경제 금융시장

업비트 해킹 ‘내부통제 부실’ 우려…네이버·두나무 합병 불안감

2025-11-28 13:00:01 게재

오프체인·온체인 최강자 결합 ‘핀테크 공룡’ 탄생

업비트, 전자금융업자 아니라 IT안전성 강제 못해

6년 만에 또 해킹, “규모에 맞는 인프라 구축 의문”

국내 최대 가상자산거래소인 업비트가 해킹을 당하면서 ‘내부통제 부실’ 우려가 또 다시 제기되고 있다. 특히 업비트를 운영하고 있는 두나무와 네이버파이낸셜의 합병 시점에 해킹 사고가 터지면서 금융당국의 불안감은 커지고 있다.

네이버는 검색·메신저·커머스·클라우드 등 오프체인 기반 Web2 인프라·플랫폼의 최강자이고, 두나무는 블록체인 기술 및 가상자산 인프라를 기반으로 Web3의 핵심 생태계 구축을 주도하는 온체인 분야의 최강자다. 이번 합병으로 거대한 ‘핀테크 공룡’이 탄생하게 됐지만 얼마나 견고한 내부통제시스템을 갖췄는지 알 수 없는 상태에서 업비트 해킹 사고가 터진 것이다.

27일 금융감독원과 금융보안원은 업비트에 대한 현장 점검에 착수했다. 이날 오후 12시 30분쯤 오경석 두나무 대표가 “(27일) 오전 4시42분쯤 약 540억원 상당의 솔라나 네트워크 계열 자산 일부가 내부에서 지정하지 않은 지갑 주소로 전송된 정황을 확인했다”고 밝혔으며, 두나무는 금감원과 한국인터넷진흥원에 이같은 사실을 신고했다. 두나무는 이날 오후 3시쯤 해킹 규모를 445억원 상당이라고 정정했다.

두나무는 “비정상 출금 발생 시점 기준 시세로 정정했다”며 “업비트가 운영 중이던 ‘핫월렛’(인터넷에 연결된 지갑)에서 발생한 것으로 확인됐고, 자산이 분리 보관되는 안전한 콜드월렛(오프라인 지갑)은 어떠한 침해나 탈취도 발생하지 않았다”고 설명했다.

업비트는 콜드월렛을 아마존 서비스(AWS)를 통해 보관하고 있지만, 예치금 등 고객용 출금지갑은 핫월렛으로 보관하고 있다. 대부분의 코인은 콜드월렛에 보관하고 있으며 약 10% 가량을 핫월렛에 보관하고 있는 것으로 알려졌다.

이해진 네이버 이사회 의장이 27일 경기 성남시 네이버 1784에서 열린 네이버-네이버파이낸셜-두나무 3사 공동 기자간담회에서 발언하고 있다. 왼쪽부터 박상진 Npay 대표, 최수연 네이버 대표이사, 이해진 네이버 이사회 의장, 송치형 두나무 회장, 오경석 두나무 대표이사. 사진 네이버 제공

핫월렛은 인터넷에 연결돼 있어서 해커가 가상자산 관리자 PC에 악성코드를 심어서 ID와 패스워드를 탈취할 경우 특정 계좌로 고객의 코인과 예치금을 보낼 수 있다. 프라이빗키가 노출될 위험이 존재하기 때문이다.

탈취된 자산은 솔라나(SOL)를 비롯해 더블제로(2Z), 액세스프로토콜(ACS), 봉크(BONK), 두들즈(DOOD), 드리프트(DRIFT), 후마파이낸스(HUMA), 아이오넷(IO), 지토(JTO), 주피터(JUP), 솔레이어(LAYER), 매직에덴(ME), 캣인어독스월드(MEW), 무뎅(MOODENG), 오르카(ORCA), 펏지펭귄(PENGU), 피스네트워크(PYTH), 레이디움(RAY), 렌더토큰(RENDER), 소닉SVM(SONIC), 쑨(SOON), 오피셜트럼프(TRUMP), 유에스디코인(USDC), 웜홀(W) 등 24종이다.

업비트는 전자금융업법의 적용을 받는 전자금융업자가 아니다. 따라서 법적으로 ‘전자금융거래의 안전성 확보 및 이용자 보호’ 의무에서 제외돼 있다. 금융당국이 가상자산거래소들을 상대로 IT안전성 확보를 강조하고 별도의 모범규준도 만들었지만 강제성이 없다.

금융당국의 한 관계자는 “국내 최대 가상자산거래소 이용자가 수백만명이고 24시간 이용이 가능한 상황에서 IT안전성이 금융회사의 전산시스템만큼 갖춰져 있는지 알 수가 없다”며 “개발자 위주의 핀테크 업체들은 문제가 생기면 그때 고치면 된다는 마인드여서 금융회사와는 내부통제에 대한 인식이 크게 다르다”고 말했다.

가상자산거래소를 규제하기 위한 가상자산 2단계 입법이 속도를 내지 못하고 있는 상황이어서 두나무와 네이버의 합병을 우려스럽게 보고 있다.

그는 “가상자산 2단계 입법이 진행 중이지만 여러 규제가 갖춰져 있지 않은 상태에서 (합병을 통해) 시장 지배력을 더 높이고 있는데, 규모에 걸맞는 인프라를 구축하면서 가고 있는지 의문”이라고 말했다.

한편 업비트를 비롯해 빗썸·코인원·코빗·고팍스 등 원화마켓 가상자산거래소 5곳은 올해 상반기 금융보안원에 사원사로 가입했다. 금융보안원은 신규 사원사들을 대상으로 모의해킹을 진행해 취약점을 분석했다. 다만 두나무는 금융보안원의 모의해킹을 신청하지 않아 업비트는 대상에서 빠졌다. 업비트는 지난 2019년 이더리움 핫월렛에서 34만2000개(약 580억원)에 이르는 이더리움을 해킹 당한 적이 있다.

이밖에도 두나무는 올해 2월 금융정보분석원(FIU)으로부터 특정금융정보법(특금법) 위반혐의로 영업 일부정지 3개월(신규 고객의 가상자산 이전 금지)을 받았고 당시 이석우 대표이사(이후 교체)는 중징계에 해당하는 문책경고를 받았다. 이달초에는 860만건의 특금법 위반으로 352억원의 과태료를 부과받는 등 내부통제 부실이 심각한 것으로 드러났다.

이경기 기자 cellin@naeil.com

이경기 기자 기사 더보기