🔎 핵심만 콕콕
- 지난달 발생한 업비트 해킹 사고 피해액이 445억 원에 달하는 것으로 드러났습니다.
- 고객 피해액은 전액 보상됐고 유출 자산 중 26억 원은 동결 상태인데요.
- 가상자산의 해킹 사고는 별다른 처벌 조항이 없어 법제화가 시급하다는 주장이 나옵니다.
업비트에서 또 해킹 사고가?
🪙 코인 1천억 개 어디로…: 지난달 27일 오전 4시 42분, 업비트 가상자산 일부가 외부로 탈취되는 사고가 발생했습니다. 해커들의 접근으로 54분 동안 1천억 개 이상의 코인이 외부 지갑으로 빠져나간 건데요. 아직 정확한 배후는 밝혀지지 않았지만, 6년 전 해킹 사태와 동일한 날에 발생했다는 점에서 북한 해킹 조직인 라자루스가 의심받기도 합니다.
라자루스: 북한 정찰총국 산하 해킹 조직으로, 가상자산∙금융∙IT∙국방 등의 분야에서 한국을 겨냥한 다양한 해킹을 일삼고 있습니다. 앞서 2019년에 업비트를 상대로 해킹을 시도해 약 580억 원 상당의 이더리움을 탈취한 사건이 있었죠.
😧 445억 피해 실화야?: 이번 해킹 피해는 솔라나 네트워크 계열 코인에 집중됐습니다. 솔라나 계열 24종 코인 1,040억 6,470만여 개가 유출됐는데요. 피해 금액으로 따지면 약 445억 원에 달합니다. 이 중 386억 원은 고객 자산, 59억 원은 업비트 자산으로 추정됩니다. 피해 코인 개수 기준으로는 봉크(BONK)가 1,031억 2,238만여 개로 가장 많았고, 피해 금액 기준으로는 솔라나(SOL)가 189억 8,822만 원으로 가장 컸습니다.
솔라나: 블록체인 개발사 솔라나랩스가 개발한 블록체인 플랫폼으로, 이 블록체인에서 발행하고 거래하는 코인을 솔라나 네트워크 계열 코인이라고 말합니다. 송금이 빠르고 수수료가 저렴하다는 장점이 있습니다. 이번 해킹 사고는 솔라나 계열의 키가 탈취되며 발생한 것으로, 솔라나와 운영체제(OS)가 다른 비트코인, 이더리움 등의 대형 코인 해킹으로까지는 이어지지 않았습니다.
💦 늑장 대응이 사태 키웠다: 이번 사태를 두고 업비트의 대응이 부적절했다는 지적이 쏟아집니다. 업비트는 해킹 시도를 인지한 지 18분 만에 긴급회의를 열고 오전 5시 27분에 솔라나 네트워크 계열 코인의 입출금을 중단했습니다. 하지만 해킹 사실을 당국에 보고한 건 사고를 인지하고 6시간이 지난 오전 10시 58분이었는데요. 이후 한국인터넷진흥원, 경찰, 금융위원회에 보고한 시각도 연달아 늦춰지면서 뒤늦은 사후 조치가 피해를 더 키운 것 아니냐는 비판이 나옵니다. 사고 당일 업비트 운영사인 두나무와 네이버의 합병 행사가 있었던 탓에 신고를 의도적으로 미룬 것 아니냐는 의혹도 제기됐죠.
그래서 대처는 어떻게?
🖥️ 유출 경로 실시간 추적 중: 현재 업비트는 자체 개발한 온체인 자동 추적 서비스(OTS)를 활용해 외부로 전송된 디지털자산의 경로를 추적 중입니다. 24시간 정밀 모니터링으로 탈취 자산의 이동 경로와 관련 주소를 확보했고, 해당 주소들을 블랙리스트로 전 세계 거래소와 공유해 입금이 시도될 경우 동결 조치를 요청한 상태인데요. 현재 총 26억 원의 자산을 동결하는 데 성공했습니다.
온체인 자동 추적 서비스(OTS): 블록체인 기반 디지털 자산의 이동 경로를 자동으로 추적하고 분석해주는 시스템입니다. 일일이 수작업하기 어려운 거래 흐름을 AI를 기반으로 실시간 추적해 2차 피해를 막는 역할을 하죠.
🧑💻 세계 전문가들, 협조 부탁해: 회수 기여 보상 프로그램도 가동됐습니다. 전 세계 거래소, 화이트 해커, 보안 전문가, 블록체인 분석가 등의 도움을 받아 유출 자산의 회수율을 높이겠다는 건데요. 피해 자산의 추적∙동결에 기여한 대상에게 최종 회수 자산의 10%를 보상금으로 지급할 계획입니다.
🙇 고객 피해는 전액 보상: 업비트는 이미 유출된 고객 자산 386억 원에 대해서는 자체 보유 자산으로 전액을 보상한 것으로 알려졌습니다. 또, 보안을 강화하고자 전체 가상자산 지갑을 교체하고 지난 6일부터 거래를 재개했는데요. 업비트 관계자는 "고객 자산은 이미 회삿돈으로 모두 보전해 피해가 없지만, 공격자에게 자산이 넘어가는 것을 막기 위해 끝까지 추적할 것"이라며 적극적인 제보와 협력을 요청했습니다.
그래도 아직 갈 길이 멀다…!
⚖️ 제재∙배상 법률상 공백: 이번 사건을 계기로 가상자산 해킹 사태 관련 제도적 허점이 드러나기도 했습니다. 현행법상 가상자산 해킹 사고와 관련해 직접적인 제재나 배상을 물을 수 있는 조항이 없다는 점인데요. 현행 전자금융거래법은 금융회사와 전자금융업자의 무과실 책임은 인정하지만, 가상자산사업자는 제외됩니다. 작년 7월부터 시행된 가상자산법(1단계법)에도 해킹∙전산 사고에 관한 규정은 빠져 있죠. 이용자 보호 중심의 내용만 들어있을 뿐 해킹 사고 시 보고 의무 조항, 가상자산사업자 제재 등은 다뤄지지 않는 점이 문제로 꼽힙니다.
🤔 가상자산 2단계법 달라질까?: 향후 가상자산 해킹 사고로 인한 피해 규모가 크게 늘어날 수 있는 만큼 하루빨리 관련 제도를 보완해야 한다는 목소리가 높습니다. 금융당국은 오는 10일 국회에 제출할 가상자산 2단계 입법을 통해 대규모 해킹∙전산 사고를 막지 못했을 경우 사업자에게 배상 책임을 부과하는 방안 도입을 검토 중이라고 밝혔죠.
🙎 사업자 배상 책임 강화해야: 한편, 전문가들은 사업자의 입증 책임을 강화해야 한다고 제언합니다. 지금은 피해자가 배상을 요구하려면 사업자의 과실이 명확히 입증돼야 하는데요. 이번 사고처럼 개별 계좌가 아닌 전체 계좌에서 자산이 유출되면 누구에게, 얼마의 피해가 발생했는지 개별로는 증명하기가 어렵습니다. 이에 사업자가 입증 책임을 지도록 법제화가 필요하다는 주장이 제기되는데요. 이번 해킹 사고에서는 업비트가 선제적으로 전액 보상을 결정했지만, 이는 어디까지나 자발적인 조치였을 뿐 법적 의무는 아니었다는 점에서 제도적 보완이 필요하다는 거죠.