국내 최대 가상자산 거래소 업비트가 최근 해킹으로 유출된 자산 445억원 가운데 약 26억원을 동결하는 데 성공했다고 밝혔다.

8일 업비트 운영사 두나무는 지난달 27일 발생한 비정상적 출금 사태와 관련해 현재까지 26억원 규모의 피해 자산을 동결 조치했다고 밝혔다. 사고 당일 자금 유출 5시간 만에 23억원 상당의 자산을 묶는 데 성공했으며, 이후 글로벌 거래소들과의 공조를 통해 추가분 3억원을 포함해 현재까지 모두 26억원을 동결했다.

업비트 관계자는 “유출 총자산 445억 가운데 고객 보유 유출분 386억원에 대해서는 업비트가 자체 보유한 자산으로 전액 충당해 회원들의 실질적 피해를 ‘0’으로 만들었다”고 밝혔다.

업비트는 남은 피해 자산 회수율을 높이기 위해 추가 대책을 내놨다. 전 세계 가상자산 거래소, 화이트 해커, 보안 전문가, 블록체인 분석가 등을 대상으로 회수에 기여할 경우 최종 회수된 자산의 10%를 포상금으로 지급하기로 했다.

한편 전날인 7일 국회 정무위원회 소속 국민의힘 강민국 의원이 금융감독원으로부터 제출받은 자료에 따르면 업비트 해킹 시도는 지난달 27일 오전 4시 42분부터 54분간 이뤄졌다. 이 시간 동안 솔라나 계열 24종의 가상자산 총 1040억6470만여개(약 445억원)가 유출됐다. 초당 약 3200만개(1370만원)가 해킹됐다.

해킹이 발생한 날은 업비트 운영사 두나무와 네이버가 합병 방침을 공식 발표한 날이었다. 업비트는 합병 행사 이후 당국에 관련 사실을 보고해 ‘늑장대응’이라는 비판을 받고 있다. 업비트는 행사가 끝난 오전 10시 50분 이후에 금감원(오전 10시 58분)과 한국인터넷진흥원(오전 11시 57분), 경찰(오후 1시 16분), 금융위원회(오후 3시)에 해킹피해 사실을 보고 및 신고했다.

업비트 관계자는 “시간상 합병 행사 이후에 신고한 건 맞지만, 실제 비정상 출금이 해킹으로 인한 것인지 확인하고 이에 대한 대책을 마련하는 데 시간이 걸렸다”고 해명했다.

금감원은 현재 업비트에 대한 현장점검을 진행중이다. 하지만 현행법상 가상자산사업자의 해킹사고와 관련해 제재 규정이 없어 중징계로 이어지긴 어렵다는 관측이 나온다. 전자금융거래법(전금법)은 금융기관의 무과실 책임을 인정하지만, 가상자산 사업자는 이 법의 적용을 받지 않는다.

지난해 7월 시행된 가상자산법(1단계법)에는 해킹·전산 사고에 대한 제재 규정이 없다. 이에 금융당국은 현재 입법을 준비 중인 2단계 가상자산법안에 가상자산 거래소가 대규모 해킹·전산 사고를 막지 못했을 경우 금융회사와 동일하게 무과실 손해배상 책임을 부과하는 제재규정을 포함시킬 계획이다.

해킹 주체에 대해 업비트는 신중한 입장이다. 업비트 관계자는 “2019년 이더리움 해킹 건도 5년이 지난 지난해가 돼서야 ‘북한 소행’이라는 경찰 수사결과가 나왔다”며 “이번 해킹 건도 전모가 밝혀지기까진 시간이 걸릴 전망”이라고 말했다.

김은광 기자 powerttp@naeil.com