국내 최대 암호화폐 거래소인 업비트가 최근 해킹으로 인해 약 445억 원 상당의 가상자산이 외부로 유출된 사실이 밝혀졌다. 문제는 이러한 사고가 발생한 이후, 업비트가 6시간 이상 지체하며 관계 기관에 보고하지 않았다는 점이다. 이에 따라 투자자 보호 체계에 대해 심각한 의문이 제기되고 있다.
국회 정무위원회 소속 강민국 의원실이 금융감독원으로부터 받은 자료에 따르면, 해킹 시도는 2025년 11월 27일 오전 4시 42분부터 약 54분 동안 진행되었으며, 이 시간 동안 솔라나(Solana) 계열의 디지털 자산이 총 1천40억 개 이상 외부 지갑으로 전송됐다. 특히 가상자산 ‘봉크’가 전체 유출 물량의 99.1%를 차지하며, 이는 업비트의 금전적 손실이 상당했음을 의미한다.
해킹 사건이 발생한 후, 업비트 측은 오전 5시에 긴급회의를 소집하였고, 이에 따라 오전 5시 27분에는 솔라나 계열 자산의 입출금을 중단하였다. 이어서 오전 8시 55분에는 모든 디지털 자산의 입출금을 차단했지만, 금융감독원에 이 사실을 알린 것은 오전 10시 58분으로, 해킹 이력을 인지한 시점보다 6시간도 더 지나서 이뤄졌다. 이후 한국인터넷진흥원, 경찰, 금융위원회 등과 같은 유관 기관에 대한 공식 보고도 이 시점 이후에 이루어졌다.
그런데 보고 지연에 대해 의혹이 제기되고 있는 상황이다. 이날 오전 10시 50분에 두나무와 네이버파이낸셜의 합병 관련 행사가 종료됐고, 업비트의 공지 및 기관 보고가 모두 그 이후에 이루어졌기 때문이다. 강 의원은 “솔라나 플랫폼의 보안 구조 문제인지, 아니면 업비트의 결제 시스템 문제가 있는지를 면밀히 조사해야 한다”고 주장했다.
이와 관련된 법적 문제도 지적되고 있다. 현재 현행법상 이런 보안사고에 대한 직접적인 제재나 배상 책임을 묻는 조항이 없다. 전자금융거래법은 전자금융업자에게 보안 책임을 부여하지만, 가상자산 사업자는 이 범위에 포함되지 않는다. 지난해 7월 시행된 ‘가상자산 1단계법’ 또한 이용자 보호에 초점을 맞추고 있어 해킹사고와 같은 시스템 사고에 대한 보고 의무를 명시하지 않았다. 이에 따라 금융감독원이 현재 업비트를 점검 중이지만, 실제 징계로 이어지기 어려울 것이라는 전망이 우세하다.
이 상황을 개선하기 위해 정부는 가상자산 관련 규제를 보완하는 ‘2단계 입법’을 추진하고 있다. 이 법안에서는 해킹 및 전산 사고 발생 시 사업자에게 일정 수준의 배상 책임을 부과하는 방안이 검토되고 있으며, IT 보안 안정성 확보를 의무화하는 조항도 새롭게 도입될 예정이다. 정부는 이미 고객 자산의 80% 이상을 인터넷과 분리된 콜드월렛(Cold Wallet)에 보관하도록 하는 규정을 시행한 바 있어, 업비트가 이를 제대로 이행했는지에 대한 조사가 이뤄지고 있다.
이번 해킹 사건과 그에 따른 보고 지연은 제도적 개선 필요성을 강하게 시사하고 있다. 가상자산의 특성상 해킹 피해가 신속히 확산될 수 있는 만큼, 신속한 대응 체계와 법적 책임 규정의 마련이 시급히 요구되고 있으며, 이는 향후 금융 시스템의 안정성을 위한 필수적인 조치로 평가되고 있다.
