늑장 신고 논란…금감원·KISA·경찰 보고 모두 행사 이후 진행
현행법상 제재 근거 없어 2단계 입법 필요성 커져
업비트 해킹 시도 과정에서 불과 54분 만에 1천억 개가 넘는 가상자산이 외부 지갑으로 전송된 것으로 확인됐다.
가상자산 시장이 빠르게 확대되는 가운데 해킹 사고가 대규모 피해로 번질 위험이 커졌지만, 현행법상 이를 직접 제재하거나 배상 책임을 물을 수 있는 조항이 없어 ‘규제 공백’ 우려가 커지고 있다.
7일 국회 정무위원회 소속 강민국 의원실이 금융감독원으로부터 제출받은 자료에 따르면, 해킹 시도는 지난달 27일 오전 4시 42분부터 오전 5시 36분까지 총 54분 동안 진행됐다.
이 시간 동안 외부로 빠져나간 가상자산은 솔라나 계열 24종 코인 총 1천40억6천470만여 개로, 금액으로는 약 445억 원 규모다.
초당 약 3천200만 개(약 1천370만원)의 코인이 빠져나간 셈이다.
유출 코인 개수 기준으로는 ‘봉크(BONK)’가 1천31억2천238만여 개(99.1%·15억2천621만원)로 가장 많았다.
피해 금액 기준으로는 ‘솔라나(SOL)’가 189억8천822만원(42.7%)으로 가장 컸고, ‘펏지펭귄’ 38억5천162만원, ‘오피셜트럼프’ 29억1천763만원 등이 뒤를 이었다.
업비트는 해킹 시도를 인지한 후 18분 만인 오전 5시에 긴급회의를 열고 오전 5시 27분 솔라나 계열 입출금을 중단했으며, 오전 8시 55분에는 전 코인 입출금을 중단했다.
그러나 금감원에 처음 사고를 보고한 시점은 오전 10시 58분으로, 사고 인지 이후 6시간 이상이 지난 뒤였다.
KISA 보고는 오전 11시 57분, 경찰 보고는 오후 1시 16분, 금융위원회 보고는 오후 3시에 이뤄졌고, 홈페이지 공지는 낮 12시 33분에 게시됐다.
모든 조치가 업비트 운영사 두나무와 네이버파이낸셜 합병 행사(오전 10시 50분 종료) 이후로 미뤄졌다는 점에서 ‘늑장 신고’ 의혹도 제기됐다.
강민국 의원은 “국내 1위 거래소에서 1천억 개 이상 코인이 유출됐는데도 6시간 넘게 신고가 지연됐다”며 “솔라나 플랫폼의 구조적 문제인지, 업비트의 결제 계정 방식 문제인지 명확한 조사가 필요하다”고 말했다.
그러나 현행법상 가상자산사업자의 해킹 사고에 대해 직접 제재하거나 배상을 강제할 수 있는 근거는 없다.
금감원이 현장 점검 중이지만 중징계로 이어지기 어렵다는 관측이 나오는 이유도 이 때문이다.
이찬진 금감원장 역시 “그냥 넘길 사안은 아니지만 제재 권한에 한계가 있다”고 밝혔다.
전자금융거래법은 금융기관에 거래 안전성과 무과실 책임을 부과하지만, 가상자산사업자는 적용 대상에 포함되지 않는다.
작년 시행된 ‘가상자산법(1단계)’도 이용자 보호 중심으로 구성돼 있어 해킹 사고 관련 제재 조항은 없다.
금융당국 관계자는 “해킹 사고만으로는 가상자산사업자에 별도 조치를 취할 근거가 없다”며 “보고 의무조차 명확히 규정돼 있지 않아 지연 여부 판단도 어렵다”고 설명했다.
이런 상황에서 금융당국은 ‘2단계 입법’을 통해 해킹·전산 사고 시 배상 책임을 부과하는 방안을 검토 중이다.
또 다른 당국자는 “1단계 법에서 고객 자산의 80% 이상을 콜드월렛에 보관하도록 규정한 만큼 업비트가 이를 준수했는지 점검할 수는 있다”며 “다만 보안 침해에 대한 제재는 구조적으로 한계가 있어 2단계 법에 IT 안전성 확보 의무와 제재 근거를 마련할 필요가 있다”고 말했다.
[전국매일신문] 김주현기자
joojoo@jeonmae.co.kr
저작권자 © 전국매일신문 - 전국의 생생한 뉴스를 ‘한눈에’ 무단전재 및 재배포 금지
![엔비디아 로비 다음날 역풍…美 상원 “中 AI칩 금지” 법안 [AI 프리즘*글로벌 투자자 뉴스]](https://newsimg.sedaily.com/2025/12/06/2H1MIIF1TD_1.jpg)