해킹 인지 후 6시간 뒤 보고 … 당국·시장 모두 뒷북콜드월렛 의무 외 실질적 처벌 수단 사실상 ‘제로’2단계 입법 전까지 사고 반복해도 제재는 제한적
  • ▲ ⓒ두나무
    ▲ ⓒ두나무
    국내 최대 가상자산 거래소 업비트에서 발생한 대규모 해킹 사고가 단일 보안 사고를 넘어 국내 가상자산 규제의 구조적 공백을 적나라하게 드러냈다. 불과 54분 만에 약 445억원어치 코인이 외부로 유출됐지만, 현행 법체계로는 실질적인 제재나 책임 추궁이 쉽지 않은 상황이다.

    7일 국회 정무위원회 강민국 의원실이 금융감독원으로부터 제출받은 자료에 따르면, 지난달 27일 새벽 업비트의 솔라나 계열 지갑에서 비정상 출금이 발생해 약 1040억 개에 달하는 가상자산이 외부로 빠져나갔다. 피해 금액 기준으로는 솔라나가 약 190억원으로 가장 컸고, 일부 밈코인과 신규 상장 코인도 대거 포함됐다. 초당 수천만 개의 코인이 유출된 셈이다.

    문제는 사고 이후 대응 과정이다. 업비트는 해킹 정황을 새벽 시간대에 인지했지만, 금융당국과 수사기관, 보안 당국에 공식 보고를 완료한 시점은 사고 발생 후 최소 6시간 이상이 지난 뒤였다. 대외 공지도 기업 행사 종료 이후에 게시되면서 ‘공시 지연’ 논란까지 불거졌다. 시장에서는 정보 비대칭이 투자자 불안을 키웠다는 지적이 잇따랐다.

    더 근본적인 문제는 해킹 사고에 대한 직접적인 제재 근거가 사실상 없다는 점이다. 전자금융거래법은 은행·카드사 등 전통 금융회사에 대해 무과실 책임까지 규정하고 있지만, 가상자산사업자는 적용 대상이 아니다. 지난해 시행된 가상자산 이용자 보호법 역시 불공정거래와 예치금 보호에 초점이 맞춰져 있어 대규모 해킹 사고에 대한 처벌 조항은 빠져 있다.

    금감원도 제재 한계를 인정한 상태다. 현장 점검과 사실관계 확인은 가능하지만, 중대한 행정 처분으로 이어지기는 어렵다는 게 당국 내부의 공통된 시각이다. 업비트가 고객 자산의 80% 이상을 콜드월렛에 보관했는지 여부 등 형식적 요건만 점검할 수 있을 뿐, 수백억 원대 사고 자체에 대한 직접 처벌은 사실상 불가능하다.

    금융당국은 향후 2단계 가상자산 입법을 통해 해킹·전산 사고에 대한 배상 책임과 제재 근거를 명문화하는 방안을 검토하고 있다. 그러나 법 개정이 현실화되기 전까지는 유사 사고가 반복되더라도 제도 대응은 제한적일 수밖에 없다. 결국 사고 발생 시 책임 구조는 여전히 ‘규제 사각지대’에 머물러 있다는 비판이 나오는 대목이다. 

    강민국 의원은 "금융당국은 이번 해킹에서 솔라나 계열 코인만 전량 유출된 것이 솔라나 플랫폼 자체의 구조적 문제인지 아니면 업비트 결제 계정 방식 문제인지 확실히 조사해야 할 것"이라며 "(업비트가) 관련법 위반 의무를 철저히 확인해야 한다"고 말했다.

    이에 대해 업비트 관계자는 "피해자산은 모두 업비트가 충당해서 이용자에겐 피해가 없도록 조치했다"라며 "비정상 출금 후 추가 출금을 막는데 집중했고, 비정상 출금이 침해사고라고 최종 확인된 즉시 당국에 보고했다"고 말했다.