업비트 해킹, 가상자산 24종 1000억개 넘게 전송…솔라나 피해 가장 커

지난달 27일 오전 4시42분께 해킹

초당 약 3200만개 빠져나간 규모

가상자산 거래소 업비트 해킹 시도 과정에서 54분 동안 1000억개가 넘는 가상자산이 외부 지갑으로 전송된 것으로 나타났다.

7일 국회 정무위원회 소속 강민국 의원실이 금융감독원에서 제출받은 자료에 따르면 해킹 시도는 지난달 27일 오전 4시 42분부터 5시 36분까지 진행됐다.

이 시간 동안 솔라나(Solana) 계열 24종 가상자산 1040억6470만여개(약 445억원)가 알 수 없는 외부 지갑으로 전송됐다. 초당 약 3200만개(약 1370만원)가 빠져나간 규모다.

유출 가상자산 개수 기준으로는 '봉크(BONK)'가 1031억2238만여개(99.1%·약 15억2000만원)로 가장 많았다.

피해 금액 기준으로는 '솔라나(SOL)'가 189억8000여만원(42.7%)으로 비중이 가장 컸고 '펏지펭귄(Pudgy Penguins)'이 약 38억5000만원(8.7%), '오피셜트럼프(Official Trump)'가 약 29억1000만원(6.6%)으로 그 뒤를 이었다.

업비트는 해킹 시도를 인지한 뒤 오전 5시에 긴급회의를 열고 오전 5시 27분 솔라나 네트워크 계열 디지털자산 입출금을 중단했다. 오전 8시 55분에는 모든 디지털자산 입출금을 중단했다. 비정상 출금 관련 공지는 낮 12시 33분 홈페이지에 게시됐다.

당국 보고는 금융감독원 오전 10시 58분, 한국인터넷진흥원(KISA) 오전 11시 57분, 경찰 오후 1시 16분, 금융위원회 오후 3시 등의 순으로 이뤄졌다.

강 의원은 “국내 가상자산 거래소 1위 기업인 업비트가 해킹으로 1000억개 이상 코인이 유출됐음에도 6시간 넘게 늑장 신고했다”며 “솔라나 플랫폼 자체의 구조적 문제인지, 업비트 결제 계정 방식 문제인지에 대한 조사도 확실하게 있어야 한다”고 말했다.

이에 대해 업비트 관계자는 “피해 자산은 모두 업비트가 충당해서 이용자에겐 피해가 없도록 조치했다”며 “비정상 출금 후 추가 출금을 막는데 집중했고 비정상 출금이 침해사고라고 최종 확인된 즉시 당국에 보고했다”고 설명했다.

한편 전자금융거래법은 전자금융업자를 대상으로 거래 안전성·신뢰성 확보 의무와 무과실 책임을 규정하고 있으나 가상자산사업자는 적용 대상에 포함되지 않는다. 지난해 7월 시행된 가상자산업권법(1단계)에는 해킹·전산 사고에 대한 별도 제재 규정은 담기지 않았다.