2년 전 국감서 지적 '업비트 해킹' 취약점…방치 속 결국 사고 터졌나


2020~2023년 업비트 해킹 시도 누적 건수 '42만6507건'
업계 "경고 누적됐는데도 보안 체계 전환 안 했다"

업비트에서 최근 445억 원 규모의 해킹 사고가 발생한 가운데, 2023년 국정감사에서 이미 해킹 시도 급증과 보안 취약성에 대한 지적이 있었음에도 구조적 보완이 제대로 이뤄지지 않았다는 비판이 제기되고 있다. /업비트

[더팩트ㅣ박지웅 기자] 국내 최대 가상자산 거래소 업비트에서 최근 445억원 규모의 해킹 사고가 발생한 가운데 이번 사고가 사실상 '예견된 참사'였다는 지적이 나온다. 2023년 국정감사에서도 업비트를 겨냥한 해킹 시도가 급증하고 북한 추정 공격세력의 위협이 구체적으로 보고됐지만, 이와 관련한 제도 개선이나 구조적 보완이 제대로 이뤄지지 않았다는 이유에서다.

8일 관련 업계에 따르면 박성중 전 국민의힘 의원은 지난 2023년 국감에서 업비트 해킹 시도가 2020년 하반기 8356건에서 2022년 하반기에는 8만7242건으로 약 10배나 폭증했다고 지적했다. 2023년 상반기에는 15만9061건으로 증가세가 더욱 가팔라지며, 3년간 누적 해킹 시도는 42만6507건에 달한 것으로 나타났다.

당시 박 전 의원은 "2019년 11월 북한 추정 해커의 공격으로 업비트가 약 580억원의 피해를 입은 만큼, 이에 대비한 대대적 보안 강화가 필요하다"고 강조하며 북한 소행의 해킹 가능성에 대한 경각심을 촉구했다.

그러나 이번 사고도 핫월렛에서 발생한 전형적 취약점 노출로, 배후로는 북한이 지목되고 있다. 2019년에도 동일한 방식으로 이더리움이 탈취된 전례가 있었음에도 콜드월렛 비중 확대나 지갑 구조 분리 등 근본적 보안 강화책이 마련되지 않았다는 지적이 나온다.

두나무는 당시 국감에서 "가상자산을 다수의 핫월렛으로 분산해 운영하고, 내부 보안 교육을 강화하고 있다"고 설명했으나, 전문가들은 이미 "핫월렛 분산은 임시방편에 불과하다"며 "근본적으로 해킹 공격에 대한 이상 징후(APT 등)를 추출해 근원지(IP) 분석을 하고 공격세력을 찾아내야 한다"고 경고해 왔다.

박 의원은 국감 당시 "일평균 거래액 2조원이 넘는 거래소가 북한의 대표적 공격 표적이 되고 있는데도 과학기술정보통신부의 감독 역할은 여전히 모호하다"며 대규모 모의해킹과 정보보안 실태조사를 촉구하기도 했다.

그러나 이후 2년간 정부의 제도 정비는 사실상 제자리걸음이었고, 거래소들도 자율 규제 강화 외에는 구조적 변화를 만들어내지 못했다는 지적이 나온다. 당시 두나무는 "2019년 사고 이후 핫월렛 분산 운영 등 다수의 재발방지 조치를 시행했고, 그 이후 현재까지 단 한 건의 침해사고도 없었다"고 해명할뿐 구체적인 추가 조치는 제시하지 않았다.

한 가상자산 업계 관계자는 "침해사고가 없었다는 것이 구조적 위험이 사라졌다는 의미는 아니다"라며 "2023년 국감에서 이미 반복적으로 경고가 있었던 만큼 보다 적극적으로 보안체계를 마련했다면 이번 해킹 사태를 막을 수 있었을 것"이라고 말했다.

결국 이번 해킹 사고는 국감에서 이미 확인된 보안 위협과 지속적으로 제기돼 온 핫월렛 취약성, 모호한 정부 감독 체계, 업계의 제한적 대응이 맞물리면서 발생한 '예견된 사고'였다는 지적이 힘을 얻고 있다.

특히 이번 해킹 사태를 둘러싸고 업비트의 '늑장 신고' 논란도 도마 위에 올랐다. 강민국 국민의힘 의원에 따르면 업비트 지갑실은 지난달 27일 새벽 4시 42분 비정상 출금 정황을 처음 확인했지만, 금융감독원에 유선으로 보고한 시점은 약 6시간이 지난 오전 10시 58분이었다. 공식 문서 보고는 오전 11시 45분에 이뤄진 것으로 파악됐다.

현행 가상자산 이용자 보호법 등 관련 규정은 가상자산사업자가 이상 거래가 의심될 경우 '지체 없이' 금융위원회와 금융감독원에 통보하도록 명시하고 있다.

강 의원은 "업비트가 445억원 규모의 해킹 피해를 인지하고도 6시간 동안 신고를 미룬 것은 관련 법령 위반 소지가 있다"며 "당국은 신고 지연 경위와 전체 사실관계를 면밀하게 확인해야 한다"고 지적했다.

이에 대해 두나무 관계자는 "업비트는 약 2년 전 박성중 의원이 제기한 핫월렛 보안 문제를 엄중히 받아들이고 보안 인력 확대, 투자 강화, 지갑 시스템 구조 개선, 버그바운티 프로그램 운영 등 전반적인 보안 체계 고도화를 지속해 왔다"며 "가상자산이용자법에서 정한 기준보다 더 높은 수준으로 고객 자산의 80% 이상을 콜드월렛에 보관하고, 다수의 핫월렛을 분산 운영하며 각 지갑의 자산 한도를 제한하는 등 보수적인 지갑 운영 원칙도 유지해 왔다"고 말했다.

이어 "그럼에도 이번 사고가 발생한 데 대해 책임을 무겁게 받아들이고 있다"며 "피해 규모는 전액 회사 자산으로 우선 보전해 고객 실질 피해가 없도록 조치했고, 현재 지갑 시스템 전반을 다시 점검·개편하는 한편 해외 수사기관과의 공조도 강화해 재발 방지에 최선을 다하고 있다"고 덧붙였다.

christ@tf.co.kr

Copyright@더팩트(tf.co.kr) All right reserved.