세상에 없던 도전한다면서…보안 뚫린 두나무
SBS Biz 오서영
입력2025.12.11 16:00
수정2025.12.13 12:45
[앵커]
국내 최대이자 세계 3위권 가상자산거래소죠.
두나무가 운영하는 '업비트'에서 악재가 이어지고 있습니다.
고객확인 의무 위반으로 350억 원대 과태료를 부과받은 게 불과 한 달 전인데, 이번엔 400억 원의 고객 자금이 빠져나가는 대규모 해킹 사고가 터졌습니다.
심지어 이 사고, '세상에 없던 도전'을 한다며 네이버와 합병을 발표한 그날 터졌습니다.
사고 전후의 자세한 이야기 오서영 기자와 짚어보겠습니다.
오 기자, 일단 사고의 개요부터 짚어보죠.
[기자]
디지털자산 거래소인 '업비트'에서 지난달 27일 사이버 침해 사고가 발생했습니다.
솔라나 네트워크 계열 디지털자산에서 비정상적인 출금 행위가 탐지된 건데요.
이후 업비트는 디지털자산 입출금을 모두 중단하고 대대적인 점검에 착수했습니다.
보안 취약점을 살피고 전면적인 지갑 시스템 점검을 진행한 후 열흘 가까이 지난 이달 6일부터야 모든 입출금이 재개됐는데요.
다만 이용자들은 이 과정에서 기존 지갑을 모두 새 지갑으로 교체하는 절차를 거쳐야만 했습니다.
[앵커]
이번 사건이 비정상적 출금 행위, 그러니까 실제로 고객들의 돈이 빠져나갔다는 거죠?
[기자]
업비트는 해킹으로 총 445억 원의 피해를 입었습니다.
회사 피해 자산이 59억 원이고요.
출금된 고객 자산만 386억 원입니다.
이는 업비트 자산으로 전액 보전해 이용자에게 실질적 피해는 가지 않도록 조치했는데요.
이번 비정상 출금 사태를 뜯어보면, 1시간이 안 되는 시간 안에 외부로 전송된 코인 수가 1천억 개가 넘습니다.
54분 만에 솔라나 계열 24종 코인이 1초당 1천373만 원에 달하는 3천212개가 빠져나간 셈입니다.
[앵커]
출금된 돈들은 회수가 되나요?
[기자]
우선 두나무는 수백억 원대 돈들이 어디로 빠져나갔는지 확인해 관련 주소들을 블랙리스트에 추가했는데요.
그 주소에서 피해자산이 입금되면 '동결'하도록 전 세계 거래소에도 요청한 상태입니다.
사고 당일 출금 후 현재까지 26억 원의 피해자산을 동결했고요.
안전한 회수를 위한 후속 절차 진행 중이라는 설명입니다.
특히 회수율을 높이기 위해 '기여 보상 프로그램' 가동해 추적과 동결에 기여한 개인이나 단체에는 회수된 자산의 10%를 보상금으로 지급할 계획입니다.
[앵커]
업비트 해킹 피해가 처음이 아니라던데, 이전엔 언제 있었습니까?
[기자]
2019년에도 해킹 피해가 있었는데요.
정확히 '같은 날짜'에 발생했다는 점이 주목됩니다.
당시 유출된 코인은 580억 원 규모로 현재 시세로는 1조 5천억 원 상당인데요.
보안업계에서는 6년 전 사건을 벌인 북한 정찰총국 산하 해킹그룹 라자루스가 또다시 범행을 저질렀을 가능성도 제기하고 있습니다.
[앵커]
추정이긴 합니다만 정말로 범인이 같다면, 6년 동안 보안에 대해 투입한 자금과 노력은 결과론적으로 무용지물이었던 셈이네요?
[기자]
업비트는 이후 대대적인 외주용역과 IT 보안컨설팅 등을 진행했는데요.
2019년부터 올해 11월까지 약 7년간 보안컨설팅 총 33건 수행에 집행된 사업비만 약 170억 원입니다.
여기에는 취약점검 컨설팅, 침투테스트 수행, 악성 이메일 모의 훈련 등이 포함됐고요.
이밖에 11건의 'IT 보안 외주 계약' 11건에도 28억 원을 넘게 썼는데요.
