국내 주요 가상자산 거래소인 업비트에서 발생한 대규모 해킹 사건 당시 불과 54분 만에 1,000억 개가 넘는 코인이 외부로 유출된 것으로 확인되면서 보안 취약성 논란이 커지고 있다. 특히 업비트가 해킹 사실을 인지했음에도 관계 당국과 투자자들에게 늑장 신고 및 공지를 진행했다는 의혹이 제기되며 고의성 논란까지 확산되고 있다.

오늘(7일) 국회 정무위원회 소속 강민국 국민의힘 의원실이 금융감독원으로부터 제출받은 자료에 따르면, 업비트에 대한 해킹 시도는 지난달 27일 오전 4시 42분부터 오전 5시 36분까지 총 54분간 집중적으로 이루어졌다. 이 짧은 시간 동안 알 수 없는 외부 지갑으로 전송된 가상자산은 솔라나 계열 코인 24종이며, 그 규모는 1,040억 6,470만여 개에 달하는 것으로 나타났다. 이는 1초당 약 3,200만 개의 코인이 유출된 수치로, 총 피해 금액은 약 445억 원에 이른다.

더 큰 문제는 업비트가 해킹 사실을 인지하고도 관계 당국에 고의로 신고를 지연했다는 의혹이 불거진 점이다. 업비트는 해킹 시도를 인지한 시점으로부터 약 6시간이 지난 오전 10시 58분에야 금융감독원에 유선으로 첫 보고를 진행한 것으로 확인되었다. 공식 문서 신고는 이보다 늦은 오전 11시 45분에 이루어졌다. 다른 주요 기관에 대한 보고 시점도 상당히 지연되었다. 한국인터넷진흥원(KISA)에는 오전 11시 57분, 경찰에는 오후 1시 16분, 금융위원회에는 오후 3시에야 해킹 사실을 보고한 것으로 드러났다. 고객들이 해킹 사실을 공식적으로 알게 된 홈페이지 공지 시점은 오후 12시 33분이었다.

업비트의 늑장 대응 의혹이 증폭되는 배경에는 공교롭게도 해킹이 발생한 날 업비트 운영사인 두나무와 네이버파이낸셜의 합병 행사가 있었다는 점이다. 이 합병 행사는 오전 10시 50분에 종료되었는데, 업비트가 첫 유선 신고를 시작한 시점(10시 58분)이 행사가 끝난 직후라는 점에서 논란을 피하기 어렵게 되었다. 일각에서는 업비트가 중요한 회사 행사가 끝날 때까지 사고 공지와 관계 당국 신고를 의도적으로 미룬 것이 아니냐는 강한 의혹이 제기되고 있으며, 이는 단순한 지연 보고를 넘어 투자자 보호 의무를 소홀히 한 것에 대한 책임을 면하기 어려울 것으로 보인다.

금융당국은 업비트의 늑장 신고 및 공지 경위와 함께 대규모 유출 사고가 발생한 구체적인 시스템 취약점 등을 면밀히 조사하고 있으며, 향후 가상자산 사업자에 대한 보안 관리 및 보고 의무 강화 조치가 이루어질 전망이다.