11월 27일(목) 04시 42분부터 05시 36분까지, 코인 1040억 6471만개 털려
7년간 보안컨설팅 등에 200 억 투자에도 불구 짧은 시간에 피해 발생
강민국 의원 “업비트 늦장 신고 문제 등도 철저하게 조사해야”

[도시경제채널 = 윤현중 기자] 국내 최대 가상자산거래소 업비트가 또다시 대규모 해킹 피해를 입으며 보안 관리와 신고 절차를 둘러싼 논란에 휩싸였다. 

7일 국회 강민국 의원실이 금융감독원으로부터 제출받은 자료에 따르면, 지난 11월 27일 새벽 54분 동안 솔라나 계열 코인 1040억여 개가 외부로 유출돼 피해액만 445억 원에 달했다. 업비트는 지난 7년간 200억 원 가까운 보안 컨설팅과 외주 용역을 진행했음에도 불구하고 짧은 시간에 천문학적 피해를 입은 것이다.

짧은 시간 내에 다수의 코인이 해킹된 업비트. /업비트 누리집 화면 갈무리

자료에 따르면 해킹은 27일 오전 4시 42분에 시작돼 5시 36분에 완료됐다. 이 짧은 시간 동안 초당 약 3212만개, 금액으로는 1373만 원 상당의 코인이 빠져나갔다. 피해 규모는 회원 자산 약 386억원, 회사 자산 약 59억원으로 집계됐으며, 이 중 23억 원은 동결됐다. 피해 코인 개수 기준으로는 봉크(BONK)가 99% 이상을 차지했으나, 금액 기준으로는 솔라나(SOL)가 189억 원으로 가장 컸다.

문제는 업비트의 늑장 신고다. 내부에서 이상 거래를 최초 확인한 시점은 새벽 4시 42분이었지만 금융감독원에 유선 보고한 것은 6시간 뒤인 오전 10시 58분이었다. 공식 문서 보고는 11시 45분, 경찰 보고는 오후 1시 16분에야 이뤄졌다. 이는 ‘가상자산 이용자 보호법’ 제12조에 규정된 ‘지체 없는 통보’ 의무를 위반한 것으로, 금융당국의 철저한 조사 필요성이 제기되고 있다.

또한 업비트는 지난 2019년 해킹 이후 33건의 보안컨설팅과 11건의 외주 계약을 진행하며 200억 원 가까운 예산을 투입했지만, 이번 사고로 보안 투자 실효성에 의문이 제기됐다. 특히 정보보안 예산을 별도 계정 없이 운영비와 개발비 항목에서 주먹구구식으로 관리해온 점도 문제로 지적된다. 2019~2020년에는 ‘정보보호 공시대상이 아니다’라는 이유로 투자 집행액조차 파악하지 않았던 것으로 드러났다.

강민국 의원은 “국내 1위 거래소에서 445억 원 규모의 해킹 피해가 발생했음에도 6시간 늑장 신고한 것은 심각한 법 위반”이라며 “금융당국은 관련법 위반 여부를 철저히 확인해야 한다”고 강조했다. 이어 “솔라나 계열 코인만 전량 유출된 것이 플랫폼 구조적 문제인지, 업비트 결제 계정 방식 문제인지 명확한 조사가 필요하다”고 덧붙였다.

업비트에서 해킹된 코인 현황 /강민국 의원실 제공

[ⓒ 도시경제채널. 무단전재-재배포 금지]