200억 원의 예산 투입에도 문제가 재발했다는 지적이 나옵니다.
심지어 최근까지 정보보안 관련 예산을 별도 예산 계정 없이 주먹구구식으로 관리해 왔다는 지적도 나오는데요.
재작년까지 정보보안 부문 예산을 회사 '운영비'와 '개발비' 비목에서 신청하고 승인받아 집행해 온 것으로 파악됐습니다.
[앵커]
그러니까 보안 투자를 안 한 건 아닌데, 체계적으로 했다고 보기도 어렵다는 거네요.
다음 논란으로 넘어가서, 늑장신고 부분을 짚어보죠. 네이버와의 행사를 의식했다는 의혹이 나오는 지점이 있죠?
[기자]
해킹이 발생하면 정보통신망법에 따라 사고 인지 후 24시간 내 한국인터넷진흥원(KISA)에 신고해야 합니다.
금융당국에도 인지한 다음 날까지 보고해야 하는데요.
업비트는 사고 발생 당일 KISA에 신고 완료했고 금융감독원에도 보고했다는 입장입니다.
그런데 타임라인을 좀 보면요.
새벽 4시 42분에 비정상 출금 알림을 탐지하고, 6시간이 지난 10시 58분에 해킹으로 최종 확인해 당국에 유선 보고를 합니다.
금감원에 시스템을 통해 문서로 공식 보고한 건 더 늦은 11시 45분인데요.
6시간이 긴 시간이 아닌 것 같지만 공교롭게도 이 사이에 두나무와 네이버의 공동 기자간담회가 진행됐습니다.
지난달 27일 오전 9시 30분, 송치형 두나무 회장과 오경석 대표, 최수연 네이버 대표의 발표와 질의응답이 이뤄지는 간담회가 마침 있었던 건데요.
최근 손을 맞잡은 두나무와 네이버가 미래 전략과 성장 비전을 공유하는 자리로 마침 해킹 보고가 이 행사가 끝난 시간쯤 이뤄졌습니다.
민관 대응이 빨랐다면 피해 규모를 더 줄일 수 있었을 텐데, 행사를 이유로 신고가 늦어진 것 아니냔 의혹이 나옵니다.
[앵커]
그런데, 당국이 해킹 사고 책임을 업비트에 물을 순 없다, 이런 얘기가 있더라고요?
[기자]
그렇습니다.
사각지대이기 때문인데요.
아직 가상자산업자들한테는 보안 사고가 발생했다는 이유로 법으로 규율할 수 있는 근거는 없습니다.
이 때문에 법 정비가 필요한데요.
금융당국은 이번 사건을 계기로 이런 경우 제재할 수 있는 내용을 가상자산법 2단계 입법에 반영할 계획이라고 설명했습니다.
해킹이나 전산 사고로 이용자가 손해를 입으면 금융사가 손해배상하거나 과징금을 부과하는 전자금융거래법을 참고해 법안이 마련될 전망입니다.
다만 이와 별도로 현재 금융감독원이 사고 발생 직후 현장점검에 나가 문제가 있었는지 살피고 있습니다.
[앵커]
법이 미비해 처벌을 피했다 해도 후폭풍을 피할 수는 없겠죠.
이번 사태의 영향들을 좀 보죠.
우선 해킹이 합병에 영향을 줄 수도 있느냐, 이게 관심인데 현재 합병의 단계는 어떻습니까?
[기자]
두나무와 네이버파이낸셜이 포괄적 주식 교환 방식으로 합병에 나섰는데요.
두나무가 네이버파이낸셜의 100% 자회사로 편입될 전망입니다.
다만 최종 합병까지 거쳐야 하는 절차들이 있는데요.
금융당국에 대주주 변경 승인을 받아야 하고 가상자산사업자 변경 신고도 해야 합니다.
이후 공정위의 기업결합 심사도 거쳐야 하고요.
이 신고들은 법적 요건만 갖추면 되지만 금융당국이 꼼꼼히 보는 절차는 '증권신고서 제출'인데요.
주식 가격 산정이나 사업 계획 등이 적정한지 종합적으로 살펴 정정 요구도 할 수 있기 때문에 이번 사고 같은 것들이 변수가 될 수도 있는 겁니다.
