국내 가상자산거래소 1위인 업비트가 지난달 발생한 해킹 공격으로 단 1시간도 되지 않는 시간 동안 1000억개 이상의 코인을 탈취당한 사실이 드러났다. 국회 정무위원회 소속 국민의힘 강민국 의원이 금융감독원으로부터 제출받아 7일 공개한 ‘업비트 가상자산 비정상 출금사고 현황’에 따르면, 해킹은 지난달 27일 새벽 4시 42분부터 5시 36분까지 약 54분간 집중적으로 이루어졌다.
자료에 따르면 해킹으로 유출된 가상자산은 총 24종의 솔라나 계열 코인 1040억 6470만개로 확인됐다. 피해 금액은 총 444억 8059만원이며, 초당 약 3212만개(약 1373만원 상당)의 코인이 거래소 밖으로 빠져나간 것으로 분석됐다. 이 가운데 업비트 회원 자산 피해액은 약 386억원이며, 그중 약 23억원이 동결된 것으로 나타났다. 업비트 자체 자산 피해는 약 59억원으로 집계됐다.
피해 금액 기준으로 보면 솔라나(SOL)가 189억 8822만원(42.7%, 8만 8317개)으로 가장 큰 피해를 입었다. 뒤이어 펏지펭귄(PENGU)이 38억 5163만원, 오피셜트럼프가 29억 1764만원 순으로 나타났다. 피해 코인 개수로는 봉크(BONK)가 전체의 99.1%에 해당하는 1031억 2239만개(약 15억 2621만원)를 차지하며 압도적으로 많았다. 이어 캣인어독스월드(MEW) 3억 7906만개(6억 8989만원), 펏지펭귄(PENGU) 2억 2524만개(38억 5163만원)가 뒤를 이었다.
해킹 피해 외에도 업비트가 이 사실을 금융 당국에 늦게 신고했다는 점에 대한 비판도 제기됐다. 강 의원에 따르면 업비트 지갑실은 지난달 27일 새벽 4시 42분 해킹 사고 정황을 최초로 파악했지만, 금융감독원에 유선 보고한 시점은 약 6시간이 지난 오전 10시 58분이었다. 또 시스템을 통한 공식 문서 보고는 오전 11시 45분에 이뤄진 것으로 확인됐다.
가상자산 이용자 보호법 등 관련 법령에 따르면 가상자산사업자는 이상 거래가 의심되는 경우 지체 없이 금융위원회와 금융감독원에 통보해야 한다. 강 의원은 “국내 1위 가상자산거래소인 업비트에서 445억원 규모의 이상 거래가 발생했음에도 불구하고 6시간 뒤에야 신고한 것은 관련법 위반 여부를 철저히 확인해야 할 사안”이라고 지적했다.
강 의원은 “이번 해킹에서 솔라나 계열 코인만 집중적으로 유출된 것이 솔라나 플랫폼 자체의 구조적 문제인지, 아니면 업비트 결제 계정 방식에 문제가 있는 것인지에 대해 금융 당국이 명확하게 조사해야 한다”고 강조했다.
업비트 해킹 사건은 신고 지연 논란과 함께 가상자산 플랫폼의 보안 체계와 법적 대응 절차에 대한 논의가 이어지고 있다. 금융당국과 업계는 향후 재발 방지 대책 마련과 플랫폼별 구조적 취약성 분석에 나설 전망이다.