<이미지를 클릭하시면 크게 보실 수 있습니다>

국내 1위 가상자산 거래소 업비트에서 지난달 해킹 사고 당시 1000억개가 넘는 코인이 단 54분 만에 외부로 전송된 것으로 드러났다.

7일 국회 정무위원회 소속 강민국 의원실이 금융감독원에서 제출받은 자료에 따르면 지난달 27일 오전 4시 42분부터 오전 5시 36분까지 총 54분간 업비트에서 솔라나 계열 코인 24종, 약 1040억6470만 개가 외부 지갑으로 유출됐다. 피해 규모는 당시 시세로 약 445억 원에 달한다. 1초당 코인 약 3200만개(약 1370만원)가 빠져나간 것이다.

피해 코인 개수 기준으로는 '봉크(BONK)'가 1031억2238만여개(99.1%·15억2621만원)로 가장 많았다.

피해 금액 기준으로는 '솔라나(SOL)'가 189억8822만원(42.7%)으로 가장 컸다. '펏지펭귄' 38억5162만원(8.7%), '오피셜트럼프' 29억1763만원(6.6%) 순이었다.

이번 해킹 사태의 가장 큰 논란은 보고 시점이다.

업비트는 해킹 시도를 인지한 지 18분 만인 오전 5시 긴급회의를 연 데 이어 오전 5시 27분에 솔라나 네트워크 계열 디지털자산 입출금을 중단했다. 오전 8시 55분에는 모든 디지털자산 입출금을 중단했다.

그러나 해킹 사실을 금감원에 처음 보고한 시점은 오전 10시 58분으로 해킹 사고 인지 이후 6시간이 넘게 흐른 뒤였다.

한국인터넷진흥원(KISA)에 보고한 시점은 오전 11시 57분이었다. 경찰에는 오후 1시 16분, 금융위원회에는 오후 3시에 별도 보고를 했다.

비정상 출금 행위가 이뤄졌음을 홈페이지에 공지한 시간은 낮 12시 33분이다.

특히 금감원 최초 보고 시점이 두나무와 네이버파이낸셜 합병 행사가 끝난 오전 10시 50분 직후라는 점에서 업비트가 행사 이후로 사고 공지와 신고를 의도적으로 미룬 게 아니냐는 의혹도 제기됐다.

다만 현행법상 업비트·빗썸 같은 가상자산사업자의 해킹 사고와 관련해 제재나 배상을 물릴 수 있는 직접 조항은 없는 것으로 나타났다.

이 때문에 금감원이 현재 업비트를 현장 점검 중이지만 현실적으로 중징계로 이어지긴 어렵다는 관측이 많다.

강민국 의원은 "국내 가상자산거래소 1위 기업인 업비트가 해킹으로 1000억개 이상 코인이 유출됐음에도 6시간 넘게 늑장 신고했다"며 "(유출 대상이 된) 솔라나 플랫폼 자체의 구조적 문제인지, 업비트 결제 계정 방식 문제인지에 대한 조사도 확실하게 있어야 한다"고 지적했다.

업비트 관계자는 "고객이 맡긴 가상자산의 80% 이상을 콜드월렛에 보관했고 피해자산은 업비트가 충당해 이용자 피해가 없도록 조치했다"며 "추가 출금을 막는 데 집중했고 비정상 출금이 침해사고로 최종 확인된 즉시 당국에 보고했다"고 말했다.

박동휘 기자 slypdh@sedaily.com
[ⓒ 서울경제, 무단 전재 및 재배포 금지]