또 이 두 회사의 결합은 '스테이블코인' 도입을 앞두고 주목받는데요.
두나무는 가상자산 거래가 가능하고, 네이버파이낸셜은 핀테크로서 은행 없이 결제가 이뤄지게 되죠.
이 지점에서 자금세탁 위험이 커지고 감독 공백이 발생할 수 있단 우려도 나옵니다.
[앵커]
미래의 합병까지 안 가도, 현재 이미 탈 업비트 움직임이 나오고 있죠?
[기자]
한때 점유율 70%에 이르렀던 업비트는 현재 점유율이 60%대 초반까지 떨어졌는데요.
해킹 사고 이후 이달 초까지 69%였던 점유율은 며칠 새 61%대까지 내려온 상황입니다.
거래소 2위인 빗썸에 점유율을 내주면서 빗썸 점유율은 30%대를 훌쩍 넘기고 있는데요.
아직은 국내 1위 거래소 자리를 지키고 있지만 계속된 리스크에 이용자 이탈이 현실화하면서 굳건하던 점유율마저 흔들리고 있다는 분석이 나옵니다.
현재 가상자산업계는 기업 전용 서비스를 출시하거나 자동 투자 서비스 경쟁도 치열한데요.
두나무가 직면한 과제들을 어떻게 풀어나가며 기존 1위 지위를 지킬 수 있을지 주목됩니다.
[앵커]
최근 일련의 해킹 사태에서 특히 반복됐던 게 조사를 거치면서 몰랐던 피해가 계속 추가되는 건데, 두나무는 추가 피해 없이 이용자 신뢰 회복을 잘할 수 있을지 지켜봐야겠습니다.
오 기자, 잘 들었습니다.
국내 최대이자 세계 3위권 가상자산거래소죠.
두나무가 운영하는 '업비트'에서 악재가 이어지고 있습니다.
고객확인 의무 위반으로 350억 원대 과태료를 부과받은 게 불과 한 달 전인데, 이번엔 400억 원의 고객 자금이 빠져나가는 대규모 해킹 사고가 터졌습니다.
심지어 이 사고, '세상에 없던 도전'을 한다며 네이버와 합병을 발표한 그날 터졌습니다.
사고 전후의 자세한 이야기 오서영 기자와 짚어보겠습니다.
오 기자, 일단 사고의 개요부터 짚어보죠.
[기자]
디지털자산 거래소인 '업비트'에서 지난달 27일 사이버 침해 사고가 발생했습니다.
솔라나 네트워크 계열 디지털자산에서 비정상적인 출금 행위가 탐지된 건데요.
이후 업비트는 디지털자산 입출금을 모두 중단하고 대대적인 점검에 착수했습니다.
보안 취약점을 살피고 전면적인 지갑 시스템 점검을 진행한 후 열흘 가까이 지난 이달 6일부터야 모든 입출금이 재개됐는데요.
다만 이용자들은 이 과정에서 기존 지갑을 모두 새 지갑으로 교체하는 절차를 거쳐야만 했습니다.
[앵커]
이번 사건이 비정상적 출금 행위, 그러니까 실제로 고객들의 돈이 빠져나갔다는 거죠?
[기자]
업비트는 해킹으로 총 445억 원의 피해를 입었습니다.
회사 피해 자산이 59억 원이고요.
출금된 고객 자산만 386억 원입니다.
이는 업비트 자산으로 전액 보전해 이용자에게 실질적 피해는 가지 않도록 조치했는데요.
이번 비정상 출금 사태를 뜯어보면, 1시간이 안 되는 시간 안에 외부로 전송된 코인 수가 1천억 개가 넘습니다.
54분 만에 솔라나 계열 24종 코인이 1초당 1천373만 원에 달하는 3천212개가 빠져나간 셈입니다.
[앵커]
출금된 돈들은 회수가 되나요?
[기자]
우선 두나무는 수백억 원대 돈들이 어디로 빠져나갔는지 확인해 관련 주소들을 블랙리스트에 추가했는데요.
그 주소에서 피해자산이 입금되면 '동결'하도록 전 세계 거래소에도 요청한 상태입니다.
사고 당일 출금 후 현재까지 26억 원의 피해자산을 동결했고요.
