[KJtimes=정소영 기자] 국내 1위 가상자산거래소 업비트가 7년간 200억원에 달하는 보안투자에도 불구하고 단 54분 만에 445억원 규모의 코인 탈취 피해를 입고도 금융당국에 6시간 늦게 신고한 사실이 드러나 논란이 확산되고 있다.
국회 강민국 의원실에서 금융감독에 자료요청을 통해 받은 답변 자료인 '업비트 가상자산 비정상 출금사고 현황'을 살펴보면, 해킹 출금사고 발생시점은 11월 27일 오전 4시 42분이며, 해킹 실행 완료 시간은 5시 36분으로 해킹을 통한 가상자산 외부 전송시간은 총 54분밖에 되지 않았다.
54분이라는 짧은 시간 동안 해킹으로 털린 가상자산 규모를 살펴보면 솔라나 계열 24 종 코인 1040억 6470만 4384개에 피해액은 총 444억 8059만 4889원으로 이는 1초당 약 3212 만개(1373만원 )가 빠져나간 것이다.
이 중 업비트 회원 피해 자산은 약 386억원으로, 이 중 약 23억원을 동결했으며, 업비트 회사 피해 자산은 약 59억원에 달하는 것으로 나타났다.
◆"천문학적 해킹 피해에도 늑장 신고...이상 거래 의심시 지체 없이 금융 당국에 통보 위반"
해킹으로 외부 전송된 솔라나 계열 코인 24종별 피해 현황을 살펴보면 다음과 같다.△피해 코인 개수 기준으로는 봉크 (BONK)가 1031억 2238만 8592개(99.1% /15억 2621만 1351원)로 가장 많았으며, 다음으로 캣인어독스월드(MEW) 3억 7905만 9906개(0.4%/6억 8988만 9029원), 펏지펭귄(PENGU) 2억 2524만 1345개(0.2%/38억 5162만 7001원) 등의 순이다.
피해 금액 기준으로는 솔라나(SOL)가 189억 8822만 4228원(42.7%/8만 8317개)로 가장 많았고, 다음으로 펏지펭귄 38억 5162만 7001원(8.7% / 2억 2524만 1345개), 오피셜트럼프 29억 1763만 8723원(6.6%/31만 3388개) 등의 순이다.
문제는 업비트가 천문학적 해킹 피해 사실을 금융 당국에 늑장 신고 했다는 것이다.
업비트 지갑실에서 Solana 네트워크 계열 자산 일부가 내부에서 지정하지 않은 지갑 주소로 전송된 정황을 최초 확인한 시간은 11월 27일 오전 4시 42분경임에도 이를 금융감독원에 유선 보고한 시점은 약 6시간이 경과된 10시 58분이며, 시스템을 통해 문서로 공식 보고한 시점은 11시 45분이었기 때문이다. (※KISA 시스템 보고 오전 11시 57분/금융위원회 유선 보고 오후 3시/경찰 오후 1시 16분)
이는 '가상자산 이용자 보호 등에 관한 법률' 제 12조(이상거래에 대한 감시)에 따른 준법 준수 의무를 위반한 것으로 해당 법상 , ‘가상자산사업자는 이상 거래가 의심되는 경우에는 지체 없이 금융위원회 및 금융감독원장에게 통보’ 하도록 되어 있다.
또 다른 문제는 지난 2019년 해킹으로 대대적인 외주용역과 IT 보안컨설팅 등을 진행했음에도 이러한 천문학적 수준의 해킹 피해가 재차 발생했다는 것이다.
지난 2019년~2025년 11월까지 7년여간 '업비트 보안컨설팅 수행 내역'을 살펴보면, 총 33건 수행에 집행된 사업비 만도 약 170억 1802만이나 됐다.
◆"업비트, 최근까지 정보보안 관련 예산 별도 예산 계정도 없이 주먹구구식으로 관리"
업비트가 진행한 33건 보안컨설팅에는 △취약점검 컨설팅, △침투테스트 수행, △악성 이메일 모의 훈련 등 해킹에 대비한 각종 보안 컨설팅이 즐비했다.
또한 동일기간 업비트는 11건의 '해킹 등 IT 보안 외주 계약'을 11건 이나 진행했으며, 여기에 집행된 예산 역시 약 28억 4,842 만원이나 됐다. 더욱이 업비트는 최근까지 정보보안 관련 예산을 별도 예산 계정도 없이 주먹구구식으로 관리해 왔다.
대규모 해킹 사고가 발생한 지난 2019년과 다음해인 2020년은 ‘정보보호 공시대상이 아니’라는 이유로 정보보안 투자 집행액이 얼마였는지 별도로 파악조차 하지 않고 있으며, 2023년까지 정보보안 부문 예산 항목 없이 회사 '운영비'와 '개발비' 비목에서 관련 부서가 예산을 신청하고 승인받아 집행해왔다.
강민국 의원은 "금융당국은 국내 가상자산거래소 1위 기업인 업비트가 해킹으로 445억원 상당의 1000억개 이상 코인이 유출되었음에도 6시간 늑장 신고한 것에 대한 관련법 위반 의무를 철저히 확인해야 할 것이다"고 지적했다.
또한 강 의원은 "금융 당국은 이번 업비트 해킹에서 솔라나 계열 코인만 전량 유출된 것이 솔라나 플랫폼 자체의 구조적 문제인지 아니면 아니면 업비트 결제 계정 방식 문제인지에 대한 조사가 확실하게 있어야 한다"고 밝혔다.
