1초당 코인 3212만개 해킹당해 금감원에 오전 10시58분 첫 보고… 네이버와 행사는 10시50분 끝나 신고 늦어 피해규모 늘었을 가능성… ‘가상자산 업자도 처벌’ 개정안 발의
지난달 27일 오전 4시 42분경, 국내 가상자산거래소 1위 업비트(운영사 두나무)에 해킹 공격이 시작됐다. 약 3240초(약 54분) 동안 갈취당한 코인 수는 무려 1040억6470만4384개. 피해액으로만 총 444억8059만4889원에 달하는 규모다.
1초당 고객 자산 1373만 원이 빠져나가고 있었지만, 업비트는 사고 발생 45분이 지나고서야 비로소 솔라나 네트워크 계열 디지털자산 입출금을 중단했다. 하지만 해킹은 그로부터 9분 동안 더 이어지고서야 끝났다.
광고 로드중
● 초당 고객 자산 1400만 원 빠져나가
이번 해킹 피해는 솔라나 네트워크 계열의 가상자산에만 집중됐다. 솔라나 계열 핫월렛 키(출금 권한)가 탈취된 것인데, 시가총액 대부분을 이루는 비트코인, 이더리움 등과는 일종의 운영체제(OS)가 달라 대형 코인 해킹으로는 이어지지 않았다는 게 업비트 설명이다. 발생 시점도 주목받았다. 네이버와의 합병 행사 당일이자 6년 전 업비트 해킹 사건과 같은 날에 사건이 발생했기 때문이다. 이 때문에 보안업계에서는 6년 전 사건을 벌인 북한 정찰총국 산하 해킹그룹 라자루스가 또다시 범행을 저질렀을 가능성을 제기하고 있다.
광고 로드중
모두 업비트 운영사인 두나무와 네이버파이낸셜 합병 행사가 끝난 오전 10시 50분 이후에 이뤄졌다. 신고를 통한 민관 대응이 빨랐다면 피해 규모를 줄이고 원인 규명에 도움 될 여지가 있었는데 행사 이후로 사고 신고를 의도적으로 미룬 게 아니냐는 의혹이 나온다. 업비트 관계자는 “비정상 출금 후 추가 출금을 막는 데 집중했고, 비정상 출금이 침해 사고라고 최종 확인된 즉시 당국에 보고했다”고 해명했다.
● 금융 당국 “배상 책임 부과 검토”
이번 대규모 해킹 사건을 계기로 금융 당국은 가상자산 이용자보호법 2단계 입법 시 대규모 해킹·전산 사고를 막지 못했을 경우 배상 책임을 부과하는 방안을 검토 중이다.
현행 전자금융거래법(전금법)은 해킹이나 전산 사고로 이용자가 손해를 입으면 이용자의 고의·중과실이 없는 한 금융사와 전자금융업자에게 손해 배상토록 하고 있으나 가상자산 사업자는 대상이 아니어서 책임을 묻기 어렵다. 지난해 제정돼 시행 중인 가상자산 이용자보호법(1단계법)에도 해킹 또는 전산 사고 관련 조항은 없어 업비트 사고 역시 중징계로 이어지기 어렵다는 지적이다.
광고 로드중
신무경 기자 yes@donga.com