안전한 회수를 위한 후속 절차 진행 중이라는 설명입니다.
특히 회수율을 높이기 위해 '기여 보상 프로그램' 가동해 추적과 동결에 기여한 개인이나 단체에는 회수된 자산의 10%를 보상금으로 지급할 계획입니다.
[앵커]
업비트 해킹 피해가 처음이 아니라던데, 이전엔 언제 있었습니까?
[기자]
2019년에도 해킹 피해가 있었는데요.
정확히 '같은 날짜'에 발생했다는 점이 주목됩니다.
당시 유출된 코인은 580억 원 규모로 현재 시세로는 1조 5천억 원 상당인데요.
보안업계에서는 6년 전 사건을 벌인 북한 정찰총국 산하 해킹그룹 라자루스가 또다시 범행을 저질렀을 가능성도 제기하고 있습니다.
[앵커]
추정이긴 합니다만 정말로 범인이 같다면, 6년 동안 보안에 대해 투입한 자금과 노력은 결과론적으로 무용지물이었던 셈이네요?
[기자]
업비트는 이후 대대적인 외주용역과 IT 보안컨설팅 등을 진행했는데요.
2019년부터 올해 11월까지 약 7년간 보안컨설팅 총 33건 수행에 집행된 사업비만 약 170억 원입니다.
여기에는 취약점검 컨설팅, 침투테스트 수행, 악성 이메일 모의 훈련 등이 포함됐고요.
이밖에 11건의 'IT 보안 외주 계약' 11건에도 28억 원을 넘게 썼는데요.
200억 원의 예산 투입에도 문제가 재발했다는 지적이 나옵니다.
심지어 최근까지 정보보안 관련 예산을 별도 예산 계정 없이 주먹구구식으로 관리해 왔다는 지적도 나오는데요.
재작년까지 정보보안 부문 예산을 회사 '운영비'와 '개발비' 비목에서 신청하고 승인받아 집행해 온 것으로 파악됐습니다.
[앵커]
그러니까 보안 투자를 안 한 건 아닌데, 체계적으로 했다고 보기도 어렵다는 거네요.
다음 논란으로 넘어가서, 늑장신고 부분을 짚어보죠. 네이버와의 행사를 의식했다는 의혹이 나오는 지점이 있죠?
[기자]
해킹이 발생하면 정보통신망법에 따라 사고 인지 후 24시간 내 한국인터넷진흥원(KISA)에 신고해야 합니다.
금융당국에도 인지한 다음 날까지 보고해야 하는데요.
업비트는 사고 발생 당일 KISA에 신고 완료했고 금융감독원에도 보고했다는 입장입니다.
그런데 타임라인을 좀 보면요.
새벽 4시 42분에 비정상 출금 알림을 탐지하고, 6시간이 지난 10시 58분에 해킹으로 최종 확인해 당국에 유선 보고를 합니다.
금감원에 시스템을 통해 문서로 공식 보고한 건 더 늦은 11시 45분인데요.
6시간이 긴 시간이 아닌 것 같지만 공교롭게도 이 사이에 두나무와 네이버의 공동 기자간담회가 진행됐습니다.
지난달 27일 오전 9시 30분, 송치형 두나무 회장과 오경석 대표, 최수연 네이버 대표의 발표와 질의응답이 이뤄지는 간담회가 마침 있었던 건데요.
최근 손을 맞잡은 두나무와 네이버가 미래 전략과 성장 비전을 공유하는 자리로 마침 해킹 보고가 이 행사가 끝난 시간쯤 이뤄졌습니다.
민관 대응이 빨랐다면 피해 규모를 더 줄일 수 있었을 텐데, 행사를 이유로 신고가 늦어진 것 아니냔 의혹이 나옵니다.
[앵커]
그런데, 당국이 해킹 사고 책임을 업비트에 물을 순 없다, 이런 얘기가 있더라고요?
[기자]
그렇습니다.
사각지대이기 때문인데요.
아직 가상자산업자들한테는 보안 사고가 발생했다는 이유로 법으로 규율할 수 있는 근거는 없습니다.
이 때문에 법 정비가 필요한데요.
금융당국은 이번 사건을 계기로 이런 경우 제재할 수 있는 내용을 가상자산법 2단계 입법에 반영할 계획이라고 설명했습니다.
