금융당국이 445억원 규모 해킹 사고가 난 업비트 운영사 두나무에 검사의견서를 보내면서, 가상자산 거래소의 보안 사고에 대한 첫 본격 제재 절차가 시작됐다.
19일 금융권과 금융당국에 따르면 금융감독원은 지난해 발생한 업비트 해킹 사고와 관련해 최근 두나무에 검사의견서를 송부했다. 사고 직후 검사에 착수한 뒤 약 7개월 만에 제재 절차의 첫 단계로 들어선 것이다. 문제가 된 사고는 지난해 11월 27일 발생했다. 국내 1위 가상자산 거래소인 업비트에서 솔라나 네트워크 계열 자산 약 1천억개 코인, 금액으로는 445억원어치가 외부 지갑으로 빠져나갔다.
사고 경과를 보면, 해킹은 당일 오전 4시 42분부터 오전 5시 36분까지 약 54분 동안 이뤄졌다. 다만 회사가 해킹 사실을 바로 알리지 않고 당일 네이버파이낸셜과의 합병 행사 종료 뒤 공지하면서 시장에서는 대응이 늦었다는 비판이 제기됐다. 두나무는 이후 피해 자산 가운데 26억원은 자금 동결을 통해 회수 절차를 진행했고, 회원 피해 자산 386억원은 업비트 자체 자산으로 전액 보전했다고 밝혔다. 거래소 이용자 입장에서는 실제 손실 보전 여부가 가장 민감한 대목인데, 이번 사고는 보상과 별개로 공지 시점과 내부 통제 체계가 적절했는지가 핵심 쟁점으로 떠오른 셈이다.
다만 이번 사안이 중징계로 이어질지는 아직 불확실하다. 현행 가상자산이용자보호법은 이용자 보호와 불공정거래 방지에 초점이 맞춰져 있어, 해킹이나 전산 장애 같은 보안 사고를 직접 처벌하거나 배상을 강제하는 규정은 상대적으로 부족하기 때문이다. 금융감독원도 사고 이후 법 위반 여부를 살펴봤지만, 적용 가능한 제재 근거가 제한적이라는 점을 의식하고 있다. 이찬진 금융감독원장 역시 지난해 말 기자간담회에서 이번 사고를 두고 제재 권한에 한계가 있다고 언급하면서도, 그냥 넘어갈 사안은 아니라는 입장을 밝힌 바 있다.
당국은 이런 제도 공백을 보완하기 위해 가상자산 2단계 법으로 불리는 디지털자산기본법에 해킹·전산사고 관련 제재와 배상 규정을 담는 방안을 추진할 계획이다. 이번 사건은 가상자산 시장이 커진 만큼 거래소의 보안 의무와 사고 대응 책임을 어디까지 물을지 제도적으로 정리할 필요가 있다는 점을 보여준다. 금융감독원은 앞으로 두나무의 소명을 받은 뒤 제재 수위를 담은 제재의견서를 사전 통지하고, 이후 제재심의위원회와 증권선물위원회, 금융위원회 의결을 거쳐 최종 제재를 확정할 예정이다. 비트코인 오지급 사고가 있었던 빗썸에 대해서도 법률 검토를 마치는 대로 제재 절차에 들어갈 예정이어서, 이 같은 흐름은 향후 가상자산 거래소 전반의 보안 기준과 공시 관행을 더 엄격하게 바꾸는 방향으로 이어질 가능성이 있다.


