지난달 해킹을 당한 가상자산 거래소 업비트에서 코인 1000억개가 외부로 전송되는 데 1시간도 채 걸리지 않았던 것으로 나타났다. 빠르게 몸집을 불려온 가상자산업계에서 해킹 사고 발생 시 대규모 피해로 이어질 수 있다는 점을 보여준 사례다. 다만 현행법만으로는 가상자산 사업자에게 해킹 사고의 책임을 직접적으로 묻기 어려워 금융당국이 ‘규제 공백’ 해소 방안을 검토 중이다.

국회 정무위원회 소속 강민국 국민의힘 의원실이 7일 금융감독원에서 제출받은 자료를 보면, 업비트 해킹 사고는 지난달 27일 오전 4시42분부터 오전 5시36분까지 총 54분간 벌어졌다.

1시간도 채 안 되는 시간 동안 솔라나 계열 24종 코인 1040억6470만여개(약 445억원)가 외부 지갑으로 전송됐다. 1초당 코인 약 3200만개(약 1370만원)가 빠져나간 것이다.

업비트는 해킹 시도를 인지한 지 18분 만인 오전 5시 긴급회의를 열고 디지털 자산 입출금을 중단하는 등 대응에 나섰다. 하지만 금감원에 신고가 이뤄진 시점은 6시간가량이 지난 뒤인 오전 10시58분이었다. 사고 당일 오전 업비트 운영사인 두나무와 네이버파이낸셜 간 합병 행사가 열렸던 만큼 이 행사 이후로 신고를 미룬 것 아니냐는 지적이 나왔다.

업비트 관계자는 “피해자산은 모두 업비트가 충당해 이용자 피해가 없도록 했다”며 “비정상 출금 후 추가 출금을 막는 데 집중했고, 비정상 출금이 침해사고라고 최종 확인된 즉시 당국에 보고했다”고 말했다.

현재 금감원은 업비트 현장 점검을 통해 해킹 사고가 발생한 원인 등을 조사하고 있다. 문제는 현행법상 가상자산 사업자에게는 해킹 사고와 관련해 제재를 하거나 배상을 물릴 수 있는 직접적 조항이 없다는 점이다.

전자금융거래법(전금법)은 금융사와 전자금융업자가 해킹이나 전산 사고로 이용자가 손해를 입으면 이용자의 고의·중대한 과실이 없는 한 손해를 배상하도록 규정하고 있으나 가상자산 사업자는 전금법 적용 대상이 아니다. 지난해 7월 시행된 가상자산이용자보호법에도 해킹과 관련한 제재 규정은 빠져 있다. 이찬진 금감원장이 지난 1일 기자간담회에서 “업비트 해킹 사고는 그냥 넘어갈 수 있는 성격은 아니지만, 가상자산 쪽 제재는 한계가 있다”고 말한 것도 이 같은 맥락에서다.

이에 금융위원회는 현재 마련 중인 ‘가상자산 2단계 입법안’에 가상자산 사업자도 해킹·전산 사고 시 무과실 배상 책임을 지도록 하는 내용을 넣는 방안을 검토 중인 것으로 알려졌다. 해당 입법안에는 가상자산 사업자의 안정성·신뢰성 확보 의무, 과징금 등 제재 근거도 포함될 것으로 예상된다.