[서울타임즈뉴스 = 허성미 기자] 가상자산 거래소 업비트에서 발생한 해킹 시도로 약 54분 만에 1000억개가 넘는 코인이 외부 지갑으로 빠져나간 사실이 확인되면서, 급성장한 국내 가상자산 시장에 ‘보안·규제 공백’ 우려가 커지고 있다. 현행법상 해킹 피해에 대한 강제 배상이나 직접 제재 규정이 없어 금융당국도 사실상 강한 조치를 취하기 어렵다는 지적이 제기된다.

7일 연합뉴스에 따르면 국회 정무위원회 소속 강민국 의원실이 금융감독원에서 제출받은 자료에 따르면 해킹 시도는 지난달 27일 오전 4시 42분부터 5시 36분까지 총 54분간 진행됐다. 이 사이 솔라나 계열 24종 가상자산 1040억6470만여개(약 445억원 상당)가 알 수 없는 외부 지갑으로 전송됐다. 초당 약 3200만개, 금액으로는 약 1370만 원이 빠져나간 셈이다.

피해 규모 가운데 개수 기준 99.1%는 밈코인 ‘봉크(BONK)’였으며, 금액 기준으로는 솔라나(SOL)가 전체의 42.7%인 약 189억 원으로 가장 컸다. 이어 ‘펏지펭귄’, ‘오피셜트럼프’ 등이 수십억 원 규모의 피해를 기록했다. 업비트는 오전 5시 긴급회의를 연 뒤 5시 27분 솔라나 계열 입출금을 중단했고, 오전 8시 55분에는 전체 디지털 자산 입출금을 전면 중단했다. 그러나 해킹 사실을 금감원에 처음 보고한 시점은 오전 10시 58분으로, 인지 후 6시간이 지난 뒤였다.

KISA와 경찰, 금융위 등 다른 기관에도 모두 오전 10시 50분에 열린 두나무-네이버파이낸셜 합병 행사가 끝난 이후에서야 보고가 이뤄졌다. 이에 “행사 일정 때문에 사고 공지를 의도적으로 미룬 것 아니냐”는 의혹도 제기됐다. 강민국 의원은 “국내 1위 거래소에서 이처럼 대규모 유출이 있었음에도 6시간 넘게 늑장 신고했다”며 “솔라나 플랫폼 문제인지, 업비트 시스템 결제 계정 방식 문제인지 명확한 조사가 필요하다”고 강조했다.

문제는 현행법상 가상자산사업자의 해킹 사고에 대해 제재나 배상을 강제할 근거가 없다는 점이다. 전자금융거래법은 금융기관에 무과실 책임까지 인정하지만, 가상자산사업자는 적용 대상이 아니다. 지난해 시행된 ‘가상자산법 1단계’ 역시 이용자 보호 중심으로 설계돼 해킹·전산 사고에 대한 제재 조항을 포함하지 않았다.

이찬진 금감원장은 “그냥 넘어갈 사안은 아니지만 제재 권한에 한계가 있다”고 설명했다. 금융당국도 2단계 입법에서 대규모 해킹·전산 사고 시 배상 책임 부과와 IT 안전성 의무 부여를 추진하는 방안을 검토 중이다. 금융당국 관계자는 “해킹 사고만으로는 현행 법령상 사업자 제재 근거가 없다”며 “다만 1단계 법에서 규정한 ‘콜드월렛 80% 보관 의무’를 준수했는지는 점검할 수 있다”고 말했다.

업비트 측은 “이용자 자산의 80% 이상을 콜드월렛에 보관했고, 피해 자산은 업비트가 전액 충당했다”며 “비정상 출금을 차단하는 데 집중했고 침해사고로 확정되는 즉시 당국에 보고했다”고 밝혔다.