편집자 주 
정보유출 사태가 대한민국 사회 전체를 들쑤시고 있다. 대형 금융사와 유통업체 등에 등록된 고객 정보들이 와르르 쏟아져나와 불안감을 키웠다. 이번 만이 아니다. 잊을 만하면 대규모 정보유출 사태가 불거진다. 이른바 '해킹 대한민국'이라 해도 지나치지 않을 정도다. "설마" 하는 보안 불감증이 늘 일을 키운다. 이번에는 정말 마지막이어야 한다. 따라서 최근 발생한 사태들을 곱씹어 볼 필요가 있다. 그런 의미에서 이번 사태들의 여파가 어느 정도 확산됐고, 어떻게 수습되고 있는지 진단해봤다. 

국내 가상자산거래소 1위 업비트에서 지난달 발생한 445억 원 규모 자산 유출은 단순 해킹을 넘어 국내 가상자산 보안 체계의 근본적 취약성을 드러낸 사건으로 평가된다. 개인키 생성 알고리즘 결함과 신고 체계 혼선이 연달아 확인되면서, 규제 사각지대에 놓인 가상자산 사업자를 어떻게 감독할 것인지 제도 공백에 대한 비판이 커지고 있다.

◆ 빠른 전송 + 개인키 결함···피해 키운 이중 취약성

11일 가상자산업계에 따르면 업비트 해킹은 지난달 27일 오전 4시42분부터 5시36분까지 54분 동안 진행됐다. 이 시간 동안 솔라나 계열 24종 디지털자산 1040억6000여만 개(약 445억원)가 외부 지갑으로 전송됐다. 초당 약 3200만개가 빠져나간 것이다.

솔라나 특유의 고속 처리 구조가 개인키 유출과 맞물리며 피해가 단시간에 확대된 것으로 보인다. 핵심은 핫월렛 개인키 취약성이다. 콜드월렛은 인터넷과 분리된 오프라인 지갑인 반면, 핫월렛은 인터넷에 연결된 지갑으로 입출금이 빠르지만 상대적으로 보안에 취약하다.

핫월렛에서 생성된 개인키 알고리즘 자체가 취약했던 것으로 판단된다. 개인키는 블록체인 지갑의 비밀번호에 해당하는 값으로, 이를 확보하면 추가 인증 없이 정상 사용자처럼 출금 서명을 생성할 수 있다. 업비트는 "블록체인에 공개된 다수 지갑 트랜잭션을 분석하면 개인키를 추정할 수 있는 당사의 보안 취약점을 발견했다"고 밝혔다. 

사고 대응 과정도 도마 위에 올랐다. 업비트는 지난달 27일 오전 4시 42분 비정상 출금 신호를 포착한 뒤 즉시 비상 대응에 들어가, 오전 5시 27분 솔라나 계열 자산의 입출금을 중단했고 8시 55분에는 전체 입출금을 중단했다. 기술적 조치는 새벽부터 순차적으로 진행됐다.

◆ 대응은 신속, 신고는 지연?···외부 보고 시점 논란

그러나 공식 신고는 두나무–네이버파이낸셜 합병 행사 종료 이후에야 연속적으로 이뤄졌다. 금융감독원 보고는 오전 10시58분, 한국인터넷진흥원(KISA)는 오전 11시57분, 경찰은 오후 1시16분, 금융위원회는 오후 3시에 접수됐고, 홈페이지 공지는 낮 12시33분에 공개됐다.

여러 기관 신고가 특정 시점 이후에 집중되면서, 기술적 대응은 이미 끝난 상황에서 왜 외부 보고는 행사 이후로 밀렸느냐는 문제 제기가 나온다. 조치와 신고 사이 간격이 불가피한 검증 과정이었는지, 아니면 일정상의 고려가 있었는지를 두고 해석이 엇갈리는 상황이다.

감독 공백은 또 다른 지점에서도 드러났다. 금융보안원은 최근 빗썸·코인원·코빗·고팍스 등 4개 거래소를 대상으로 모의해킹 점검을 실시했지만, 올해 금보원 회원사로 가입한 5대 거래소 중 업비트는 사이버 보안 기업 티오리와의 별도 점검을 이유로 점검 대상에서 빠진 바 있다. 

이번 사고는 업비트만의 문제가 아니다. 업계에서는 반복된 대규모 해킹이 여전히 해결되지 않은 구조적 문제임을 지적한다. 빗썸은 2017년부터 2019년까지 총 세 차례 수백억원 규모 보안 및 해킹 피해를 입었고, 코인레일도 해킹으로 2018년 약 400억원이 유출된 바 있다.

◆ 반복되는 대형 해킹···규제 공백 속 구조적 취약성 드러나

해외에서도 일본 코인체크(2018년 약 5700억원), 바이낸스(2022년 약 1조1360억원), 바이비트(2025년 약 2조 원) 등 사고가 이어지며, 거래소가 가진 구조적 취약성은 전 세계적 문제로 지적되고 있다. 국내에서의 문제는 현행 법체계에서 이러한 사고에 대한 책임을 명확히 묻기 어렵다는 점이다.

1단계 가상자산법에도 관련 규제가 없는 가운데, 가상자산사업자는 전자금융거래법의 적용 대상이 아니기 때문에 금융기관에 부과되는 무과실 책임이나 보안 의무가 동일하게 적용되지 않는다. 이런 상황에서 여당이 디지털자산 기본법(가상자산 2단계 법안) ‘정부안’을 지난 10일까지 제출하라고 요구했다.

하지만 금융위원회가 기한 내 제출하지 못하면서 입법은 다시 지연된 상태다. 향후 가상자산 2단계 입법 논의에서 정보보안 의무 강화, 사고보고 체계 명문화, 개인키 생성 규격 표준화, 핫월렛 관리 기준 등이 쟁점으로 떠오를 전망이다.

법무법인 르네상스 정수호 대표변호사는 “이번 사안을 계기로 규제 패러다임은 ‘보관 비율’ 같은 양적 기준에서 ‘기술적 무결성 검증’이라는 질적 통제로 전환될 것”이라고 전망했다.