정확히 6년 전 같은 날 580억 탈취…'11월 27일의 저주' 재현
입출금 차단 속 '가두리 펌핑' 극성
 |
| 업비트. (사진=연합뉴스) |
[알파경제=이준현 기자] 국내 최대 가상자산 거래소 업비트에서 지난달 27일 445억원 규모 해킹 사고가 발생했다.
더 큰 문제는 사고 발생부터 공식 공지까지 무려 8시간 가까이 소요되면서 늑장 대응 논란이 일고 있다는 점이다.
새벽 4시 42분 이상 징후가 포착됐지만 업비트가 이를 이용자들에게 알린 시각은 낮 12시 33분이었다.
이 시간은 공교롭게도 네이버파이낸셜과 두나무의 합병 관련 기자간담회가 마무리된 직후다. 정확히 6년 전인 2019년 11월 27일, 580억 원 규모의 이더리움 탈취 사고를 겪었던 업비트가 같은 날짜에 또다시 보안 사고를 내면서, 보안 체계의 한계와 투자자 소통 방식에 대한 비판이 거세게 일고 있다.
◇ 합병 관련 간담회 끝날 때까지 해킹 늑장 공지
1일 업계에 따르면 지난달 27일 오전 4시 42분, 업비트 이상거래탐지시스템이 경보를 울렸다.
솔라나 네트워크 계열 자산이 내부에서 지정하지 않은 외부 지갑으로 빠져나가고 있었다. 솔라나를 비롯해 주피터, 지토, 오르카 등 총 24개 종류 165개 지갑에서 445억원 상당의 자산이 탈취됐다.
그러나 업비트는 즉각 이용자들에게 이 사실을 알리지 않았다.
업비트는 공격 탐지 직후인 오전 5시 27분 솔라나 계열 자산의 입출금을 차단했다. 대응 속도 자체는 규정에 어긋나지 않았다. 금융감독원의 비조치 의견서 등에 따르면 해킹 등 긴급 사유 발생 시 선조치 후 통보가 허용되며, 업비트는 1시간 내에 입출금 중단 공지를 올렸다.
문제는 공지의 '내용'이다. 업비트는 오전 5시 27분 공지에서 사유를 '네트워크 점검'이라고 밝혔고, 오전 8시 55분 전체 입출금 중단 시에도 '긴급 서버 점검'이라는 표현을 썼다.
같은 날 오전 9시, 경기 성남 네이버 1784 사옥에서는 이해진 네이버 이사회 의장과 송치형 두나무 회장이 참석한 대규모 합병 간담회가 열렸다. '해킹'이라는 단어가 공식 공지사항에 등장한 것은 행사가 모두 끝난 낮 12시 33분이었다.
해킹 감지부터 공지까지 소요된 시간은 7시간 51분이었다.
업계 일각에서는 업비트가 법적인 공지 의무 시한은 지켰을지 몰라도, 해킹 사실을 즉각 알리지 않음으로써 투자자들의 판단을 흐리게 했다고 지적한다.
입출금 중단이 단순 점검이 아닌 해킹 때문임을 알았다면 투자자들의 대응은 달랐을 것이기 때문이다. 법 위반 여부를 떠나 '네트워크 점검'이라는 모호한 표현으로 시간을 끈 것은 1000만 이용자를 보유한 1위 거래소로서 책임감 없는 태도라는 비판을 피하기 어려워 보인다.
금융감독원과 경찰청 국가수사본부 사이버테러수사대는 27일 즉시 업비트에 대한 현장 점검과 내사에 착수했다.
 |
| (사진=네이버, 두나무) |
◇ 11월 27일의 저주…6년 전 같은 날 580억 탈취 재현
이번 사고의 충격을 더하는 것은 발생 날짜다. 2019년 11월 27일, 업비트는 이더리움 34만2000개를 탈취당했다. 당시 가치로 580억원이었으며 현재 가치로 환산하면 1조원이 넘는 천문학적 금액이다.
정확히 6년 뒤 같은 날, 같은 거래소에서 핵심 보안 시스템인 핫월렛이 뚫리는 유사한 방식의 사고가 발생했다. 우연으로 보기엔 너무나 명확한 날짜의 일치다.
보안 전문가들은 공격자가 의도적으로 6년 전과 같은 날을 선택했을 가능성을 제기한다. 업비트의 보안 시스템이 근본적으로 개선되지 않았음을 조롱하는 일종의 '기념비적 해킹'이라는 분석이다.
정부 당국은 이번 사건 역시 2019년 사건의 배후였던 북한 정찰총국 산하 '라자루스'의 소행일 가능성을 높게 보고 있다. 실제로 탈취된 자산 중 상당량이 자금 세탁을 위해 바이낸스 등으로 분산 이동된 정황이 포착됐다.
