지난달 해킹당한 업비트에서 1시간도 채 안 되는 시간 동안 1000억개의 코인이 외부 전송된 것으로 파악됐다. 업비트는 사고 발생 이후 6시간 지나 금융감독원에 이 같은 사실을 보고했는데, 이에 업비트 운영사인 두나무와 네이버파이낸셜의 합병을 위해 ‘늑장 신고’를 한 게 아니냐는 의혹이 제기된다.
7일 강민국 국민의힘 의원실이 금감원으로부터 받은 자료에 따르면 이번 해킹 시도는 지난달 27일 오전 4시42분부터 오전 5시36분까지 총 54분간 이뤄졌다. 1시간도 채 안 되는 시간 동안 외부 지갑으로 전송된 가상자산 규모는 솔라나 계열 24종 코인 1040억6470만여개(약 445억원)에 달한다. 초당 코인 약 3200만개(약 1370만원)가 빠져나간 셈이다.
개수를 기준으로 보면 봉크(BONK)가 가장 많이 빠져나갔다. 해킹으로 1031억2238만여개(약 15억2621만원)가 외부 지갑으로 전송됐다.
피해금액 기준으로는 솔라나(SOL)가 189억8822만원으로 가장 컸다. 이어 펏지펭귄(38억5162만원), 오피셜트럼프(29억1763만원) 등이 뒤를 이었다.
업비트는 해킹 시도를 인지한 지 18분 만인 오전 5시 긴급회의를 열었다. 이어 오전 5시27분 솔라나 네트워크계열 디지털 자산 입출금을 중단하고 오전 8시55분에 모든 디지털 자산 입출금을 중단했다.
그러나 해킹 사실을 금감원에 최초 보고한 시점은 오전 10시58분으로 해킹 사고 인지 후 6시간 넘게 흐른 뒤였다. 한국인터넷진흥원(KISA)에는 오전 11시57분에 보고했다. 경찰에는 오후 1시16분, 금융위원회에는 오후 3시에 각각 별도로 보고했다. 비정상 출금 행위가 이뤄졌음을 홈페이지에 공지한 시간은 오후 12시33분이다.
관계기관 보고와 고객들에 대한 안내가 모두 두나무와 네이버파이낸셜 합병 행사가 끝난 오전 10시50분 이후 이뤄졌다. 행사 이후로 사고 공지와 신고를 의도적으로 미룬 게 아니냐는 의혹이 제기되는 대목이다.
강 의원은 “국내 가상자산거래소 1위 기업인 업비트가 해킹으로 1000억개 이상 코인이 유출됐음에도 6시간 넘게 늑장 신고했다”며 “(유출 대상이 된) 솔라나 플랫폼 자체의 구조적 문제인지, 업비트 결제 계정 방식 문제인지에 대한 조사도 확실하게 있어야 한다”고 지적했다.
그러나 현행법상 가상자산사업자의 해킹 사고와 관련해 제재나 배상을 물릴 수 있는 직접 조항은 없다. 이 때문에 금감원이 현재 업비트를 현장점검 중이지만 현실적 중징계가 이뤄지기는 어렵다는 관측이 나온다. 이찬진 금감원장도 업비트 해킹 사고와 관련해 “그냥 넘어갈 성격의 것은 아니다”면서도 “제재 (권한) 부분에 상대적으로 한계가 있다”고 언급하기도 했다.
전자금융거래법은 전자금융업자가 거래 안전성·신뢰성을 확보할 것을 의무로 규정한다. 불가피한 사고 위험에 대한 시스템 관리자로서 금융기관의 무과실 책임까지 인정한다. 그러나 적용 대상에 가상자산 사업자는 포함되지 않는다.
한편 업비트 관계자는 “고객이 맡긴 가상자산의 80% 이상을 콜드월렛에 보관했고 피해자산은 업비트가 충당해 이용자 피해가 없도록 조치했다”며 “추가 출금을 막는 데 집중했고 비정상 출금이 침해 사고로 최종 확인된 즉시 당국에 보고했다”고 전했다.
권민지 기자 10000g@kmib.co.kr