국내 최대 가상자산 거래소 업비트에서 54분 만에 코인 1000억개가 해킹됐지만, 규제 미비로 제재는 어려울 것으로 전망된다. 현행법상 가상자산이 제대로 된 법적 지위가 보장되지 않고, 제재나 배상을 강제할 조항이 없어 '규제 공백' 우려가 커지고 있다.

7일 국회 중무위원회 소속 강민국 의원실이 금융감독원에서 제출받은 자료에 따르면, 이번 해킹 시도는 지난달 27일 오전 4시 42분부터 오전 5시 36분까지 총 54분간 이뤄졌다. 이 시간동안 알 수 없는 외부 지갑으로 전송된 가상자산 규모는 솔라나 계열 24종 코인 1040억 6470만개로 시가 약 445억원 어치에 달한다.

업비트는 해킹 시도 인지 18분 만인 오전 5시 긴급회의를 열었고, 5시 27분 솔라나 네트워크 계열 디지털자산 입출금을 중단했다. 오전 8시 55분에는 모든 디지털자산 입출금을 멈췄다. 

이후 업비트는 해킹 사고 인지 이후 6시간 만인 오전 10시 58분에 이 사실을 금감원에 처음 보고했다. 한국인터넷진흥원(KISA)에는 오전 11시 57분, 경찰에는 오후 1시 16분, 금융위원회에는 오후 3시에 별도 보고를 했다. 홈페이지 공지 시간은 12시 33분이다. 

이 날은 업비트를 운영하는 두나무와 네이버파이낸셜의 합병 발표가 있던 날이어사 사고 공지와 신고를 의도적으로 미뤘다는 의혹도 나왔다. 

강민국 의원은 "국내 가상자산거래소 1위 기업인 업비트가 해킹으로 1천억개 이상 코인이 유출됐음에도 6시간 넘게 늑장 신고했다"며 "(유출 대상이 된) 솔라나 플랫폼 자체의 구조적 문제인지, 업비트 결제 계정 방식 문제인지에 대한 조사도 확실하게 있어야 한다"고 지적했다.

그럼에도 현행법상 가상자산사업자의 해킹 사고와 관련해 제재나 배상을 물릴 직접적인 법 조항은 없는 것으로 나타났다. 금감원이 업비트를 현장 점검중이지만 현실적으로 중징계가 어렵다는 지적이 나오는 이유다. 

전자금융거래법은 전자금융업자에게 거래 안전성·신뢰성을 확보할 것을 의무로 규정하고, 불가피한 사고 위험에 대한 시스템 관리자로서 금융기관의 무과실 책임까지 인정한다. 그러나 적용 대상에 가상자산사업자는 포함되지 않는다.

작년 7월 시행된 '가상자산법'(1단계법)은 이용자 보호 중심으로 구성돼 있어 해킹·전산 사고에 제재 규정을 다루고 있지 않다.

업비트 관계자는 “피해자산은 모두 업비트가 충당해서 이용자에겐 피해가 없도록 조치했다“라며 ”비정상 출금 후 추가 출금을 막는데 집중했고, 비정상 출금이 침해사고라고 최종 확인된 즉시 당국에 보고했다“고 말했다.

한편, 금융당국은 연내로 예정된 가상자산 2단계 입법시 대규모 해킹·전산 사고를 막지 못할 경우 배상 책임을 부과하는 방안을 검토하고 있다. 하지만 스테이블코인 발행 주체와 관련해 이견이 표출되며 연내 통과는 미지수다.