업비트 측은 28일 블록체인 트랜잭션 분석을 통해 개인키를 추정할 수 있는 보안 취약점을 발견해 조치를 취했다고 밝혔다. 가상자산 지갑의 개인키는 예측 불가능한 난수를 기반으로 생성돼야 하는데, 난수 생성기의 취약점이 해킹의 원인이었다는 설명이다.
업비트는 가상자산이용자보호법에 따라 이용자 자산의 80% 이상을 콜드월렛에 보관해야 한다. 이번 해킹은 나머지 20%가 보관된 핫월렛에서 발생했다. 6년 전에도 핫월렛이 뚫렸고, 6년이 지난 지금도 똑같은 방식으로 당했다는 점에서 보안 대책이 얼마나 실효성이 있었는지 의문이 제기된다.
 |
| 업비트. (사진=두나무) |
◇ 입출금 차단 속 '가두리 펌핑'…희생양은 개인투자자
해킹 사고로 입출금이 중단되자 업비트 내부에선 기형적인 현상이 벌어졌다. 외부와 차단된 '가두리' 안에서 일부 코인 가격이 급등한 것이다.
정상적인 시장에서는 거래소 간 가격 차이가 발생하면 차익거래 세력이 개입해 가격을 평준화시킨다.
그러나 입출금이 막히면 이 메커니즘이 작동하지 않는다. 외부에서 코인을 가져올 수 없어 업비트 내 유통 물량은 한정되고, 여기에 매수세가 몰리면 가격은 펀더멘털과 무관하게 치솟는다.
지난달 27일 오후 2시 30분 기준 오르카, 메테오라, 레이디움 등이 24시간 전보다 30% 이상 급등했다. 반면 국내 2위 거래소 빗썸에서 이들 가상자산 가격 상승폭은 업비트의 절반에도 못 미쳤다. 글로벌 시장에서는 오히려 하락세를 보였다.
해킹 사실을 모르거나 가두리 펌핑을 기대하는 투기 수요가 몰렸을 가능성이 크다. 세력은 이미 해킹 사실을 알고 매집하거나 매도 타이밍을 잡았겠지만 일반 투자자는 영문도 모른 채 급등하는 차트를 보고 추격 매수에 뛰어들었을 것이다.
12시 33분 해킹 공지 전까지 영문을 모르고 '서버 점검'이라 믿었던 투자자들은 자산이 묶인 채 발만 동동 구르거나, 급등하는 가격에 올라탔다가 입출금 재개 후 가격이 정상화될 때 막대한 손실을 입게 될 구조다.
이는 명백한 시장 왜곡이며, 거래소의 불투명한 정보 공개가 초래한 인재다.
 |
| 27일 경기도 성남시에 위치한 네이버 1784에서 진행된 네이버-네이버파이낸셜-두나무 3사 공동 기자간담회에서 3사 경영진들이 발표를 진행하고 있다. 좌측부터 박상진 Npay 대표, 최수연 네이버 대표이사, 이해진 네이버 이사회 의장, 송치형 두나무 회장, 오경석 두나무 대표이사 (사진=네이버) |
◇ 전액 보상 약속은 했지만
업비트는 445억원 피해액 전액을 회사 자산으로 충당하겠다고 밝혔다. 가상자산이용자보호법에 따라 마련한 준비금ㅂㄷ은 지난 9월 말 기준 670억원이다. 재정적으로 보상은 가능하다.
문제는 신뢰다. 비록 입출금 차단 공지 시한 등 형식적 절차는 지켰을지 모르나, 사실과 다른 허위 사유를 공지한 점은 도덕적 비난을 넘어 금융당국의 제재 대상이 될 소지가 있다.
업비트는 불과 3주 전인 11월 초 고객확인의무 위반과 의심거래보고 태만으로 352억 원의 과태료 처분을 받았다. 국내 가상자산 거래소 역사상 최대 규모 제재였다.
그로부터 3주 만에 대형 해킹 사고가 터졌다는 것은 내부 통제 시스템 개선이 형식에 그쳤음을 보여준다. 이번에는 단순 과태료를 넘어 더 무거운 책임론이 뒤따를 가능성이 크다.
업비트는 445억원을 잃은 것이 아니다. 1000만 이용자의 신뢰를 잃었다. 네이버파이낸셜과의 합병을 통해 글로벌 기업으로 도약하려는 두나무에게 이번 사태는 치명적인 걸림돌이 될 전망이다.
알파경제 이준현 기자(wtcloud83@alphabiz.co.kr)
