업비트, 해킹 피해 386억 보전했지만 선의일 뿐
현행법상 책임 못물어…금융권 '무과실'과 대조
보험 가입도 어려워…"기본법으로 안전망 구축해야"
![[서울=뉴시스] 정병혁 기자 = 두나무가 운영하는 가상자산 거래소 업비트에서 수백억원 상당 대규모 해킹 사고가 발생했다. 두나무는 "업비트에서 지난달 27일 새벽 4시42분쯤 솔라나 네트워크 계열 자산 일부(약 445억원 상당)가 내부에서 지정하지 않은 지갑 주소(알 수 없는 외부 지갑)로 전송된 정황을 확인했다"며 "추가적인 비정상 이체 사례가 발생하지 않도록 자산을 모두 안전한 콜드월렛으로 이전했다"고 밝혔다. 사진은 27일 서울 강남구 업비트 본사. 2025.11.27. jhope@newsis.com](https://img1.newsis.com/2025/11/27/NISI20251127_0021077621_web.jpg?rnd=20251127163402)
[서울=뉴시스] 정병혁 기자 = 두나무가 운영하는 가상자산 거래소 업비트에서 수백억원 상당 대규모 해킹 사고가 발생했다. 두나무는 "업비트에서 지난달 27일 새벽 4시42분쯤 솔라나 네트워크 계열 자산 일부(약 445억원 상당)가 내부에서 지정하지 않은 지갑 주소(알 수 없는 외부 지갑)로 전송된 정황을 확인했다"며 "추가적인 비정상 이체 사례가 발생하지 않도록 자산을 모두 안전한 콜드월렛으로 이전했다"고 밝혔다. 사진은 27일 서울 강남구 업비트 본사. 2025.11.27. [email protected]
[서울=뉴시스] 김진아 기자 = 가상자산 거래소 업비트가 해킹 피해액 전액을 자체 자금으로 충당하며 사태가 일단락됐다. 시장은 안도하는 분위기지만, 전문가들은 이번 대응이 사업자 측의 자발적 조치란 점에 우려를 표하고 있다.
막대한 자금력을 갖춘 업비트가 아닌 영세 거래소에서 동일한 사고가 발생할 경우, 현행법상 이용자를 보호할 수 없는 구조적 한계가 드러나며 강제력을 갖춘 장치를 마련해야 한다는 목소리가 거세다.
13일 가상자산 업계에 따르면 업비트 운영사 두나무는 지난 8일 이번 해킹 사건으로 출금된 고객 자산 386억원을 자체 자산으로 전액 보전했다고 밝혔다.
두나무의 자발적 책임 조치는 시장에 긍정적인 신호를 줬지만, 임의적이라는 점에서 불안감은 여전하다. 수백억원 규모의 피해 사태를 기업의 선의에 기대 해결해야 하는 현 상황의 문제점이 재차 부각되고 있다.
지난해 7월 시행된 가상자산이용자 보호법(1단계 입법)은 이용자의 자산 보호를 위한 거래소의 의무를 명시하고 있지만, 해킹과 같은 전산 시스템 장애나 사고 발생시 사업자가 이용자에게 부담해야 할 배상 책임의 범위가 명확하게 담겨있지 않다.
특히 논란이 되는 것은 준비금 규정이다. 현행 규정은 해킹 위험이 높은 '핫월렛'(인터넷에 연결된 지갑)에 보관된 자산 가치의 최소 5%를 준비금으로 적립하도록 명시하고 있다. 법정 준비금을 제외한 95%의 피해는 고스란히 투자자의 손실로 연결되는 셈이다.
보안 전문가들은 해킹이 핫월렛 내 자산 전액을 탈취하는 경우가 대부분인 점을 감안하면, 이는 안일한 수준이라고 지적한다. 피해 복구에 5% 준비금은 턱없이 부족한 데다 '전자금융거래법'(전금법)상 은행 등 기존 금융권이 해킹 사고 시 원칙적으로 무과실 책임을 적용받는 것과 비교하면 형평성에 어긋난다는 비판도 나온다.
이 때문에 정부가 마련 중인 '가상자산 2단계 입법안'(디지털자산 기본법)에 해킹·전산 사고시 가상자산 사업자에 대해 무과실 배상 책임을 적용하고, 사고시 과징금을 부과하는 방안을 포함해야 한다는 주장에 무게가 실린다. 사태의 여파가 커지면서 금융당국은 현재 마련 중인 2단계 입법안에 이 같은 내용을 포함하는 것을 논의 중인 것으로 알려졌다.
업계에서는 처벌 강화만이 문제 해결에 능사가 아니라고 호소하고 있다.
자본력이 부족한 영세 거래소들이 기댈 수 있는 안전장치는 보험이 유일하지만, 현실적으로 가입 자체가 불가능에 가까운 상황이다.
가상자산이용자 보호법 제8조에서는 거래소가 해킹·전산장애 등 사고 책임을 이행하기 위해 보험·공제 가입이나 적립금 적립 중 하나를 이행하도록 하고 있는데, 현재 국내 5대 가상자산 거래소 중 해킹 피해를 보장하는 배상책임보험에 가입한 곳은 고팍스 한 곳뿐이다.
대다수 보험사는 가상자산의 높은 가격 변동성과 해킹 리스크 산정이 어렵다는 이유로 가입 요청을 거절하거나, 보상 한도를 낮게 책정하고 있다. 이 같은 요건을 통과하더라도 영세 거래소의 경우 기업 규모 등이 걸림돌이 돼 실제 보험 가입은 어려운 실정이다.
업계 1위 사업자인 업비트의 경우 피해를 보전할 여력이 있지만, 다수 사업자들은 실제 배상 책임을 감당할 수 없어 파산할 것이란 우려가 나오는 이유다. 실제 2017년 국내 거래소 유빗은 해킹으로 전체 거래 자산의 상당량을 탈취당하고 손실 보전할 자력이 없어 파산 절차를 밟았다. 거래소 파산으로 인한 피해는 투자자들에게 돌아갔다.
업계에서는 2단계 입법이 시장의 기준을 세우는 기본법으로 여겨지는 만큼 처벌과 의무에 초점을 두기 보다, 가상자산의 발행·유통 규율, 사업자의 재무 건전성 요건 강화, 통합 시세 감시 시스템 구축 방안 등이 함께 논의되길 바라고 있다.
기본법을 통해 가상자산 발행·유통 기준이 확립되고 거래소에 대한 금융권 수준의 보안·재무 요건이 법제화되면 시장의 신뢰도가 높아지고 이를 바탕으로 보험 가입 등 실효성 있는 대책을 마련할 수 있다는 의견이다.
가상자산업계 한 관계자는 "업권 자체도 산업으로 인정받지 못하고 있는 상황에서 사후약방문처럼 처벌을 중심으로 법이 마련된다면 자본력이 없는 사업자들은 감당하지 못해 무너지게 된다"며 "기본법 제정을 통해 산업 전반의 진흥을 위한 방안이 마련되면, 제도권 편입을 희망했던 업계 스스로의 자정 노력도 더욱 활발해질 것"이라고 했다.
◎공감언론 뉴시스 [email protected]
