지난달 발생했던 업비트 해킹 사고에서 54분 만에 1000억개 넘는 코인이 외부로 전송된 것으로 확인했다. 하지만 업비트는 사고 발생 후 6시간이 지나서야 금융당국과 경찰에 신고한 것으로 나타났다.

7일 국회 정무위원회 소속인 강민국 국민의 힘 의원이 금융감독원으로부터 제출받은 자료에 따르면 지난달 27일 업비트에서 발생한 해킹은 새벽 4시42분부터 5시36분까지 단 54분간 이뤄졌다.

당시 해킹으로 빠져나간 가상자산은 솔라나(SOL) 계열 24종 코인 1040억 6470만개, 피해액은 444억8059만원이었다. 초당 약 3212만개(1373만원)의 코인이 털린 것이다.

이중 업비트 회원 피해 자산은 약 386억원이며, 이 가운데 약 23억원이 동결됐다. 업비트 피해 자산은 약 59억원이다.

피해코인 액수는 솔라나가 189억8822만원(42.7%·8만8317개)으로 가장 많았고, 이어 펏지펭귄 38억5163만원, 오피셜트럼프 29억1764만원 순이었다.

피해코인 개수는 봉크(BONK)가 1031억2239만개(99.1%·15억 2621만원)로 가장 많았다. 다음으로 캣인어독스월드(MEW) 3억7906만개(0.4%·6억 8989만원, 펏지펭귄 2억2524만개(0.2%·38억5163 만원) 등이다.

일각에서는 업비트의 늑장 신고도 지적되고 있다. 강 의원에 따르면 업비트 지갑실이 사고 정황을 최초 확인한 시간은 지난달 27일 새벽 4시42분이었다. 하지만 업비트가 해킹 사실을 금감원에 유선 보고한 시점은 약 6시간이 지난 오전 10시58분이었고, 시스템을 통해 문서로 공식 보고한 시점은 오전 11시45분이기 때문이다.

이날은 업비트 운영사인 두나무와 네이버가 합병 방침을 공식적으로 발표한 날이다. 업비트는 해킹 시도를 인지한 후 18분 만에 오전 5시 긴급회의를 열고 오전 5시27분에 솔라나 네트워크 계열 디지털자산 입출금을 중단했다. 이어 오전 8시55분에는 모든 디지털자산 입출금을 중단했다. 하지만 해킹 사실을 금감원에 처음 보고한 시점은 오전 10시58분이다. 이 때문에 업비트가 의도적으로 금융당국 보고를 지연했다는 지적도 존재한다.

가상자산 이용자 보호법 등에 따르면 가상자산사업자는 이상 거래가 의심되는 경우 그 즉시 금융위와 금감원에 알려야 한다.

강 의원은 "업비트가 해킹으로 445억원 상당의 100억개 이상 코인이 유출됐음에도 6시간 늑장 신고했다"며 "관련법 위반 의무를 철저히 확인해야 할 것"이라고 강조했다.

이어 "금융당국은 이번 해킹에서 솔라나 계열 코인만 전량 유출된 것이 솔라나 플랫폼 자체의 구조적 문제인지 아니면 업비트 결제 계정 방식 문제인지 확실히 조사해야 할 것"이라고 짚었다.

최근 이찬진 금감원장은 취임 후 첫 기자간담회에서 업비트 해킹 사고와 관련해 "가상자산은 안전성이 가장 중요하고, 시스템 보안 문제가 가장 큰 생명인 만큼 (업비트 해킹 사고는) 그냥 넘어갈 수 있는 부분이 아니다"라며 "현행 가상자산 이용자 보호법의 한계를 보완·강화하는 과정에서 시스템 보안 전반을 추가적으로 점검하는 중요한 계기가 될 것"이라고 말한 바 있다.

업비트 관계자는 "피해자산은 모두 업비트가 충당해서 이용자에겐 피해가 없도록 조치했다"며 "비정상 출금 후 추가 출금을 막는데 집중했고 비정상 출금이 침해사고라고 최종 확인된 즉시 당국에 보고했다"고 설명했다.