업비트, 코인 1000억개 털렸는데 해킹사고 책임질 주체가 없다

지난달 해킹을 당한 가상자산 거래소 업비트에서 코인 1000억개가 외부로 전송
되는 데 1시간도 채 걸리지 않았던 것으로 나타났다. 빠르게 몸집을 불려온 가상
자산업계에서 해킹 사고 발생 시 대규모 피해로 이어질 수 있다는 점을 보여준
사례다.

다만 현행법만으로는 가상자산 사업자에게 해킹 사고의 책임을 직접적으로 묻기
어려워 금융당국이 ‘규제 공백’ 해소 방안을 검토 중이다. 국회 정무위원회 소속
강민국 국민의힘 의원실이 7일 금융감독원에서 제출받은 자료를 보면, 업비트
해킹 사고는 지난달 27일 오전 4시42분부터 오전 5시36분까지 총 54분간 벌어
졌다.

업비트는 해킹 시도를 인지한 지 18분 만인 오전 5시 긴급회의를 열었다. 디지털
자산 입출금을 중단하는 등 대응에 나섰다. 하지만 금감원에 신고가 이뤄진 시점
은 6시간가량이 지난 뒤인 오전 10시58분이었다.

사고 당일 오전 업비트 운영사인 두나무와 네이버파이낸셜 간 합병 행사가 열렸
던 만큼 이 행사 이후로 신고를 미룬 것 아니냐는 지적이 나왔다. 업비트 관계자
는 “피해자산은 모두 업비트가 충당해 이용자 피해가 없도록 했다”며 “비정상 출
금 후 추가 출금을 막는 데 집중했고, 비정상 출금이 침해사고라고 최종 확인된
즉시 당국에 보고했다”고 말했다.

문제는 현행법상 가상자산 사업자에게는 해킹 사고와 관련해 제재를 하거나 배상
을 물릴 수 있는 조항이 없다는 점이다. 금융사와 전자금융업자가 해킹이나 전산
사고로 이용자가 손해를 입으면 이용자의 고의 또는 중대한 과실이 없는 한 손해
를 배상하도록 규정하고 있으나 가상자산 사업자는 전금법 적용 대상이 아니다.

지난해 7월 시행된 가상자산 이용자보호법에도 해킹과 관련한 제재 규정은 빠져
있다. 이찬진 금감원장이 “업비트 해킹 사고는 그냥 넘어갈 수 있는 성격은 아니지
만, 가상자산 쪽 제재는 한계가 있다”고 말한 것도 이 같은 맥락에서다.

금융위원회는 현재 마련 중인 ‘가상자산 2단계 입법안’에 가상자산 사업자도 해킹·
전산 사고 시 무과실 배상 책임을 지도록 하는 내용을 넣는 방안을 검토 중인 것으
로 알려졌다. 해당 입법안에는 가상자산 사업자의 안정성·신뢰성 확보 의무, 과징금
등 제재 근거도 포함될 것으로 예상된다.

본문 이미지: 경향신문