국내 최대 가상화폐 거래소 업비트가 해킹 피해를 인지하고도 수 시간 동안 외부에 알리지 않은 사실이 드러나면서 사고 대응의 적절성을 둘러싼 논란이 커지고 있다. 세계 2위 거래소 바이비트가 해킹 발생 약 1시간 30분 만에 공동창업자가 직접 나서 피해 상황과 대응 계획을 상세히 설명한 것과 비교하면 늑장 대응 비판을 피하기 어렵다는 지적이다.





9일 가상화폐 업계에 따르면 업비트는 지난달 27일 오전 4시 42분부터 5시 36분까지 약 54분간 코인 약 1000억 개가 유출된 사실을 인지하고도 오후 12시 33분에야 홈페이지에 관련 공지를 게시했다. 금융감독원에는 오전 10시 58분, 한국인터넷진흥원(KISA)에는 오전 11시 57분, 경찰에는 오후 1시 16분에 해킹 피해 사실을 신고했다. 금융위원회 보고는 오후 3시에 별도로 이뤄졌다.

업비트의 초기 대응은 해외 거래소 사례와도 대비된다. 올해 2월 약 2조원 규모의 해킹 피해를 겪은 글로벌 거래소 바이비트는 사고 발생 약 1시간 30분 만에 벤 조우 공동창업자 겸 최고경영자(CEO)가 직접 엑스(X·옛 트위터)를 통해 초기 상황을 공유했다. 또 해킹 발생 약 3시간 뒤에는 라이브 스트리밍을 열어 사고 경위와 대응 계획도 설명했다.

반면 업비트는 해킹이 벌어진 날 운영사 두나무의 송치형 회장, 김형년 부회장, 오경석 대표 등 주요 경영진이 네이버파이낸셜과의 합병 관련 기자간담회에 참석했지만 사고와 관련한 언급은 전혀 없었다. 공개 석상에서 경영진이 해킹 사건과 관련해 직접 소명할 수 있는 기회를 외면했다는 지적이 나오는 이유다. 업비트는 간담회가 끝나고서야 홈페이지에 관련 공지를 올렸다. 특히 송 회장은 이날 행사에서 코인베이스와 서클 등을 언급하며 글로벌 경쟁력 확보의 중요성을 강조했지만 정작 사고 대응은 해외 거래소와 비교해 미흡했다는 비판이 뒤따른다.

현행 자율규제 체계의 공백도 드러났다. 디지털자산거래소 공동협의체(DAXA·닥사)는 업비트의 늑장 공지 논란과 관련한 제재 가능성에 “현행 자율규제에 공시 시점과 관련된 규정은 없다”고 설명했다. 거래소가 프로젝트에는 엄격한 공시 기준을 적용하면서 정작 거래소 자체 공시 기준은 아직 마련하지 않은 셈이다.



이번 업비트 해킹 사건을 계기로 거래소 공시·보고 체계 전반을 손봐야 한다는 목소리도 커지고 있다. 현행 정보통신망법은 침해사고 발생 시 24시간 내에 KISA에 신고하도록 규정한다. 권오훈 차앤권 법률사무소 대표변호사는 “형식적으로 신고 의무는 충족했으나 신속 신고 취지에는 부합하는지 의문”이라며 “현행법상 가상자산사업자의 해킹 사고에 대한 직접 제재 조항이 없는 만큼 입법을 통해 정보기술(IT) 안정성 확보 의무와 사고 시 배상책임규정을 명확히 마련할 필요가 있다”고 말했다.

도예리 기자