업비트가 지난달 해킹 당시 코인 1000억개가 외부로 전송되는 데 1시간도 채 걸리지 않았던 것으로 나타났다. /두나무

[더팩트ㅣ조성은 기자] 국내 1위 자상가산거래소 업비트가 지난달 해킹 당시 코인 1000억개가 외부로 전송되는 데 1시간도 채 걸리지 않았던 것으로 나타났다.

7일 국회 정무위원회 소속 강민국 국민의힘 의원실이 금융감독원에서 제출받은 자료에 따르면 이번 해킹시도는 지난달 27일 오전 4시42분부터 오전 5시36분까지 총 54분간 이뤄졌다.

이 시간 동안 솔라나 계열 코인 24종, 총 1040억6470만4384개가 외부로 전송됐다. 피해액은 총 444억8059만4889원으로 1초당 1373만원(코인 3212만개)이 빠져나간 셈이다. 이 중 업비트 회원 피해 자산은 약 386억원으로 이 중 약 23억원을 동결했다. 업비트 회사 피해 자산은 약 59억원이다.

해킹으로 외부 전송된 솔라나 계열 코인 피해 현황을 살펴보면 피해 코인 갯수로는 '봉크'(BONK)가 1031억2238만개(99.1%·15억2621만원)로 가장 많았다. 피해 금액 기준으로는 '솔라나'(SOL)가 189억8822만원(42.7%)으로 가장 많았으며 그 다음 '펏지펭귄'이 38억5162만원(8.7%), '오피셜트럼프' 29억1763만원(6.6%)으로 집계됐다.

업비트 지갑실에서 솔라나 네트워크 계열 자산 일부가 내부에서 지정하지 않은 지갑 주소로 전송된 정황을 최초 확인한 시간은 27일 오전 4시 42분경이다. 업비트는 18분 만인 오전 5시 긴급회의를 열고 오전 5시27분 솔라나 네트워크 계열 디지털 자산 입출금을 중단하는 대응에 나섰다. 오전 8시55분에는 모든 디지털자산 입출금을 중단했다.

문제는 늑장신고가 이뤄졌단 점이다. 업비트가 이를 금감원에 유선 보고한 시점은 약 6시간이 경과한 10시 58분이며 시스템을 통해 문서로 공식 보고한 시점은 11시 45분으로 기록됐다. 한국인터넷진흥원(KISA)에는 11시 57분, 경찰에는 오후 1시 16분에 보고했다. 금융위원회에는 오후 3시께 유선으로 별도 보고했다.

가상자산 이용자 보호 등에 관한 법률에 따르면 가상자산사업자는 이상거래가 의심되는 경우 지체 없이 금융위원회 및 금감원장에게 통보하도록 돼 있다.

금감원은 현재 업비트 현장 점검을 통해 해킹 사고가 발생한 원인 등을 조사하고 있다. 다만 현행법상 가상자산 사업자에게는 해킹 사고와 관련해 제재를 하거나 배상을 물릴 수 있는 직접적 조항이 없다.

업비트가 지난 2019년 해킹 이후 대대적인 보안컨설팅을 진행했음에도 또 다시 피해가 발생했다는 점에서 우려가 계속되고 있다. 2019년부터 올해 11월까지 7년간 업비트는 총 33건의 보안컨설팅을 수행했다. 집행된 사업비만 해도 약 170억원에 달한다.

강 의원은 "금융당국은 국내 가상자산거래소 1위 기업인 업비트가 해킹으로 445억원 상당의 코인이 유출됐음에도 6시간이나 늑장신고한 것에 대해 관련법 위반 의무를 철저히 확인해야 할 것"이라며 "금번 업비트 해킹에서 솔라나 계열 코인만 전량 유출된 것이 솔라나 플랫폼 자체의 구조적 문제인지 혹은 업비트 결제 계정 방식 문제인지에 대한 조사도 필요하다"고 했다.

pi@tf.co.kr

발로 뛰는 <더팩트>는 24시간 여러분의 제보를 기다립니다.

· 카카오톡: '더팩트제보' 검색

· 이메일: jebo@tf.co.kr

· 뉴스 홈페이지: https://talk.tf.co.kr/bbs/report/write

· 네이버 메인 더팩트 구독하고 [특종보자→]

· 그곳이 알고싶냐? [영상보기→]