 동안 빠져나간 가상자산은 솔라나 블록체인을 기반으로 하는 '솔라나 계열' 코인 1040억 6470만 4384개다. 종류는 총 24종이며 피해액은 당시 시세 기준 444억 8059만 4889원이었다.
이 중 업비트 회원 피해 자산은 386억원, 회사 피해 자산은 59억원이었으며 업비트는 회사 자산으로 이를 모두 충당했다. 자금 동결에 성공한 금액 규모는 23억원어치다.
피해 코인 개수 기준으로 보면 봉크(BONK)가 1031억 2238만 8592개 빠져나가면서 가장 많이 탈취됐다. 이어 캣인어독스월드(MEW)가 3억 7905만 9906개 빠져나갔으며, 펏지펭귄(PENGU)은 2억 2524만 1345개 탈취됐다.
모두 솔라나 블록체인을 기반으로 하는 '밈 코인'이다. 밈 코인들은 개당 시세가 상대적으로 낮은 편이라 탈취된 코인 개수가 많았던 것으로 분석된다.
피해 금액 기준으로는 솔라나(SOL)가 189억 8822만 4228원어치 탈취되면서 가장 피해가 컸다. 이어 펏지펭귄이 38억 5162만 7001원, 오피셜트럼프(TRUMP) 29억 1763만 8723원 순이다.
'공격 탐지' 6시간 뒤 금감원에 보고…'늑장 신고' 논란될 듯
구체적인 피해 규모가 공개된 가운데, 업비트가 해킹 피해 사실을 금융당국에 늑장 신고했는지도 논란이 될 전망이다.
지난달 해킹 사고 발생 당시 업비트는 공격 탐지 이후 약 8시간 뒤에 이에 대한 공지를 올려 논란이 된 바 있다. 다만 해킹이나 전산장애가 발생하면 금융당국 및 유관기관에는 바로 신고해야 하지만, 현행 규정상 입출금 차단이 아닌 해킹 발생 시 '이용자 대상' 즉시 공지 의무는 없다. 이에 공지까지 걸린 '8시간 공백'은 법적으로 문제 삼기 힘들 것이란 의견이 지배적이었다.
하지만 업비트는 금융감독원에도 공격 탐지 6시간 뒤에 유선 보고를 한 것으로 확인됐다. 또 문서로 공식 보고한 시점은 11시 45분으로, 공격 최초 확인 시간인 4시 42분으로부터 7시간의 공백이 있었다.
강 의원실은 이를 '가상자산 이용자보호법' 위반으로 봤다. 이용자보호법 제12조에 따르면 가상자산사업자는 이상거래가 의심되는 경우 '지체 없이' 금융당국에 통보해야 한다.
강민국 의원은 "국내 1위 가상자산 거래소인 업비트가 해킹으로 445억원 상당의 코인 1000억개 이상이 유출됐음에도 6시간 늑장 신고한 것에 대해, 금융당국은 관련법 위반 여부를 철저히 확인해야 할 것"이라고 말했다.
이와 관련해 업비트는 공격 탐지(비정상 출금) 이후 해킹 사고를 인지하고, 확인된 즉시 당국에 보고했다는 입장이다.
업비트 관계자는 "피해 자산은 모두 업비트가 충당해 이용자에게는 피해가 없도록 조치했다"라며 "비정상 출금 후 추가 출금을 막는 데에 집중했고, 비정상 출금이 침해 사고라고 최종 확인된 즉시 당국에 보고했다"고 말했다.
※ 저작권자 ⓒ 뉴스1코리아, 무단전재-재배포 금지