공유하기

쿠팡 개인정보 유출 사태에 묻힌 업비트 445억 해킹…금감원 "그냥 넘길 수 없는 사건"

2025.12.04 20:00:51
크게보기

두나무, "개인키 추정 가능 구조" 취약점 인정... 업비트 445억 원 고객 피해 전액 자체 충당
핫월렛 반복 사고 '보안 통제 미흡' 도마 위... 445억 해킹으로 업비트 기본 보안 수준 논란 증폭
해킹 인지 후 공지까지 7시간 51분 지연... "네이버 합병 행사 고려했나" 업비트 은폐 의혹
금감원장 "결코 넘어갈 성격 아냐"... ELS 제재 이어 업비트 해킹에 대한 엄정 대응 방침 재확인



[KJtimes=정소영 기자] 대형 사이버 사고가 잇따르는 가운데 국내 1위 가상자산거래소 업비트에서 발생한 445억원 규모 해킹 사건이 쿠팡의 대규모 개인정보 유출 이슈에 가려졌다는 지적이 제기되고 있다. 금융당국은 “절대 경미하게 볼 성격이 아니다”라며 강도 높은 조사를 예고했다.

◆6년 전 '580억 해킹'과 동일 날짜에 또 사고

업비트를 운영하는 두나무는 11월 27일 오전 4시42분 솔라나(SOL) 기반 지갑에서 비정상 출금이 탐지됐다고 밝혔다. 24종의 가상자산이 165개 외부 주소로 빠져나간 규모는 약 445억원. 2019년 11월 27일 업비트 이더리움 핫월렛에서 580억원 규모가 유출된 지 정확히 6년 만의 재발이다.

당시 사건은 북한 정찰총국 산하 해커조직 ‘라자루스’의 소행으로 잠정 결론 난 바 있어 “재발 가능성을 경고하는 신호를 무시했다”는 비판이 금융권에서 제기되고 있다.

◆'핫월렛' 보안 취약점이 연결고리…두나무 "개인키 추정 가능했던 구조"

두나무는 사고 이후 내부 조사에서 “업비트 일부 지갑 트랜잭션 분석만으로 개인키를 추정할 수 있는 취약점이 존재했다”고 인정했다. 가상자산이용자보호법은 거래소에 고객 자산의 80%를 콜드월렛에 보관하도록 규정하지만, 사고는 인터넷과 연결된 핫월렛에서 반복적으로 발생해 기본적 보안 통제 미흡이 드러났다는 평가다.

회원 피해는 약 386억원으로 집계됐으며 두나무는 이를 전액 자체 자산으로 충당했다고 밝혔다. 동결된 자산은 약 23억원이다.



◆ 해킹 인지 후 공지까지 7시간 51분…네이버와 합병 행사 고려했나 논란

업비트는 해킹 인지 45분 후인 오전 5시 27분 솔라나 계열 자산의 입출금을 막고, 이어 8시 55분 모든 디지털 자산 입출금을 중단했다. 그러나 외부 공지는 오후 12시 33분, 최초 인지 이후 7시간 51분이 지난 뒤였다.

문제는 같은 날 오전 네이버파이낸셜과 두나무의 합병 공동 기자간담회가 예정돼 있었다는 점이다. 간담회 후에야 해킹 사실을 밝혀 “합병 일정에 영향을 줄까 공지 시점을 늦춘 것 아니냐”는 의혹이 제기됐다. 네이버조차 사고 사실을 사전에 전달받지 못한 것으로 알려졌다.

초기 피해액을 540억원으로 발표했다가 445억원으로 정정하는 등 혼선도 빚어 이용자 불신을 키웠다.

◆ 금감원 "상징적 사건"…ELS 제재에 이어 강경 기조 이어가

이찬진 금융감독원장은 12월 1일 첫 기자간담회에서 “업비트 해킹은 결코 넘어갈 성격이 아니다”며 엄정 대응 방침을 재확인했다.

그는 “가상자산 시장에서 가장 중요한 것은 안전성”이라며 이번 사고가 2단계 입법 과정에서 추가 보안 강화 조치를 점검하는 계기가 될 것이라고 밝혔다.

최근 금감원은 5개 은행에 대해 역대 최대 규모의 ELS 제재를 예고한 가운데, 가상자산 거래소와 핀테크 기업 전반으로 감독 강도를 확대할 움직임이다.

◆ 네이버–두나무 합병 심사에도 '빨간불'

업비트 보안 의혹은 양사 합병 절차에도 부담을 줄 전망이다. 금융당국은 금융·가상자산 분야가 맞닿는 지점에서 시스템 리스크를 중점적으로 평가할 것이라고 예고했다.

가상자산 업계에서는 “만약 업비트가 스테이블코인 발행 사업자였다면 이번 사고는 뱅크런으로 이어질 수 있었다”며 “금융사가 아닌 민간 기업에 사실상 발권력 성격의 권한을 부여하는 데 대한 회의론이 커질 것”이라는 평가가 나왔다.

올해 들어 SK텔레콤, KT, 롯데카드, 넷마블에 이어 쿠팡까지 초대형 사이버 침해 사고가 연달아 발생했다. 이재명 대통령은 12월 2일 쿠팡 개인정보 유출에 대해 “엄중 책임을 물어야 한다”며 징벌적 손해배상 검토까지 지시한 상태다.

이 원장은 “우리 보안 투자는 국제 평균에 한참 못 미친다”고 직격하며 금융업권 전반에 보안 강화 투자를 주문했다.

◆ 두나무, 전면 개편 나섰지만 신뢰 회복 '과제'

두나무는 “지갑 시스템을 전면 개편 중이며, 안정성 확인 후 입출금을 재개하겠다”고 밝혔다. 기존 지갑 주소 삭제 및 신규 발급, 취약 지점 구조 개선 등을 진행 중이다.

다만 2019년에 이어 2025년에도 동일 유형 사고가 반복된 데다 공지 지연 논란까지 더해지면서, 업비트 보안 거버넌스의 근본적인 신뢰 회복이 필요하다는 지적이 가상자산 업계와 금융권 모두에서 제기되고 있다.




정소영 기자의 전체기사 보기
정소영 기자 jsy1@kjtimes.com
Copyright @2010 KJtimes All rights reserved.

실시간 인기기사

LOGO

창닫기
PC버전으로 보기

[창간 : 2010년 6월 21일] / kjtimes(케이제이타임즈) / Tel) 02-722-6616 / 주소 : 서울시 금천구 서부샛길 606 (구 가산동 543-1) 대성디폴리스 A동 2804호/ 등록번호 :아01339 / 등록일 : 2010년 9월 3일 / 발행•편집인 : 신건용 / 청소년보호책임자 : 신건용 KJtimes의 콘텐츠(기사)는 지적재산권법의 보호를 받는 바, 무단 복사, 전재, 배포 등을 금합니다. Copyright (c) KJtimes All rights reserved.