해킹이나 전산 사고로 이용자가 손해를 입으면 금융사가 손해배상하거나 과징금을 부과하는 전자금융거래법을 참고해 법안이 마련될 전망입니다.
다만 이와 별도로 현재 금융감독원이 사고 발생 직후 현장점검에 나가 문제가 있었는지 살피고 있습니다.
[앵커]
법이 미비해 처벌을 피했다 해도 후폭풍을 피할 수는 없겠죠.
이번 사태의 영향들을 좀 보죠.
우선 해킹이 합병에 영향을 줄 수도 있느냐, 이게 관심인데 현재 합병의 단계는 어떻습니까?
[기자]
두나무와 네이버파이낸셜이 포괄적 주식 교환 방식으로 합병에 나섰는데요.
두나무가 네이버파이낸셜의 100% 자회사로 편입될 전망입니다.
다만 최종 합병까지 거쳐야 하는 절차들이 있는데요.
금융당국에 대주주 변경 승인을 받아야 하고 가상자산사업자 변경 신고도 해야 합니다.
이후 공정위의 기업결합 심사도 거쳐야 하고요.
이 신고들은 법적 요건만 갖추면 되지만 금융당국이 꼼꼼히 보는 절차는 '증권신고서 제출'인데요.
주식 가격 산정이나 사업 계획 등이 적정한지 종합적으로 살펴 정정 요구도 할 수 있기 때문에 이번 사고 같은 것들이 변수가 될 수도 있는 겁니다.
또 이 두 회사의 결합은 '스테이블코인' 도입을 앞두고 주목받는데요.
두나무는 가상자산 거래가 가능하고, 네이버파이낸셜은 핀테크로서 은행 없이 결제가 이뤄지게 되죠.
이 지점에서 자금세탁 위험이 커지고 감독 공백이 발생할 수 있단 우려도 나옵니다.
[앵커]
미래의 합병까지 안 가도, 현재 이미 탈 업비트 움직임이 나오고 있죠?
[기자]
한때 점유율 70%에 이르렀던 업비트는 현재 점유율이 60%대 초반까지 떨어졌는데요.
해킹 사고 이후 이달 초까지 69%였던 점유율은 며칠 새 61%대까지 내려온 상황입니다.
거래소 2위인 빗썸에 점유율을 내주면서 빗썸 점유율은 30%대를 훌쩍 넘기고 있는데요.
아직은 국내 1위 거래소 자리를 지키고 있지만 계속된 리스크에 이용자 이탈이 현실화하면서 굳건하던 점유율마저 흔들리고 있다는 분석이 나옵니다.
현재 가상자산업계는 기업 전용 서비스를 출시하거나 자동 투자 서비스 경쟁도 치열한데요.
두나무가 직면한 과제들을 어떻게 풀어나가며 기존 1위 지위를 지킬 수 있을지 주목됩니다.
[앵커]
최근 일련의 해킹 사태에서 특히 반복됐던 게 조사를 거치면서 몰랐던 피해가 계속 추가되는 건데, 두나무는 추가 피해 없이 이용자 신뢰 회복을 잘할 수 있을지 지켜봐야겠습니다.
오 기자, 잘 들었습니다.
ⓒ SBS Medianet & SBSi 무단복제-재배포 금지
많이 본 'TOP10'
- 1.李대통령 "같은 일해도 비정규직에 더 줘야…최저임금 고집 버려야"
- 2.'내일부터 출근 평소보다 서둘러야 할지도'…지하철 무슨 일?
- 3.국민연금 30% 손해봐도 어쩔 수 없다…당장 돈이 급한데
- 4.롯데百 갔는데 "이런 복장으론 출입 불가"…무슨 옷이길래
- 5.당장 죽겠다, 국민 연금 30% 깎여도 어쩔 수 없다
- 6.김포 집값 들썩이겠네…골드라인·인천지하철 2호선 연결 탄력
- 7.박나래 '주사이모' 일파만파…의협 "제재해야"
- 8.당첨되면 10억 돈방석…현금부자만 또 웃는다
- 9.'내일 마트로 달려가야겠네'…반값에 주부들 신났다
- 10."우리는 더 준다"..민생지원금 1인당 60만원 준다는 '이곳'