국내 최대 가상자산(디지털자산) 거래소 업비트가 해킹으로 솔라나 계열 가상자산 약 445억원어치를 탈취당한 가운데, 이 같은 사실을 공격 탐지 8시간 이후에 공지해 논란이다.

하지만 솔라나 계열 가상자산의 입출금을 중단한다는 공지는 공격 탐지 직후 게재했고, 금융당국 및 유관기관에도 공격을 받은 사실을 바로 보고해 '해킹 공지' 자체가 8시간 늦은 것은 법적인 문제가 없는 것으로 파악됐다.

27일 오후 12시 33분 업비트 운영사 두나무는 공지를 통해 일부 솔라나 네트워크 계열 디지털자산에서 비정상적인 출금 행위가 탐지됐다고 밝혔다.

솔라나 네트워크 계열 디지털자산이란 블록체인 플랫폼 '솔라나'를 기반으로 발행된 토큰을 말한다. 이번에 탈취된 가상자산은 총 24종으로, 업비트가 기존에 안내한 탈취 규모는 540억원어치다. 그러나 이날 오후 3시 39분 업비트는 탈취 규모를 445억원 상당으로 정정했다. 오전 4시 42분 공격 당시 시세에 맞춰 다시 계산한 수치다.

피해 규모 정정과 더불어 논란이 된 건 공격 탐지 이후 공지 시간까지 약 8시간의 공백이 있다는 점이다.

업비트가 이날 공지를 올린 시점은 오후 12시 33분으로, 공격을 당한 시점인 오전 4시 42분으로부터 약 8시간이 지난 뒤다. 이날 두나무와 네이버의 합동 기자회견이 있었던 만큼 일부러 기자회견 이후 '늑장 공지'를 한 게 아니냐는 의혹도 제기됐다.

공지가 늦어진 이유는 공개되지 않았으나 이를 법적으로 문제삼기는 힘들 것으로 예상된다.

가상자산 이용자보호법 및 하위 규정에 따르면 가상자산 거래소가 '입출금 차단'을 할 경우엔 원칙적으로는 이용자에 사전 통지를 하고 금융당국에도 즉시 보고를 마쳐야 한다.

하지만 지난해 말금융감독원은 비조치의견서를 통해 '정당한 사유'가 발생할 경우 사전 통지를 생략하고 즉시 입출금을 차단할 수 있도록 허용했다. 해킹 같은 긴급한 상황에서 신속한 대응이 필요하다는 가상자산 업계의 요구를 반영한 것이다. 해킹을 당하면 일단 입출금을 차단하고 차단 통지는 대응 직후 최대한 빠르게 하면 된다.

이에 따라 업비트는 공격을 탐지한 즉시 입출금을 막고, 솔라나 계열 가상자산의 입출금을 일시 중단한다는 공지를 오전 5시 27분에 올렸다. 사실상 공격 이후 1시간 이내에 이용자에 통지한 셈이다.

다만 해킹을 당해 입출금을 중단했다는 공지는 오후 12시 33분에 올렸다. 해킹이나 전산장애 발생시 금융당국 및 유관기관에는 바로 신고해야 하나, 입출금 차단이 아닌 해킹 관련 공지를 이용자 대상으로도 즉시 해야 한다는 규정은 없다. 따라서 '8시간 공백'이 법적 문제로 번질 가능성은 낮아 보인다.입출금 제한 조치는 이용자들의 투자 행위와 직결된 문제라 이용자들에게 바로 알려야하지만, 해킹의 경우 특정 이용자가 직접적인 피해자로 국한되는 문제가 아닌 만큼, 공지에 좀더 유연성이 있다.

금융위원회 관계자는 "'즉시 통보'에서 '즉시'는 상황에 따라 다른데 통상 사고 발생 당일 가능한 범위에서 빨리 하면 즉시 했다고 인정을 해준다"며 "업비트의 경우 일단 홈페이지를 통해 통보를 했다"고 말했다.

금감원이 업비트 현장검사를 나선 데 대해선 "홈페이지 공지 과정에서 조금이라도 지연된 부분이 있는지만 들여다보는 것"이라고 했다.

진현수 법무법인 디센트 대표변호사는 "입출금 차단 공지 외에 해킹 사실을 이용자들한테 알려야 한다는 건 규정상에는 없다"며 "이용자들에게도 혼선을 줘서 2차 피해가 발생할 수 있기 때문"이라고 말했다.

황현일 법무법인 세종 변호사도 "고객에 대한 공지까지 이용자보호법에 따른 의무라고 보기는 어렵다"며 "(의무를 어기면) 제재 규정이 있기 때문에 법률을 확장 해석하기에는 무리가 있다. 하지만 영업에 차질이 생길까봐 일부러 공지하지 않고 해킹 사실을 숨긴다면 이는 비난받을 일이 될 수 있다"고 설명했다.

hyun1@news1.kr