이용자보호법 시행 후 첫 대형 해킹 사고…업비트 ’제재 수위’가 시장의 초점이다

디지털 자산 시장이 숨을 죽이고 지켜보는 중이다. 이용자보호법이라는 새로운 규제 장벽을 넘어선 첫 번째 대규모 보안 침해 사건이 발생했다. 이제 모든 시선은 국내 최대 거래소 중 하나인 업비트가 내릴 제재의 강도에 고정되어 있다.

법 시행 직후의 시험대

새로운 법률은 명목상으로는 투자자를 보호하기 위해 도입되었다. 하지만 현실은? 첫 번째 주요 시련이 찾아왔고, 이는 규제당국과 거래소 모두에게 실질적인 능력을 검증하는 순간이 되었다. 법 조항은 서류상에 그칠 것인가, 아니면 실제 행동으로 구현될 것인가?

업비트의 선택: 신뢰 회복 또는 추가 불안

거래소의 다음 움직임는 단순한 손실 보상 문제를 넘어선다. 이는 향후 모든 유사 사고에 대한 선례를 만들고, 한국 암호화폐 생태계 전체의 규제 실행 프레임워크를 정의할 것이다. 강력한 제재는 신뢰를 회복시킬 수 있지만, 동시에 시장 유동성을 위협할 수도 있다. 반면, 약한 대응은 규제의 효력을 무색하게 만들 뿐이다.

시장의 숨은 걱정: 규제의 의도된 부작용?

여기서 아이러니한 점은, 투자자 보호를 가장한 규제가 오히려 거래소의 운영 민첩성을 떨어뜨려 위기 대응을 더욱 어렵게 만들 수 있다는 것이다. 결국, 가장 엄격한 규칙책도 해커의 키보드 앞에서는 무력할 때가 있다—이것이 금융 현실의 냉소적인 조롱이다.

모든 것이 업비트의 다음 발표를 기다리고 있다. 그들의 결정은 단순한 한 회사의 위기 관리가 아니라, 새로운 규제 시대 아래에서 한국 디지털 자산 산업의 미래 방향을 가늠하는 잣대가 될 것이다.

[디지털투데이 손슬기 기자] 지난 7월 디지털자산 이용자보호법(이용자보호법)이 시행 이후 처음으로 업비트에서 대형 해킹 사고가 발생하면서 얼마나 제재 수위가 강화될지 관심이 쏠린다.

업비트는 27일 오전 4시 42분 자사 솔라나(SOL) 기반 지갑에서 지정되지 않은 외부 지갑으로 약 445억원 규모의 가상자산이 전송된 정황을 포착했다. 유출된 자산은 솔라나를 포함한 24개 종목, 총 165개 지갑이다. 이상 거래를 인지한 업비트는 오전 5시 27분 솔라나 계열 자산 입출금을 차단한 데 이어 오전 8시 55분에는 모든 가상자산 입출금을 중단했다.

금융감독원과 한국인터넷진흥원(KISA), 경찰청 국가수사본부 사이버테러수사대 등 관계 기관도 즉각 점검에 들어갔다. 금융당국은 해킹 경위, 피해 규모, 내부통제·보안 의무 준수 여부 등을 전면적으로 확인 중이며, 경찰 역시 두나무 본사를 상대로 관련 자료 확보에 나섰다.

문제는 업비트가 해킹 징후를 포착한 시점과 해킹 사실을 공식화한 시점에 크게 차이가 난다는 점이다. 업비트는 초기 공지에서 '네트워크 점검', '긴급 서버 점검' 등으로만 안내했다. '해킹'이라는 표현이 포함된 공식 입장문은 낮 12시 33분이 돼서야 올라왔다. 해킹 감지부터 사실 공지까지 약 8시간이 소요된 셈이다.

공교롭게도 이날 오전 9시에는 두나무와 네이버파이낸셜의 포괄적 주식교환 발표 기자간담회가 열렸다. 양사 주요 경영진이 모두 참석한 중요한 행사 직후에야 해킹 사실이 공개되면서 "합병 발표 전까지 사고를 축소한 것 아니냐"는 의혹도 제기됐다.

이와 맞물려 일각에서는 이번 사고가 이용자보호법에 따른 첫 과징금·중징계 사례가 될 수 있다는 전망도 나온다. 이용자보호법은 가상자산사업자가 ▲이용자 자산의 80% 이상을 콜드월렛(오프라인 지갑)에 보관하고 ▲해킹·전산 장애 등에 대비해 보험·공제 가입 또는 준비금 적립을 의무화한다. 특히 전산장애나 해킹 우려 등 '정당한 사유'로 입출금을 차단하는 경우에는 사유를 이용자에게 알리고 금융위원회에 즉시 보고해야 한다.

법조계 역시 고수위 처벌 가능성을 언급했다. 이정엽 블록체인법학회장은 "이용자보호법의 핵심인 이용자보호에 실패한 사례로 과거와 달리 제재 근거가 마련돼 있다는 점에서 법적 책임이 논의될 여지는 충분하다"며 "국내 자산이 특정 거래소에 과도하게 집중된 구조도 여전한 위험 요인"이라고 지적했다.

다만 이용자보호법이 해킹·전산사고에 대한 '사고 발생 즉시 보고·공시 의무'를 직접적으로 규정하고 있지는 않아 해석의 여지를 남긴다. 이를 보완하는 개정안(김현정 의원)이 올해 1월 발의됐지만 1년여간 국회 정무위원회에 계류 중인 상태다.

금융당국도 현행 규제의 한계를 인정하고 있다. 금감원 관계자는 "입출금 차단 사유에 대한 즉시 보고 규정은 있지만, 이를 해킹·전산사고 자체의 공시 의무로 확대 적용할 수 있는지는 해석이 필요한 부분"이라며 "현재는 사실관계와 조치 과정을 함께 점검하는 단계"라고 말했다.

사고 시점도 제재 수위를 낮추는 데는 불리할 전망이다. 금융위원회는 9월 정례회의에서 대규모 시세조종·허위정보 유포 사건에 대해 이용자보호법을 근거로 첫 불공정거래 과징금을 부과하고 혐의자들을 검찰에 고발했다. 시행 2개월 만에 첫 제재 사례가 나온 것이다.

지난달에는 금융정보분석원(FIU)이 업비트 운영사 두나무에 특정금융정보법 위반으로 352억원의 과태료를 부과했다. 고객확인(KYC), 거래제한, 의심거래보고(STR) 등 자금세탁방지(AML) 의무 위반이 대상인데, 이는 FIU가 가상자산사업자에 부과한 제재금 중 역대 최대 규모다.

업계는 이번 사고가 보안사고 제재의 선례가 된다는 점에 주목하고 있다. 한 관계자는 "시세조종·AML·보안이라는 세 가지 규제 모두가 현실적인 가상자산 업권의 리스크로 떠오른 셈"이라고 말했다.

다만 업비트가 이용자보호법 기준(80%)보다 높은 90% 이상의 콜드월렛 보관 비율을 유지해 왔다는 점은 긍정적으로 평가된다. 유출 피해는 모두 핫월렛(온라인 지갑)에서 발생해 이용자 예치금 대부분은 보호됐다. 업비트도 "유출된 자산 전액을 회사 자산과 준비금으로 충당하겠다"고 밝힌바 있다.